NTC Iso Iec 27001 PDF

NORMA TCNICA
COLOMBIANA
NTC-ISO/IEC
27001
2006-03-22
TECNOLOGfA ~E LA INFORMACiN.
TCNICAS
DE
SEGURIDAD.
SISTEMAS
LA
SEGURIDAD
DE
GESTiN /DE
INFORMACIN (SGSI). REQUISITOS
E:
ICONTEC
DE
LA
INFORMATION TECHNOLOGY. SECURITY TECHNIQUES.

INFORMATION
SECURITY
MANAGEMENT
SYSTEMS.
REQUIREMENTS
CORRESPONDENCIA:
esta norma es una adopcin idntica

(IDT) por traduccin, respecto a su
documento de referencia, la norma
ISO/lEC 27001.
DESCRI PTORES:
sistemas de gestin - seguridad de la

informacin;
seguridad
de
la
informacin - requisitos.
I.C.S.: 35.040.00
Editada por el Instituto Colombiano de Normas Tcnicas y Certificacin (ICON.TEC)
Apartado
14237
Bogot,
D.C.
Te!.
6078888
Fax
2221435
Prohibida su reproduccin
Editada 2006-04-03
NORMA TCNICA
COLOMBIANA
NTC-ISO/IEC
27001
2006-03-22
TECNOLOGfA DE LA INFORMACION.
T~CNICAS DE SEGURIDAD.
SISTEMAS
GESTION
DE
LA
SEGURIDAD'
DE
INFORMACION (SGSI). REQUISITOS
E:
DE
LA
INFORMATION TECHNOLOGY. SECURITY TECHNIQUES.

INFORMATION
SECURITY
MANAGEMENT
SYSTEMS.
REQUIREMENTS
CORRESPONDENCIA:
esta norma es una adopcin idntica

(IDT) por traduccin, respecto a su
documento de referencia, la norma
ISO/lEC 27001.
DESCRIPTORES:
sistemas de gestin - seguridad de la

informacin;
seguridad
de
la
informacin - requisitos.
LC.S.: 35.040.00
Editada por el Instituto Colombiano de Normas Tcnicas y Certificacin (ICONTEC)
Apartado
14237
Bogot,
D.C.
Te!.
6078888
Fax
2221435
Prohibida su reproduccin
Editada 2006-04-03
El Instituto Colombiano de Normas Tcnicas y Certificacin.

nacional de normalizacin, segn el Decreto 2269 de 1993.
ICONTEC,
es el organismo
ICONTEC es una entidad de carcter privado. sin nimo de lucro. cuya Misin es fundamental
para brindar soporte y desarrollo al productor y proteccin al consumidor. Colabora con el
sector gubernamental y apoya al sector privado del pafs. para lograr ventajas competitivas en
los mercados interno y externo.
La representacin de todos los sectores involucrados en el proceso de Normalizacin Tcnica
est garantizada por los Comits Tcnicos y el perrodo de Consulta Pblica. este ltimo
caracterizado por la participacin del pblico en general.
La NTC-ISO/IEC 27001 fue ratificada por el Consejo Directivo del 2006-03-22.
Esta norma est sujeta a ser actualizada permanentemente
todo momento a las necesidades y exigencias actuales.
con el objeto de que responda en
A continuacin se relacionan las empresas que colaboraron en el estudio de esta norma a

travs de su participacin en el Comit Tcnico 181 Tcnicas de seguridad de la informacin.
AV VILLAS
ASOCIACION BANCARIA DE COLOMBIA
BANCO CAJA SOCIAL! COLMENA BCSC
BANCO GRANAHORRAR
BANCO DE LA REPBLICA
BANISTMO
COLSUBSIDIO
D.S. SISTEMAS LTOA.
ETB S.A. ESP
Adems de las anteriores,
siguientes empresas:
FLUIDSIGNAL GROUP S.A.

IQ CONSULTORES
10 OUTSOURCING S.A.
MEGABANCO
NEW NET S.A.
SOCIEDAD COLOMBIANA DE ARCHIVfSTAS
UNIVERSIDAD NACIONAL DE COLOMBIA
en Consulta Pblica el Proyecto se puso a consideracin
ABN AMRO BANK

AGENDA DE CONECTIVIDAD
AGP COLOMBIA
ALPINA S.A.
ASESORfAS
EN SISTEMA TIZACION DE
DATOS S.A.
ASOCIACION
LATINOAMERICANA
DE
PROFESIONALES
DE
SEGURIDAD
INFORMATICA COLOMBIA
ATH
BANCAF~
BANCO AGRARIO DE COLOMBIA
BANCO COLPATRIA
RED
MULTIBANCA
COLPATRIA
de las
BANCO DAVIVIENDA
BANCO DE BOGOT A
BANCO DE COLOMBIA
BANCO DE CR~DITO
BANCO DE CR~DITO HELM FINANCIAL
SERVICES
BANCO DE OCCIDENTE
BANCO MERCANTIL DE COLOMBIA
BANCO POPULAR
BANCO SANTANDER COLOMBIA
BANCO STANDARD CHARTERED COLOMBIA
BANCO SUDAMERIS COLOMBIA
BANCO SUPERIOR
BANCO TEQUENDAMA
BANCO UNION COLOMBIANO

BANK BOSTON
BANK OF AMERICA COLOMBIA
BBVA BANCO GANADERO
BFR S.A.
CENTRO DE APOYO A LA TECNOLOGIA
INFORMATICA -CATICITIBANK
COINFIN LTDA.
COLGRABAR LTDA.
COMPAIA AGRfCOLA DE SEGUROS DE
VIDA
CONSTRUYECOOP
CORPORACION FINANCIERA COLOMBIANA
CORPORACION FINANCIERA CORFINSURA
CORPORACION FINANCIERA DEL VALLE
CREDIBANCO VISA
CYBERIA S.A.
ESCUELA
DE
ADMINISTRACION
DE
NEGOCIOS -EANFEDERACION
COLOMBIANA
DE
LA
INDUSTRIA DEL SOFTWARE - FEDESOFT-
DEFENSORIA DEL CLIENTE FINANCIERO

FINAM~RICA S. A.
FUNDACION SOCIAL
INCOCR~DITO
INDUSTRIAS ALIADAS S.A.
INTERBANCO
MINISTERIO DE COMERCIO, INDUSTRIA Y
TURISMO
MINISTERIO DE DEFENSA
N.C.R.
NEXOS SOFTWARE LTDA.
REDEBAN MULTICOLOR
SECRETARIA DE HACIENDA DISTRITAL
SERVIBANCA
SUPERINTENDENCIA
DE INDUSTRIA Y
COMERCIO
TMC & CIA
UNIDADDE SERVICIOSTECNOLOGICOSLTDA.
UNIVERSIDAD DE LOS ANDES
UNIVERSIDAD JAVERIANA
WORLDCAD LTDA.
I~NTEC cuenta con un Centro de Informacin que pone a disposicin de los interesados
normas internacionales, regionales y nacionales y otros documentos relacionados.
DIRECCiN DE NORMALIZACiN
NORMA TCNICA COLOMBIANA
"-
NTC-ISO/IEC 27001
CONTENIDO
Pgina
O.
INTRODUCCiN
0.1
GENERALIDADES
0.2
ENFOQUE BASADO EN PROCESOS
0.3
COMPATIBILIDAD CON OTROS SISTEMAS DE GESTION
1.
OBJETO
1.1
GENERALIDADES
1.2
APLiCACiN
2.
REFERENCIA NORMATIVA
3.
TRMINOS Y DEFINICIONES
4.
SISTEMA DE GESTiN DE LA SEGURIDAD DE LA INFORMACION
4.1
REQUISITOS GENERALES
4.2
ESTABLECIMIENTO y GESTION DEL SGSI
4.3
REQUISITOS DE DOCUMENTACiN
5.
RESPONSABILIDAD DE LA DIRECCION
10
5.1
COMPROMISO DE LA DIRECCION
10
5.2
GESTION DE RECURSOS
11
6.
AUDITORfAS INTERNAS DEL SGSI
12
111
"--
NTC-ISO/IEC 27001
Pgina
7.
REVISiN DEL SGSI POR LA DIRECCiN
12
7.1
GENERALIDADES
12
7.2
INFORMACiN PARA LA REVISiN
12
7.3
RESULTADOS DE LA REVISiN
13
8.
MEJORA DEL SGSI
13
8.1
MEJORA CONTINUA
13
8.2
ACCiN CORRECTIVA
14
8.3
ACCiN PREVENTIVA
14
ANEXO A
OBJETIVOS DE CONTROL V CONTROLES
15
ANEXO B
PRINCIPIOS DE LA OCDE V DE ESTA NORMA
33
ANEXO C
CORRESPONDENCIA ENTRE LA NTC-ISO 9001:2000, LA NTC-ISO 14001:2004,
V LA PRESENTE NORMA
34
o.
INTRODUCCIN
0.1
GENERALIDADES
NTC-ISO/IEC 27001
Esta norma ha sido elaborada para brindar un modelo para el establecimiento, implementacin,
operacin, seguimiento, revisin, mantenimiento y mejora de un sistema de gestin de la
seguridad de la informacin (SGSI). La adopcin de un SGSI deberla ser una decisin
estratgica para una organizacin. El diseo e implementacin del SGSI de una organizacin
estn influenciados por las necesidades y objetivos, los requisitos de seguridad, los procesos
empleados y el tamao y estructura de la organizacin. Se espera que estos aspectos y sus
sistemas de apoyo cambien con el tiempo. Se espera que la implementacin de un SGSI se
ajuste de acuerdo con las necesidades de la organizacin, por ejemplo, una situacin simple
requiere una solucin de SGSI simple.
Esta norma se puede usar para evaluar la conformidad, por las partes interesadas, tanto
internas como externas.
0.2
ENFOQUE BASADO EN PROCESOS
Esta norma promueve la adopcin de un enfoque basado en procesos, para establecer,

implementar, operar, hacer seguimiento, mantener y mejorar el SGSI de una organizacin.
Para funcionar eficazmente, una organizacin debe identificar y gestionar muchas actividades.
Se puede considerar como un proceso cualquier actividad que use recursos y cuya gestin
permita la transformacin de entradas en salidas. Con frecuencia, el resultado de un proceso
constituye directamente la entrada del proceso siguiente.
La aplicacin de un sistema de procesos dentro de una organizacin, junto c~n la identificacin
e interacciones entre estos procesos, y su gestin, se puede denominar como un "enfoque
basado en procesos".
El enfoque basado en procesos para la gestin de la seguridad de la informacin, presentado
en esta norma, estimula a sus usuarios a hacer nfasis en la importancia de:
a)
comprender los requisitos de seguridad de la informacin del negocio, y la

necesidad de establecer la polftica y objetivos en relacin con la seguridad de la
informacin;
b)
implementar y operar controles para manejar los riesgos de seguridad de la

informacin de una organizacin en el contexto de los riesgos globales del
negocio de la organizacin;
c)
el seguimiento y revisin del desempeo y eficacia del SGSI. y
d)
la mejora continua basada en la medicin de objetivos.
____
car
NTC-ISO/IEC 27001
Esta norma adopta el modelo de procesos "Planificar-Hacer-Verificar-Actuar"

(PHV A), que se
aplica para estructurar todos los procesos del SGSI. La Figura 1 ilustra cmo el SGSI toma
como elementos de entrada los requisitos de seguridad de la informacin y las expectativas de
las partes interesadas, y a travs de las acciones y procesos necesarios produce resultados de
seguridad de la informacin que cumplen estos requisitos y expectativas. La Figura 1 tambin
ilustra los vfnculos en los procesos especificados en los numerales 4, 5, 6, 7 Y 8.
La adopcin del modelo PHVA tambin reflejar los principios establecidos en las Directrices
OCDE (2002)' que controlan la seguridad de sistemas y redes de informacin. Esta norma
brinda un modelo robusto para implementar los principios en aquellas directrices que controlan
la evaluacin de riesgos, diseo e implementacin de la seguridad, gestin y reevaluacin de la
seguridad.
EJEMPLO 1
Un requisito podrfa ser que las violaciones a la seguridad de la informacin
financiero severo a una organizacin, ni sean motivo de preocupacin para sta.
no causen dao
EJEMPLO 2
Una expectativa podrfa ser que si ocurre un incidente serio, como por ejemplo el Hacking del sitio
web de una organizacin,
haya personas con capacitacin suficiente en los procedimientos
apropiados, para
minimizar el impacto.
/I
~
-
, ,,,
,,
/D
I-" elmejorar
"I I I I\ I\ \ I~
Actuar
SGSII I~
interesadas
el SGSI
Partes
I
SGSI- y " ---------Establecer
yel
operar
Mantener
Planificar
I Implementar
~~~~ ~"""
I
\
j? lJ
la
informacin
gestionada
Seguridad de
Figura 1. Modelo PHV A aplicado a los procesos de SGSI
Directrices OCDE para la seguridad de sistemas y redes de informacin.

Parls: OCDE, Julio de 2002. www.oecd.org.
11
Hacia una cultura de la seguridad.
Planificar (establecer el SGSI)
Hacer (implementar
y operar el SGSI)
Verificar (hacer seguimiento
y revisar el SGSI)
Actuar (mantener y mejorar el SGSI)
0.3
NTC-ISO/lEC 27001
Establecer
la polltica,
los objetivos,
procesos
y
procedimientos de seguridad pertinentes para gestionar
el riesgo y mejorar la seguridad de la informacin, con el
fin de entregar resultados acordes con las pollticas y
Objetivos qlobales de una orqanizacin.
Implementar y operar la polftica, los controles, procesos y
procedimientos del SGSI.
Evaluar, y, en donde sea aplicable, medir el desempeo
del proceso contra la polftica y los objetivos de seguridad
y la experiencia prctica, y reportar los resultados a la
direccin, para su revisin.
Emprender acciones correctivas y preventivas con base
en los resultados de la auditorfa interna del SGSI y la
revisin por la direccin, para lograr la mejora continua
del SGSI.
COMPATIBILIDAD CON OTROS SISTEMAS DE GESTiN
Esta norma est alineada

apoyar la implementacin
relacionados. Un sistema
requisitos de todas estas
norma, la norma NTC-ISO
con la NTC-ISO 9001 :2000 y la NTC-ISO 14001 :2004, con el fin de

y operacin, consistentes e integradas con sistemas de gestin
de gestin diseado adecuadamente puede entonces satisfacer los
normas. La Tabla C.1 ilustra la relacin entre los numerales de esta
9001 :2000 y la NTC-ISO 14001 :2004.
Esta norma est diseada para permitir que una organizacin

requisitos de los sistemas de gestin relacionados.
111
alinee o integre su SGSI con los
NTC-ISO/IEC 27001
TECNOLOGfA DE LA INFORMACiN.
T~CNICAS DE SEGURIDAD. SISTEMAS DE GESTiN DE LA
SEGURIDAD DE LA INFORMACiN (SGSI). REQUISITOS
IMPORTANTE esta publicacin no pretende incluir todas las disposiciones necesarias de un contrato. Los
usuarios son responsables de su correcta aplicacin. El cumplimiento con una norma en' sI misma no confiere
exencin de las obligaciones legales.
1.
OBJETO
1.1
GENERALIDADES
Esta norma cubre todo tipo de organizaciones (por ejemplo: empresas comerciales. agencias
gubernamentales. organizaciones si nimo de lucro). Esta norma especifica los requisitos para
establecer, implementar. operar, hacer seguimiento, revisar, mantener y mejorar un SGSI
documentado dentro del contexto de los riesgos globales del negocio de la organizacin.
Especifica los requisitos para la implementacin de controles de seguridad adaptados a las
necesidades de las organizaciones individuales o a partes de ellas.
El SGSI est diseado para asegurar controles de seguridad suficientes y proporcionales
protejan los activos de informacin y brinden confianza a las partes interesadas.
que
NOTA 1
Las referencias que se hacen en esta norma a "negocio" se deberlan interpretar ampliamente como
aquellas actividades que son esenciales para la existencia de la organizacin.
NOTA2
La NTC-ISO/I EC 17799 brinda orientacin. sobre la implementacin. que se puede usar cuando se
disean controles.
APLICACiN
Los requisitos establecidos en esta norma son genricos y estn previstos para ser aplicables a todas
las organizaciones, independientemente de su tipo. tamao y naturaleza. No es aceptable la
exclusin de cualquiera de los requisitos especificados en los numerales 4, 5, 6, 7 Y 8 cuando una
organizacin declara conformidad con la presente norma.
Cualquier exclusin de controles, considerada necesaria para satisfacer los criterios de
aceptacin de riesgos, necesita justificarse y debe suministrarse evidencia de que los riesgos
asociados han sido aceptados apropiadamente por las personas responsables. En donde se
excluya cualquier control, las declaraciones de conformidad con esta norma no son aceptables
a menos que dichas exclusiones no afecten la capacidad de la organizacin y/o la
responsabilidad para ofrecer seguridad de la informacin que satisfaga los requisitos de
seguridad determinados por la valoracin de riesgos y los requisitos reglamentarios aplicables.
NOTA
Si una organizacin ya tiene en funcionamiento un sistema de gestin de los procesos de su negocio (por
ejemplo:en relacin con la NTC-ISO 9001 o NTC-ISO 14001l. en la mayorla de los casos es preferible satisfacer los
requisitosde la presente norma dentro de este sistema de gestin existente.

2.
NTC-ISO/IEC 27001
REFERENCIA NORMATIVA
El siguiente documento referenciado es indispensable para la aplicacin de esta norma. Para

referencias fechadas, slo se aplica la edicin citada. Para referencias no fechadas, se aplica
la ltima edicin del documento referenciado (incluida cualquier correccin).
NTC-ISO/IEC 17799:2006, Tecnologra de la informacin. Tcnicas de seguridad. Cdigo de prctica
para la gestin de la seguridad de la informacin.
3.
TRMINOS V DEFINICIONES
Para los propsitos de esta norma, se aplican los siguientes trminos y definiciones:
3.../
;{eptacin
del riesgo
decisin de asumir un riesgo.
[Gura ISO/lEC 73:2002]
3.2.
activo
cualquier cosa que tiene valor para la organizacin.
[NTC 5411-1 :2006]
3.3
anlisis de riesgo
uso sistemtico de la informacin para identificar las fuentes y estimar el riesgo.
3.4
cQnfidencialidad
propiedad que determina que la informacin no est disponible ni sea revelada a individuos,
~ntidades
o procesos
no autorizados.
[~
5411-1
:2006]
3.5
declaracin de aplicabilidad
documento que describe los objetivos de control y los controles pertinentes y aplicables para el
SGSI de la organizacin.
NOTA
Los objetivos de control y los controles se basan en los resultados y conclusiones de los procesos de
valoracin y tratamiento de riesgos, requisitos legales o reglamentarios, obligaciones contractuales y los requisitos
del negocio de la organizacin en cuanto a la seguridad de la informacin.
3.6
disponibilidad
propiedad de que la informacin
autorizada.
sea accesible
[NTC 5411-1 :2006J

2
y utilizable
por solicitud de una entidad
NTC-ISO/IEC 27001
3.7
evaluacin del riesgo

proceso de comparar el riesgo estimado contra criterios de riesgo dados, para determinar la
importancia del riesgo.
3.8
evento de seguridad de la informacin
presencia identificada de una condicin de un sistema, servicio o red, que indica una posible
violacin de la polrtica de seguridad de la informacin o la falla de las salvaguardas, o una
situacin desconocida previamente que puede ser pertinente a la seguridad.
[IIEC
3.9
TR 18044:2004]
gestin del riesgo

actividades coordinadas para dirigir y controlar una organizacin en relacin con el riesgo.
3.10
incidente de seguridad de la informacin

un evento o serie de eventos de seguridad de la informacin no deseados o inesperados, que
tienen una probabilidad significativa de comprometer las operaciones del negocio y amenazar
la seguridad de la informacin.
[ISO/lEC TR 18044:2004]
3.11
integridad
propiedad de salvaguardar la exactitud y estado completo de los activos.
[NTC 5411-1 :2006]
t12
iesgo residual
ni el restante de riesgo despus del tratamiento del riesgo.
3.13
seguridad de la informacin
preservacin de la confidencialidad, la integridad y la disponibilidad de la informacin; adems,
puede involucrar otras propiedades tales como: autenticidad, trazabilidad (Accountability) , no
repudio y fiabilidad.
[NTC-ISOIIEC 17799:2006]
3.14
sistema de gestin de la seguridad de la informacin
SGSI
parte del sistema de gestin global, basada en un enfoque hacia los riesgos globales de un
negocio, cuyo fin es establecer, implementar, operar, hacer seguimiento, revisar, mantener y
mejorar la seguridad de la informacin.
NTC-ISO/IEC 27001
NOTA
El sistema de gestin incluye la estructura organizacional, polfticas, actividades de planificacin,
responsabilidades,prcticas, procedimientos, procesos y recursos.
3.15
tratamiento del riesgo
proceso de seleccin e implementacin
de medidas para modificar el riesgo.
[Gufa ISOIIEC 73:2002]

NOTA
En la presente norma el trmino "control" se usa como sinnimo de "medida".
3.16
val0y-cin del riesgo

pceso global de anlisis y evaluacin del riesgo.
4.
SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACION
4.1
REQUISITOS GENERALES
La organizacin debe establecer, implementar, operar, hacer seguimiento, revisar, mantener y

mejorar un SGSI documentado, en el contexto de las actividades globales del negocio de la
organizacin y de los riesgos que enfrenta. Para los propsitos de esta norma, el proceso
usado se basa en el modelo PHV A que se ilustra en la Figura 1.
4.2
ESTABLECIMIENTO
4.2.1
Establecimiento
V GESTION DEL SGSI
del SGSI
La organizacin debe:
a)
Definir el alcance y Ifmites del SGSI en trminos de las caracterfsticas del

negocio, la organizacin, su ubicacin, sus activos, tecnologfa, e incluir los
detalles y justificacin de cualquier exclusin del alcance (vase el numeral 1.2).
b)
Definir una polftica de SGSI en trminos de las caracterrsticas

organizacin, su ubicacin, sus activos y tecnologfa, que:
del negocio, la
1)
incluya un marco de referencia para fUar objetivos y establezca un sentido

general de direccin y principios para la accin con relacin a la seguridad
de la informacin;
2)
tenga en cuenta los requisitos del negocio, los legales o reglamentarios, y

las obligaciones de seguridad contractuales;
3)
est alineada con el contexto organizacional estratgico de gestin del

riesgo en el cual tendr lugar el establecimiento y mantenimiento del SGSI;
4)
establezca los criterios contra los cuales se evaluar el riesgo. (Vase el

numeral 4.2.1, literal c) y;

5)
c)
NTC-ISO/IEC 27001
haya sido aprobada por la direccin.
Definir el enfoque organizacional para la valoracin del riesgo.

1)
Identificar una metodologfa de valoracin del riesgo que sea adecuada al

SGSI y a los requisitos reglamentarios, legales y de seguridad de la
informacin del negocio, identificados.
2)
Desarrollar criterios para la aceptacin de riesgos, e identificar los niveles

de riesgo aceptables. (Vase el numeral 5.1, literal f).
La metodologfa seleccionada para valoracin de riesgos debe asegurar que

dichas valoraciones producen resultados comparables y reproducibles.
NOTA
Existen diferentes metodologfas para la valoracin de riesgos. En el documento

TR 13335-3, Information technology. Guidelines for the Management of IT SecurityTechniques for the Management of IT Security se presentan algunos ejemplos.
ISO/lEe
d)
e)
f)
Identificar los riesgos

1)
identificar los activos dentro del alcance del SGSI y los propietaros2 de
estos activos.
2)
identificar las amenazas a estos activos.
3)
identificar las vulnerabilidades que podrfan ser aprovechadas por las

amenazas.
4)
Identificar los impactos que la prdida de confidencialidad, integridad y

disponibilidad puede tener sobre estos activos.
Analizar y evaluar los riesgos.

1)
valorar el impacto de negocios que podrfa causar una falla en la

seguridad, sobre la organizacin, teniendo en cuenta las consecuencias
de la prdida de confidencialidad, integridad o disponibilidad de los
activos.
2)
valorar la posibilidad realista de que ocurra una falla en la seguridad,

considerando las amenazas, las vulnerabilidades, los impactos asociados
con estos activos, y los controles implementados actualmente.
3)
estimar los niveles de los riesgos.
4)
determinar la aceptacin del riesgo o la necesidad de su tratamiento a

partir de los criterios establecidos en el numeral 4.2.1, literal c).
Identificar y evalUar las opciones para el tratamiento de los riesgos.

Las posibles acciones incluyen:
El trmino propietario" identifica a un individuo o entidad que tiene la responsabilidad, designada por la
gerencia, de controlar la produccin, desarrollo, mantenimiento, uso y seguridad de los activos. El trmino
"propietario" no quiere decir que la persona realmente tenga algn derecho de propiedad sobre el activo.
g)
NTC-ISO/IEC 27001
1)
aplicar los controles apropiados.
2)
aceptar los riesgos con conocimiento y objetividad, siempre y cuando

satisfagan claramente la polftica y los criterios de la organizacin para la
aceptacin de riesgos (vase el numeral 4.2.1, literal c));
3)
evitar riesgos, y
4)
transferir a otras partes los riesgos asociados

ejemplo: aseguradoras, proveedores, etc.
con el negocio,
por
Seleccionar los objetivos de control y los controles para el tratamiento de los

riesgos.
Los objetivos de control y los controles se deben seleccionar e implementar de
manera que cumplan los requisitos identificados en el proceso de valoracin y
tratamiento de riesgos. Esta seleccin debe tener en cuenta los criterios para la
aceptacin de riesgos (vase el numeral 4.2.1. literal c)), al igual que los requisitos
legales, reglamentarios y contractuales.
Los objetivos de control y los controles del Anexo A se deben seleccionar como
parte de este proceso, en tanto sean adecuados para cubrir estos requisitos.
Los objetivos de control y los controles presentados en el Anexo A no son
exhaustivos, por lo que puede ser necesario seleccionar objetivos de control y
controles adicionales.
NOTA El Anexo A contiene una lista amplia de objetivos de control y controles que comnmente
se han encontrado pertinentes en las organizaciones. Se sugiere a los usuarios de esta norma
consultar el Anexo A como punto de partida para la seleccin de controles, con el fin de
asegurarse de que no se pasan por alto opciones de control importantes.
h)
Obtener la aprobacin de la direccin sobre los riesgos residuales propuestos.
i)
Obtener autorizacin de la direccin para implementar y operar el SGSI.
j)
Elaborar una declaracin de aplicabilidad.

Se debe elaborar una declaracin de aplicabilidad que incluya:
1)
Los objetivos de control y los controles, seleccionados en el numeral 4.2.1,

literal g) y las razones para su seleccin.
2)
Los objetivos de control y los controles implementados actualmente (vase

el numeral 4.2.1., literal e) 2)), y
3)
La exclusin de cualquier objetivo de control y controles enumerados en el

Anexo A y lajustificacin para su exclusin.
NOTA La declaracin de aplicabilidad proporciona un resumen de las decisiones concernientes

al tratamiento de los riesgos. Lajustificacin de las exclusiones permite validar que ningn control
se omita involuntariamente.

4.2.2 Implementacin
NTC-ISO/IEC 27001
y operacin del SGSI
Laorganizacindebe:
a)
formular un plan para el tratamiento de riesgos que identifique la accin de

gestin apropiada, los recursos, responsabilidades y prioridades para manejar
los riesgos de seguridad de la informacin (vase el numeral 5);
b)
implementar el plan de tratamiento de riesgos para lograr los objetivos de control

identificados, que incluye considerar la financiacin y la asignacin de funciones
y responsabilidades;
c)
implementar los controles seleccionados en el numeral 4.2.1, literal g) para

cumplir los objetivos de control;
d)
definir cmo medir la eficacia de los controles o grupos de controles

seleccionados, y especificar cmo se van a usar estas mediciones con el fin de
valorar la eficacia de los controles para producir resultados comparables y
reproducibles (vase el numeral 4.2.3 literal c));
NOTA
La medicin de la eficacia de los controles permite a los gerentes y al personal determinar
la medida en que se cumplen los objetivos de control planificados.
4.2.3
e)
implementar programas de formacin y de toma de conciencia, (vase el

numeral 5.2.2);
f)
gestionar la operacin del SGSI;
g)
gestionar los recursos del SGSI (vase el numeral 5.2);
h)
implementar procedimientos y otros controles para detectar y dar respuesta

oportuna a los incidentes de seguridad (vase el numeral 4.2.3).
Seguimiento y revisin del SGSI
Laorganizacin debe:
a)
Ejecutar procedimientos de seguimiento y revisin y otros controles para:

1)
detectar rpidamente errores en los resultados del procesamiento;
2)
identificar con prontitud los incidentes e intentos de violacin a la

seguridad, tanto los que tuvieron xito como los que fracasaron;
3)
posibilitar que la direccin determine si las actividades de seguridad

delegadas a las personas o implementadas mediante tecnologfa de la
informacin se estn ejecutando en la forma esperada;
4)
ayudar a detectar eventos de seguridad, y de esta manera impedir

incidentes de seguridad mediante el uso de indicadores, y
5)
determinar si las acciones tomadas para solucionar un problema de

violacin a la seguridad fueron eficaces.
7
NTC-ISO/IEC 27001
b)
Emprender revIsiones regulares de la eficacia del SGSI (que incluyen el

cumplimiento de la polftica y objetivos del SGSI. y la revisin de los controles de
seguridad) teniendo en cuenta los resultados de las auditorias de seguridad,
incidentes, medicin de la eficacia sugerencias y retroalimentacin de todas las
partes interesadas.
c)
Medir la eficacia de los controles para verificar que se han cumplido los
requisitos de seguridad.
d)
Revisar las valoraciones de los riesgos a intervalos planificados, y revisar el nivel

de riesgo residual y riesgo aceptable identificado, teniendo en cuenta los
cambios en:
\
e)
1)
la organizacin,
2)
la tecnologfa,
3)
los objetivos y procesos del negocio,

1)
las amenazas identificadas,
2)
la eficacia de los controles implementados, y
3)
evntos externos, tales como cambios en el entorno legal o

reglamentario,en las obligacionescontractuales,y en el clima social.
Realizarauditorfas internasdel SGSI a intervalosplanificados(vase el numeral6).

NOTA Las auditorfas internas. denominadas algunas veces auditorfas de primera parte. las
realiza la propia organizacin u otra organizacin en su nombre. para propsitos internos.
f)
Emprender una revisin del SGSI, realizada por la direccin, en forma regular para
asegurar que el alcance siga siendo suficiente y que se identifiquen mejoras al
proceso de SGSI (vaseel numeral 7.1).
g)
Actualizar los planes de seguridad para tener en cuenta las conclusiones de las
actividades de seguimiento y revisin.
h)
Registrar acciones y eventos que podrfan tener impacto en la eficacia o el

desempeo del SGSI (vase el numeral 4.3.3).
4.2.4 Mantenimiento
y mejora del SGSI
Laorganizacin debe, regularmente:

a)
Implementar las mejoras identificadas en el SGSI;
b)
Emprender las acciones correctivas y preventivas adecuadas de acuerdo con los

numerales 8.2 y 8.3. Aplicar las lecciones aprendidas de las experiencias de
seguridad de otras organizaciones y las de la propia organizacin;
c)
Comunicar las acciones y mejoras a todas las partes interesadas, con un nivel
de detalle apropiado a las circunstancias, y en donde sea pertinente, llegar a
acuerdos sobre cmo proceder;
d)
4.3
NTC-ISO/IEC 27001
Asegurar que las mejoras logran los objetivos previstos.
REQUISITOS DE DOCUMENTACIN
4.3.1 Generalidades
La documentacin del SGSI debe incluir registros de las decisiones de la direccin, asegurar
que las acciones sean trazables a las decisiones y polfticas de la gerencia, y que los resultados
registrados sean reproducibles.
Es importante estar en capacidad de demostrar la relacin entre los controles seleccionados y
los resultados del proceso de valoracin y tratamiento de riesgos, y seguidamente, con la
PQlfticay--.objetivos del SGSI.
La documentacin del SGSI debe incluir:
a)
declaraciones documentadas
numeral 4.2.1, literal b));
b)
el alcance del SGSI (vase el numeral 4.2.1, literal a))
c)
los procedimientos y controles que apoyan el SGSI;
d)
una descripcin de la metodologfa de valoracin de riesgos (vase el numeral 4.2.1,

literal c));
e)
el informe de valoracin de riesgos (vase el numeral 4.2.1, literales c) a g));
f)
el plan de tratamiento de riesgos (vase el numeral 4.2.2, literal b));
g)
Los procedimientos documentados que necesita la organizacin para asegurar la

eficacia de la planificacin, operacin y control de sus procesos de seguridad de
la informacin, y para describir cmo medir la eficacia de los controles (vase el
numeral 4.2.3, literal c));
h)
Los registros exigidos por esta norma (vase el numeral 4.3.3), y
i)
La declaracin de aplicabilidad.
NOTA 1
En esta norma, el trmino "procedimiento
documentado, implementado y mantenido.
NOTA 2
El alcance de la documentacin
NOTA 3
Los documentos
documentado"
del SGSI
significa que el procedimiento
del SGSI puede ser diferente de una organizacin
El tamao de la organizacin
El alcance y complejidad
de la poltica y objetivos
y el tipo de sus actividades,
(vase el
est establecido,
a otra debido a:
de los requisitos de seguridad y del sistema que se est gestionando.
y registros pueden tener cualquier forma o estar en cualquier tipo de medio.
4.3.2 Control de documentos

Los documentos exigidos por el SGSI se deben proteger y controlar. Se debe establecer un
procedimiento documentado para definir las acciones de gestin necesarias para:
9
NTC-ISO/IEC 27001
a)
aprobar los documentos en cuanto a su suficiencia antes de su publicacin;
b)
revisar y actualizar los documentos segn sea necesario y reaprobarlos;
c)
asegurar que los cambios y el estado de actualizacin de los documentos estn

identificados;
d)
asegurar que las versiones ms recientes de los documentos pertinentes estn

disponibles en los puntos de uso;
e)
asegurar que los documentos permanezcan legibles y fcilmente identificables;
f)
asegurar que los documentos estn disponibles para quienes los necesiten, y
que se apliquen los procedimientos pertinentes, de acuerdo con su clasificacin,
para su transferencia, almacenamiento y disposicin final.
g)
asegurar que los documentos de origen externo estn identificados;
h)
asegurar que la distribucin de documentos est controlada;
i)
impedir el uso no previsto de los documentos obsoletos, y
j)
aplicar la identificacin adecuada a los documentos obsoletos, si se retienen

para cualquier propsito.
4.3.3 Control de registros
Se deben establecer y mantener registros para brindar evidencia de la conformidad con los
requisitosy la operacin eficaz del SGSI. Los registros deben estar protegidos y controlados. El
SGSI debe tener en cuenta cualquier requisito legal o reglamentario y las obligaciones
contractualespertinentes. Los registros deben permanecer legibles, fcilmente identificables y
recuperables. Los controles necesarios para la identificacin, almacenamiento, proteccin,
recuperacin, tiempo de retencin y disposicin de registros se deben documentar e
implementar.
Sedeben llevar registros del desempeo del proceso, como se esboza en el numeral 4.2, y de
todoslos casos de incidentes de seguridad significativos relacionados con el SGSI.
EJEMPLO
Algunos ejemplos de registros son: un libro de visitantes. informes de auditorfas y formatos de
autorizacinde acceso diligenciados.
5.
RESPONSABILIDAD DE LA DIRECCiN
5.1
COMPROMISO DE LA DIRECCiN
La direccin debe brindar evidencia de su compromiso con el establecimiento, implementacin,

operacin,seguimiento, revisin, mantenimiento y mejora del SGSI:
a)
mediante el establecimiento de una polftica del SGSI;
b)
asegurando que se establezcan los objetivos y planes del SGSI;
c)
estableciendo funciones y responsabilidades de seguridad de la informacin;
10
5.2
NTC-ISO/lEC 27001
d)
comunicando a la organizacin la importancia de cumplir los objetivos de seguridad

de la informaciny de la conformidadcon la poHticade seguridad de la informacin,
sus responsabilidadesbajo la ley, y la necesidad de la mejora continua;
e)
brindando los recursos suficientes para establecer, implementar, operar, hacer

seguimiento, revisar, mantener y mejorar un SGSI (vase el numeral 5.2.1);
f)
decidiendo los criterios para aceptacin de riesgos, y los niveles de riesgo

aceptables;
g)
asegurando que se realizan auditorfas internas del SGSI (vase el numeral 6), y
h)
efectuando las revisiones por la direccin, del SGSI (vase el numeral 7).
GESTiN DE RECURSOS
5.2.1 Provisin de recursos
Laorganizacin debe determinar y suministrar los recursos necesarios para:

a)
establecer, implementar, operar, hacer seguimiento, revisar, mantener y mejorar

un SGSI;
b)
asegurar que los procedimientos de seguridad de la informacin brindan apoyo a

los requisitos del negocio;
c)
identificar y atender los requisitos legales y reglamentarios, asf como las

obligaciones de seguridad contractuales;
d)
mantener la seguridad suficiente mediante la aplicacin correcta de todos los

controles implementados;
e)
llevar a cabo revisiones cuando sea necesario, y reaccionar apropiadamente a

los resultados de estas revisiones; y
f)
en donde se requiera, mejorar la eficacia del SGSI.
5.2.2 Formacin, toma de conciencia y competencia

La organizacin debe asegurar que todo el personal al que se asigne responsabilidades
definidasen el SGSI sea competente para realizar las tareas exigidas, mediante:
a)
la determinacin de las competencias necesarias para el personal que ejecute el

trabajo que afecta el SGSI;
b)
el suministro de formacin o realizacin de otras acciones (por ejemplo, la

contratacin de personal competente) para satisfacer estas necesidades;
c)
la evaluacin de la eficacia de las acciones emprendidas, y
d)
el mantenimiento de registros de la educacin, formacin, habilidades,

experiencia y calificaciones (vase el numeral 4.3.3).
11
NORMATCNICA COLOMBIANA
NTC-ISO/IEC 27001
La organizacin tambin debe asegurar que todo el personal apropiado tiene conciencia de la
pertinencia e importancia de sus actividades de seguridad de la informacin y cmo ellas
contribuyen al logro de los objetivos del SGSI.
6.
AUDlTORIAS INTERNAS DEL SGSI
La organizacin debe llevar a cabo auditorfas internas del SGSI a intervalos planificados, para
determinar si los objetivos de control, controles, procesos y procedimientos de su SGSI:
a)
cumplen
los requisitos
de
regla mentaciones pertinentes;
la
presente
norma
de
la
b)
cumplen los requisitos identificados de seguridad de la informacin;
c)
estn implementados
d)
tienen un desempeo acorde con lo esperado.
legislacin
y se mantienen eficazmente, y
Se debe planificar un programa de auditorfas tomando en cuenta el estado e importancia de los

procesos y las reas que se van a auditar, asf como los resultados de las auditorfas previas. Se
deben definir los criterios, el alcance. la frecuencia y los mtodos de la auditorfa. La seleccin
de los auditores y la realizacin de las auditorfas deben asegurar la objetividad e imparcialidad
del proceso de auditorfa. Los auditores no deben auditar su propio trabajo.
Se deben definir en un procedimiento documentado las responsabilidades y requisitos para la
planificacin y realizacin de las auditorfas. para informar los resultados, y para mantener los
registros (vase el numeral 4.3.3).
La direccin responsable del rea auditada debe asegurarse de que las acciones para eliminar
las no conformidades detectadas y sus causas, se emprendan sin demora injustificada. Las
actividades de seguimiento deben incluir la verificacin de las acciones tomadas y el reporte de
los resultados de la verificacin.
NOTA La norma NTC-ISO 19011 :2002, Directrices para la auditorfa de los sistemas de gestin de la calidad y/o
ambiente puede brindar orientacin til para la realizacin de auditorfas internas del SGSI.
7.
REVISIN DEL SGSI POR LA DIRECCIN
7.1
GENERALIDADES
Ladireccin debe revisar el SGSI de la organizacin a intervalos planificados(por lo menos una

vezal ao), para asegurar su conveniencia, suficiencia y eficacia continuas. Esta revisin debe
incluir la evaluacin de las oportunidades de mejora y la necesidad de cambios del SGSI.
incluidosla polftica de seguridad y los objetivos de seguridad. Los resultados de las revisiones
sedeben documentar claramente y se deben llevar registros (vase el numeral 4.3.3).
7.2
INFORMACIN
PARA LA REVISIN
Lasentradas para la revisin por la direccin deben incluir:

a)
resultados de las auditorfas y revisiones del SGSI;
b)
retroalimentacin
de las partes interesadas;
12
, ...
--------
---
NORMA
713
TCNICA COLOMBIANA
NTC-ISOIIEC 27001
c)
tcnicas, productos o procedimientos que se pueden usar en la organizacin

para mejorar el desempeo y eficacia del SGSI;
d)
estado de las acciones correctivas y preventivas;
e)
vulnerabilidades o amenazas no tratadas adecuadamente en la valoracin previa

de los riesgos;
f)
resultados de las mediciones de eficacia;
g)
acciones de seguimiento resultantes de revisiones anteriores por la direccin;
h)
cualquier cambio que pueda afectar el SGSI; y
i)
recomendaciones para mejoras.
RESULTADOS DE LA REVISiN
Los resultados de la revisin por la direccin deben incluir cualquier decisin y accin
relacionadacon:
a)
la mejora de la eficacia del SGSI;
b)
la actualizacin de la evaluacin de riesgos y del plan de tratamiento de riesgos.
c)
La modificacin de los procedimientos y controles que afectan la seguridad de la

informacin, segn sea necesario, para responder a eventos internos o externos
que pueden tener impacto en el SGSI, incluidos cambios a:
1)
los requisitos del negocio,
2)
los requisitos de seguridad,
3)
los procesosdel negocio que afectan los requisitosdel negocio existentes,
4)
los requisitos reglamentarios o legales,
5)
las obligaciones contractuales, y
6)
los niveles de riesgo y/o niveles de aceptacin de riesgos.
d)
los recursos necesarios.
e)
la mejora a la manera en que se mide la eficacia de los controles.
8.
MEJORA DEL SGSI
8.1
MEJORA CONTINUA
Laorganizacindebe mejorar continuamente la eficacia del SGSI mediante el uso de la polftica

seguridadde la informacin, los objetivos de seguridad de la informacin, los resultados de
laauditorfa,el anlisis de los eventos a los que se les ha hecho seguimiento, las acciones
correctivas
y preventivas y la revisin por la direccin.
de
13
8.2
NTC-ISO/IEC 27001
ACCiN CORRECTIVA
La organizacin debe emprender acciones para eliminar la causa de no conformidades

asociadas con los requisitos del SGSI. con el fin de prevenir que ocurran nuevamente. El
procedimiento documentado para la accin correctiva debe definir requisitos para:
8.3
a)
identificar las no conformidades;
b)
determinar las causas de las no conformidades;
c)
evaluar la necesidad de acciones que aseguren que las no conformidades

vuelven a ocurrir;
d)
determinar e implementar la accin correctiva necesaria;
e)
registrar los resultados de la accin tomada (vase el numeral 4.3.3); y
f)
revisar la accin correctiva tomada.
no
ACCION PREVENTIVA
La organizacin debe determinar acciones para eliminar la causa de no conformidades

potenciales con los requisitos del SGSI y evitar que ocurran. Las acciones preventivas tomadas
debenser apropiadas al impacto de los problemas potenciales. El procedimiento documentado
parala accin preventiva debe definir requisitos para:
a)
identificar no conformidades
potenciales y sus causas;
b)
evaluar la necesidad de acciones para impedir que las no conformidades ocurran.
c)
determinar e implementar la accin preventiva necesaria;
d)
registrar los resultados de la accin tomada (vase el numeral 4.3.3), y
e)
revisar la accin preventiva tomada.
La organizacin debe identificar los cambios en los riesgos e identificar los requisitos en
cuanto acciones preventivas. concentrando la atencin en los riesgos que han
cambiado significativa mente.
La prioridad de las acciones preventivas se debe determinar con base en los resultados de la
valoracinde los riesgos.
NOTA Las acciones para prevenir no conformidades
con frecuencia
14
son ms rentables que la accin correctiva.
NTC-ISO/IEC 27001
ANEXO A
(Normativo)
OBJETIVOS DE CONTROL Y CONTROLES
A.l
INTRODUCCiN
Los objetivos de control y los controles enumerados en la Tabla A.1 se han obtenido
directamente de los de la NTC-ISO/IEC 17799:2005. numerales 5 a 15. y estn alineados con
ellos. Las listas de estas tablas no son exhaustivas, y la organizacin puede considerar que se
necesitanobjetivos de control y controles adicionales. Los objetivos de control y controles de estas
tablasse deben seleccionar como parte del proceso de SGSI especificado en el numeral 4.2.1.
/La norma NTC- ISO/lEC 17799:2005. numerales 5 a 15. proporciona asesorfa y orientacin sobre
l~ejOres
prcticas de apoyo a los controles especificados en el literal A.5 a A.15.
Tabla A.1. Objetivos de control y controles

, Se
comunicar
todos
la
la
activamente
coordinadas
los
los
la
cambios
la
de
de
la
de
de
todas
las
de
ser
las
claramente
definir
deben
todas
la
de
la
de
a
Control
d
e
la
direccin
La
debe
de
Revisin
producen
Documento
deben
de
actividades
de
direccin
publicar
yde
polftica
polftica
seguridad
significativos,
para para
rumbo
con
claro,unun compromiso demostrado, una
seguridad
por
partes
seguridad
dentro
de organizacin
lade la Control
apoyar
Compromiso
Coordinacin
seguridad
Asignacin
RIDAD.J
se
debe
a,
suficiente
informacin.
vA.5.l.l
eficaz.
Las polftica
pLA
ertinentes.
direccin
aprobar
dad
dedebe
la
es.
La
de
seguridad
de un
la documento
informacin
se
responsabilidades
laborales
n.
de
acuerdo
revisar
a los
intervalos
requisitos
ne<:ocioy
o cuando
losy las
re<:lamentos
y las
leyes
pertinentes.de
asignacin
expllcita
y de
el planificados
conocimiento
de
polltica
decon
seguridad
ladelinformacin
lo debe
AD
DE
INFORMACIN
.cin.
A.6.1
Organizacin
interna
A.S.1 Politica de seguridad de la informacin
Objetivo: Brindar
qestionarapoyo
la sequridad
de laainformacin
de la orqanizacin.
Objetivo:
y orientacin
la direccin dentro
con respecto
a la seguridad de la informacin,
Contina ...
15
NORMA
TCNICA COLOMBIANA
NTC-ISO/IEC 27001
Tabla A.1. (Continuacin)
A.G
ORGANIZACIN
A.6.1.4
A.6.1.5
A.6.1.6
ir.1.7
A.6.1.8
A.G.2
DE LA SEGURIDAD
DE LA INFORMACIN
I Proceso de autorizacin para I Control

los servicios de procesamiento
de informacin.
Se debe definir e implementar un proceso de
autorizacinde la direccin para nuevos servicios
de procesamientode informacin.
Acuerdos
sobre Control
confidencialidad
Se deben identificar y revisar con regularidad los
requisitos de confidencialidad o los acuerdos de
no-divulgacin que reflejan las necesidades de
la organizacin para la proteccin de la
informacin.
Control
Contacto con las autoridades
Se deben mantener contactos apropiados con
las autoridades pertinentes.
Contacto con grupos de inters I Control
especiales
Se deben mantener los contactos apropiados
con grupos de inters especiales, otros foros
especializados en seguridad de la informacin,
y asociaciones de profesionales.
Revisin independiente de la I Control
seguridad de la informacin.
El enfoque de la organizacin para la gestin de
la seguridad de la informacin y su
implementacin (es decir, objetivos de control,
controles, polfticas, procesos y procedimientos
para seguridad de la informacin) se deben
revisar
independientemente a
intervalos
planificados, o cuando ocurran cambios
significativos en la implementacin de la
sequridad.
Partes externas
Objetivo:mantener la seguridad de la informacin y de los servicIos de procesamiento de

informacinde la organizacin a los cuales tienen acceso partes externas o que son procesados,
comunicadoso diri idos or stas.
A.6.2.1
Identificacin de los riesgos Control
relacionados con las partes
externas.
Se deben identificar los riesgos para la
informacin y los servicios de procesamiento de
informacin de la organizacin de los procesos del
negocio que involucran partes externas e
implementar los controles apropiados antes de
autorizar el acceso.
Consideraciones
de
la Control
A.6.2.2
seguridad cuando se trata
con los clientes
Todos los requisitos de seguridad identificados se
deben considerar antes de dar acceso a los
clientes a los activos o la informacin de la
oq:anizacin
Consideraciones
A.6.2.3
de
la Control
seguridad en los acuerdos
con terceras partes
Los acuerdos con terceras partes que implican
acceso, procesamiento, comunicacin o gestin
de la informacin o de los servicios de
procesamiento de informacin de la organizacin,
o la adicin de productos o servicios a los
servicios de procesamiento de la informacin
deben considerar todos los requisitos pertinentes
de sequridad
16
NORMAT~CNICA COLOMBIANA
NTC-ISO/IEC 27001
A.7 GESTIN DE ACTIVOS=}
A.7.1 Responsabilidad
por los activos
Objetivo: lograr y mantener la proteccin adecuada de los activos organizacionales.

A.7.1.1 I Inventario de activos
Control
Todos los activos deben estar claramente identificados y se deben
elaborar y mantener un inventario de todos los activos importantes.
A.7.1.2 I Propiedad de los activos
Control
Toda la informacin y los activos asociados con los servIcIos de
procesamiento de informacin deben ser "propiedad,,3) de una parte
designada de la organizacin
Control
\.1.3
I Uso aceptable
de los activos
Se deben identificar, documentar e implementar las reglas sobre el
uso aceptable de la informacin y de los activos asociados con los
servicios de procesamiento de la informacin
A.7.2 Clasificacin
de la informacin
Objetivo: asegurar que la informacin

A.7.2.1 I Directrices de clasificacin
A.7.2.2 I Etiquetado
informacin
manejo
recibe el nivel de proteccin adecuado.

Control
La informacin se debe clasificar en trminos de su valor, de los
requisitos legales, de la sensibilidad y la importancia para la
organizacin.
de I Control
Se deben desarrollar e implementar un conjunto de procedimientos
adecuados
ara el etiquetado y el manejo de la informacin de
acuerdo al s uema de clasificacin ado tado or la or anizacin
A.S SEGURIDAD DE LOS RECURSOS HUMANOS

A.S.1Antes de la contratacin laboral 41
Objetivo: asegurar que los empleados, contratistas y usuarios por tercera parte
entienden sus responsabilidades
y son adecuados para los roles para los que se los
considera, reducir el ries o de robo, fraude o uso inadecuado de las instalaciones.
A.B.l.l
Roles y responsabilidades
Control
Se deben definir y documentar los roles y
responsabilidades
de
los
empleados,
contratistas y usuarios de terceras partes
por la seguridad, de acuerdo con la polftica
de seguridad de la informacin de la
orqanizacin
3)
41
El trmino "propietario" identifica a un individuo o una entidad que tiene responsabilidad aprobada de la
direccin por el control de la produccin, el desarrollo, el mantenimiento, el uso y la seguridad de los
activos. El trmino "propietario" no implica que la persona tenga realmente los derechos de propiedad de
los activos.
Explicacin: La palabra "contratacin laboral" cubre todas las siguientes situaciones: empleo de personas
(temporal o a trmino indefinido), asignacin de roles de trabajo, cambio de roles de trabajo, asignacin de
contratos, y la terminacin de cualquiera de estos acuerdos
17
NORMA
TCNICA COLOMBIANA
NTC-ISO/IEC 27001
A.a SEGURIDAD
DE LOS RECURSOS
HUMANOS
A.8.1.2 I Seleccin
I Control
Se deben realizar revIsiones para la
verificacin de antecedentes de los
candidatos a ser empleados, contratistas o
usuarios de terceras partes, de acuerdo con
los reglamentos, la tica y las leyes
pertinentes, y deben ser proporcionales a
los requisitos del negocio, la clasificacin de
la informacin a la cual se va a tener
acceso y los riesgos percibidos
"
A.8.1.3 I Trminos
laborales.
condiciones I Control
Como parte de su obligacin contractual,
los empleados, contratistas y usuarios de
terceras partes deben estar de acuerdo y
firmar los trminos y condiciones de su
contrato laboral, el cual debe establecer
sus responsabilidades y las de la
organizacin con relacin a la seguridad
de la informacin.
A.B.2
Durante la vigencia de la contratacin
laboral
Objetivo:asegurar que todos los empleados, contratistas y usuarios de terceras partes

estnconscientes de las amenazas y preocupaciones respecto a la seguridad de la
informacin,sus responsabilidades y sus deberes, y que estn equipados para apoyar
la polftica de seguridad de la organizacin en el transcurso de su trabajo normal, al
igualque reducir el riesgo de error humano.
A.8.2.1I Responsabilidades
direccin
de
A.8.2.2I Educacin,
formacin
concientizacin
sobre
seguridad de la informacin
A.8.2.3I Proceso disciplinario
la I Control
La direccin debe exigir que los empleados,
contratistas y usuarios de terceras partes
apliquen la seguridad segn las polfticas y
los procedimientos establecidos por la
or~anizacin.
y I Control
la
Todos los empleados de la organizacin y,

cuando sea pertinente, los contratistas y los
usuarios de terceras partes deben recibir
formacin adecuada en concientizacin y
actualizaciones regulares sobre las polfticas
y los procedimientos de la organizacin,
segn sea pertinente para sus funciones
laborales.
Control
Debe existir un proceso disciplinario formal
para los empleados que hayan cometido
alguna violacin de la seguridad
18
NORMA
T~CNICA COLOMBIANA
NTC-ISO/IEC 27001
laboral, contrato o acuerdo.

la
se
dla
eben
el
cabo
llevar
de
las
tales
A.S SEGURIDAD
oaislar
DE
LOS
HUMANOS
donde
amenazas
Control
Control
las
Control
como
utilizar
cambio
la
adefinir
d
e
o si
las
no
del
Los
paredes,
Sese
de
contratacin
Control
todos
los
de
de
asignar
cPerfmetro
laramente
de
proteger
tales
en RECURSOS
deben
acceso
como
manifestaciones
los
derechos
de
los
contra
seguridad
perfmetros
puertas
Control
Devolucin
de
activos
Control
derechos
de
despus
las
instalaciones
deben
Proteccin
Se
Controles
acceso
ffsico.
recepcin
atendidos)
yoficinas,
ajustar
Retiro
para
explosin,
protecciones
aplicar
pueda
personal
Seguridad
para
Responsabilidades
ingresar
posible,
Se
debe
disear
aplicar la seguridad
ffsica
puntos
Los
de
seguridad
ffsica
yesde
disear
Trabajo
en
reas
seguras.
Areas
de
carga,
despacho
ypersonal
reas
de
carga yy despacho
y otros puntos
de
acuerdo
Se
A.8.3.l
A.9.l.l
de de
terceras
procesamiento
al
finalizar
su
contratacin
de
informacin
se
deben
retirar
oy.. laboral
mostradores
para
oficinas,
recintos
eno
que
slo
se
permite
el
acceso
aocontrato
servicios
de
cambian
susu
contrato
laboral
de
forma
ordenada
estn
en
poder
al
finalizar
suprotegidas
contratacin
las
artificial.
directrices
para
trabajar
en
reas
sequras.
de
Todos
terceras
los
empleados,
deben
contratistas
devolver
todos
usuarios
los
A.S.3
activos
Terminacin
pertenecientes
o
cambio
ainstalaciones.
organizacin
del
contratacin
que
terremoto,
evitar
elpartes
acceso
autorizado.
Iva
la
informacin
de
la
on:anizacin.
partes
anatural
la
informacin
yla
alaboral,
los
servicios
de
y, desastre
incendio,
inundacin,
ento
de
informacin
ar
controles
Las
reas
de
seguras
acceso
deben
apropiados
estar
para
asegurar
con
as
por
Se
deben
disear
o
y
aplicar
la
proteccin
ffsica
A.9.1
ENTORNO
/ Areas seguras
Objetivo: asegurar
evitar el acceso
no autorizado,
el daoy elosinterferencia
las instalaciones
que los ffsico
empleados,
los contratistas
usuarios de aterceras
partes salen de la organizacin o
i
19
NORMA
T~CNICA COLOMBIANA
NTC-ISO/IEC 27001
la
de
otras
deben
los
almacenamiento
de
medios
de
las
las
de
de
elctrica
de
de
de
suministro
anomalfas
de
Control
oasegurar
los
de
fuera
A.9 SEGURIDAD
FfslCA
V
DEL
ENTORNO
los
Se
debe
suministrar
Los
se
Control
se
haya
eliminado
cualquier
cableado
Gestin
del
cambio.
Control
datos
sensibles
de
en
o
que
se antes
Documentacin
de
los
de
Control
para
Mantenimiento
Retiro
Servicios
activos
de
suministro
trabajar
yyriesgos
yfuera
operacin
Se
deben
verificar
de
forma
todos
que
los
contengan
segura,
elementos
del
de equipo
la
energfa
energra
seguridad
para
los software
equipos
procedimientos
interrupcin
Ubicacin
Seguridad
ydel
proteccin
\\~.
Seguridad
cableado.
laciones
teniendo
en
cuenta
los
diferentes
Control
A.1O.1.1
el
los
usuarios
que
los
necesiten.
sistemas
de
procesamiento
de
informacin.
proteqidos
A.9.2.1
contra
interceptaciones
o puesta
daos.
retirar
sin
autorizacin
previa.
informacin.
entorno,
y
las
oportunidades
de
acceso
no
autorizado
suministro.
para
asequrar
su
continua
Los
disponibilidad
equipos
deben
e
inteqridad.
recibir
mantenimiento
adecuado
equipos
deben
estar
ubicados
oactivos
protegidos
para
ode
presta
soporte
a
los
servicios
de
informacin
deben
estar
para
todos
rescrito
reducir
el
riesgo
debido
a
amenazas
o
peligros
del
Objetivo:evitar
prdida,
dao,
robo
o
en
peligro
de
y ladeben
CIONES
V
OPERACIONES
Ningn
equipo,
informacin
ni los
software
se
A.9.2
Seguridad
de
los
equipos
des
El
Se
deben
los
cambios
en los
servicios
loslos servicios de procesamiento de
Objetivo:asegurar
la operacin
correcta
y segura
Los
equiposcontrolar
deben
estar
protegidos
contra
fallasyde
en
20
NORMA
TrCNICA COLOMBIANA
NTC-ISO/IEC 27001
A.l0 GESTIN DE COMUNICACIONES
A,10,1,31Distribucin
funciones.
A,10,lA
A.l0.2
Y OPERACIONES
de I Control
Las funciones y las reas de responsabilidad se
deben distribuir para reducir las oportunidades de
modificacin no autorizada o no intencional, o el uso
inadecuado de los activos de la orcanizacin.
Control
de
las
Separacin
instalaciones
de
desarrollo,
ensayo
y I Las
instalaciones
de desarrollo,
ensayo
y
operacin.
operacin deben estar separadas para reducir los
riesgos de acceso o cambios no autorizados en el
I sistema operativo.
Gestin de la prestacin del servicio por terceras partes
Objetivo: implementar y mantener un grado adecuado de seguridad de la informacin y de la prestacin

se vicio, de conformidad con los acuerdos de restacin del servicio por terceras partes,
A.10.2,1 Prestacin del servicio
Control
Se deben garantizar que los controles de seguridad,
las definiciones del servicio y los niveles de
prestacin del servicio incluidos en el acuerdo, sean
implementados,
mantenidos y operados por las
terceras partes,
A,10,2.2 Monitoreo y revisin de los Control
servicios
por
terceras
partes
Los servicios, reportes y registros suministrados por
terceras partes se deben controlar y revisar con
regularidad y las auditorias se deben llevar a cabo a
intervalos reculares,
A,10,2,3 Gestin de los cambios en Control
los servicios por terceras
partes
A.l0.3 Planificacin
y aceptacin
Los cambios en la prestacin de los serVICIOS,

incluyendo mantenimiento y mejora de las polfticas
existentes de seguridad de la informacin, en los
procedimientos y los controles se deben gestionar
teniendo en cuenta la importancia de los sistemas
y procesos del negocio involucrados, asr como la
reevaluacin de los riesgos.
del sistema
Ob'etivo:minimizar el ries o de fallas de los sistemas,

A.1O,3,1 Gestin
de
la Control
capacidad.
Se debe hacer seguimiento y adaptacin del uso de
los recursos,
asf como proyecciones
de los
requisitos de la capacidad futura para asegurar el
_
A,1O,3.2TAceptacin
del sistema,
I Control
desempeo requerido del sistema,
Se deben establecer criterios de aceptacin para
sistemas de informacin nuevos, actualizaciones y
nuevas versiones y llevar a cabo los ensayos
adecuados del sistema durante el desarrollo y antes
de la aceptacin.
21
del
NORMA
TCNICA COLOMBIANA
NTC-ISO/IEC 27001
operan de acuerdo con la polrtica de seguridad

usan
se
controlar
la
deben
como
informacin
en
deCOMUNICACIONES
Control
eyla
stos
asf
la
la
hacer
de
de
caracterfsticas
los
lprocedimientos
as
identificar
los
se
mantener
controles
medios.
su
Control
red,
Control
A.10incluir
GESTiN
deteccin,
redes
Gestin
Controles
DE
dede los
las Control
medios
redes.
Y OPERACIONES
requieran
maliciosos,
de
de
Eliminacin
Controlescontra
no
de
deben
proteger
contra
respaldo
copias
incluyendo
Respaldo
implementar
Seguridad
Se
contratan
externamente.
A.1O.5.l
gura
y
sin
respaldo
acordada.
de
los
medios
removibles
los
cdiqos
mviles
no
autorizados.
deben
linformacin.
riesao,
utilizando
los
procedimientos
formales.
A.1OA.l
A.1O.6.l
A.1O.7.l
que
Se
deben
establecer
para
gestin
claramente
definida.
yservicios
se
debe
evitar
la
ejecucin
de
Cuando
se
autoriza
layoprocedimientos
utilizacin
de cdigos
En
cualquier
sobre
delalamviles,
red se
Cuando
ya
infraestructura
deen
soporte.
Vla
interrupcin
las
actividades
del
neqocio.
poner
prueba
ausuarios.
con
regularidad
acuerdo
con
la importar
polftica
amenazas
mantener
yde
latodos
seguridad
dede
los
sistemas
yacuerdo
aplicaciones
la
configuracin
debe
asegurar
dichos
cdigos
quisitos
gestin
si
los
servicios
se
los
prestan
en
de
laque
la
organizacin
red,
sin
se los servicios
dlas
de
de
los
las
redes
A.10.4
Proteccin
contra
cdigos
maliciosos
mviles
Objetivo: [roteaer
lalala
intearidad
del de
vretiro
de laode
informacin.
Las
Objetivo:
asegurar
proteccin
la informacin
enla las
redes
y la
proteccin
de la de procesamiento
Objetivo:evitar
la divulgacin,
modificacin,
destruccin
de activos
no
mantener
integridad
ysoftware
disponibilidad
informacin
y de
losautorizada,
servicios
22
de
NORMA
TCNICA COLOMBIANA
NTC-ISO/IEC 27001
Tabla A.1. (ContinuaciOn)
Control
del
contratos
el
modificacinno
en
software
la
entre
en
ontenida
ode
alteracin
de
del
no
eltipo
acceso
no
el
uso
Control
informacin
la
procedimientos
desarrollar
eel
uso
de formales
todo
A.l0Control
GESTIN
COMUNICACIONES
Y OPERACIONES
Se
establecer
laTransacciones
contra
ffsicos
informacin
divulgacin
encontroles
Ifnea
Control
proteger
enrutamiento
inadecuado,
deben
Medios
Control
Comercio
Sistemas
electrnico
Acuerdos
de
divulgacin
ycDE
mensajerfa
yla
establecer,
implementar
para
procedimientos
polfticas,
yinformacin
deprocedimientos
intercambio
Polfticas
Se
La
documentacin
deben
establecer
del
sistema
debepara
para
estarproteger
el
protegida
manejola
Mensajerfa
electrnica.
para
y de
Procedimientos
para
elautorizado,
Seguridad
deben
intercambio
n
adecuada
de
los
del
mensaje.
informacin
mediante
rmaciOn
Losneqocio.
medios
que
contienen
informacin
se deben
de
de
informacin
contra
eltransmite
acceso
no
autorizado.
ms
all
de
los
Ifmites
ffsicos
de
laevitar
orqanizacin.
Se
deben
establecer
acuerdos
para el intercambio
por
protegida
contra
actividades
fraudulentas,
A.1O.9.l
oelectrOnico
corrupcin
durante
ellas
transporte
cin
incompleta,
autorizada
dicha
que
Ifnea
se
debe
estar
por
protegida
redes
para
pblicas
transmisin
debe
estar
dentro
de
la
orqanizacin
vdel
con
cual
uier
entidad
externa.
proteger
contra
ocio.
A.l0.7.3
ra
ellano
ysistemas
almacenamiento
de
la
informacin
con
eldisputas
fin
de
'A\0.8.l
informacin
involucrada
enellas
transacciones
La
informacin
involucrada
en
comercio
electrnico
Objetivo:(
arantizar
la sequridad
de
deen
comercio
electrnico,
v su
utilizacin seaura.
Objetivo:
mantener
seguridad
delos
la servicios
informacin
y del software
que se
intercambian
23
NORMA
TCNICA COLOMBIANA
NTC-ISO/IEC 27001
el
evitar
del
del
los
de
control
de
las
de
la
de
excepciones
Control
e
uso
ventos
la
del
Control
Control
estar
Control
modificacin
de
Control
no
la
A.10los
GESTIN
DE
COMUNICACIONES
Y OPERACIONES
establecer
dominio
de
deben
de
las
Proteccin
del
deypara
deben
POlftica
protegida
para
Informacin
para
Monitoreo
del
Sincronizacin
de
Control
registros
grabaciones
seguridad
procedimientos
ydisponible
informacin
que
se
seguridad
integridad
Registros
Registro
de
fallas
auditorfas
{t7JVVOV\_1J(Aj\O"
y
Se pone
deben aregistrar
las actividades
tanto del operador
rios,
estar
o
manipulacin
no
autorizados.
Se
La
suarios
acordado
neqocio
V
de
la
seauridad
Dara
el
acceso
A.l0.10.1
v
el
monitoreo
del
control
de
acceso.
iento
monitoreo
se
deben
revisar
con
reqularidad
tomar
las
acciones
adecuadas.
A.ll.1.1
onesfuturas
sistemasde
informacin.
sistema
de
acceso
pblico
debe
oexacta
de
informacin,
y
los
resultados
Los
servicios
de
las
actividades
y
la
informacin
de
laprocesamiento
actividad
de
como
del
administrador
del
sistema
..
Se
debe
establecer,
documentar
yde
revisar
la polftica
A.l0.9.3
registro
se
deben
proteger
contra
el
acceso
o
la
a elde
control
relojes
todos losdel
sistemas de
controldedeacceso
acceso
con base
endeloslade
requisitos
informacin
pertinentes
dentro
organizacin
Objetivo:controlar
elelacceso
a de
informacin.
Se deben
elaborar
actividades
yregistrar
mantener
orocesamiento
durante
periodo
de la informacin
autorizadas.
Las
fallasdetectar
se
deben
yla analizar,
deben
Objetivo:
asegurar
acceso
de
usuarios yunse
autorizados
y evitar elnoacceso
de usuarios
24
no autorizados
a los
NORMA
T~CNICA COLOMBIANA
NTC-ISO/IEC 27001
A.11
CONTROL DE ACCESO
A.11.2.11 Registro de usuarios.
Control
A.11.2.21 Gestin de privilegios.
Debe existir un procedimiento formal para el registro

y cancelacin de usuarios con el fin de conceder y
revocar el acceso a todos los sistemas y servicios de
informacin.
Control
Se debe restringir y controlar la asignacin y uso de
A.11.2.3 Gestin de contraseas

para usuarios.
Control
I privileQios.
La asignacin de contraseas se debe controlar
travs de un proceso formal de Qestin.
\.2.4
A.11.3
Revisin de los derechos I Control

de acceso de los usuarios.
La direccin debe establecer
un procedimiento
formal de revisin peridica de los derechos de
acceso de los usuarios.
Responsabilidades
de los usuarios
Objetivo: evitar el acceso de usuarios no autorizados. el robo o la puesta en peligro de la

informacin de los servicios de rocesamiento de informacin.
A.11.3.1 Uso de contraseas.
Control
A.11.3.21Equipo
de
desatendido.
A.11.3.31Polltica
despejado
despejada
Se debe exigir a los usuarios

buenas prcticas de seguridad
uso de las contraseas.
usuario I Control
Los usuarios deben asegurarse

equipos
desatendidos
se les
apropiada.
Control
de
escritorio
y de pantalla
I
Control de acceso a las redes
1
A.11.4
el cumplimiento de
en la seleccin y el
de que a los
da proteccin
Se debe adoptar una polltica de escritorio despejado

para reportes
y medios
de almacenamiento
removibles y una polftica de pantalla despejada para
los servicios de procesamiento de informacin.
Ob'etivo: evitar el acceso no autorizado a servicios en red.

A.11.4.1 Polltica de uso de los Control
servicios de red.
Los usuarios slo deben tener acceso a los servicios
para cuyo uso estn ~crficamente
autorizados.
de usuarios I Control
para conexiones externas.
Se deben
emplear
mtodos
apropiados
de
autenticacin para controlar el acceso de usuarios
remotos.
los Control
A.11.4.31Identificacin
de
A.11.4.21Autenticacin
equipos en las redes.

La identificacin automtica de los equipos se debe
considerar un medio para autenticar conexiones de
equipos v ubicaciones especIficas.
25
NORMA
T~CNICA COLOMBIANA
NTC-ISO/lEC 27001
las
deben
debe
a
de
las
ffsico
los
de
A.11los
CONTROL
DE
fin
identidad
la
de
Control
Control
Elde en
de
elconexin
acomprobar
Control
Control
aoperativos
se
inactivas
se
debe
redes
con
acceso
del
de
del
acceso
lde
gico
Control
ingreso
Limitacin
Control
Procedimientos
Sistema
Uso
de
de
de
lasACCESO
utilidades
sesiones
Control
para
suspender
sistemas
tiempo
gestin
de
enrutamiento
puertos
diagnstico
yestar
ylas
asegurar
que
Tiempo
Separacin
en
inactividad
las
redes.
la para
Proteccin
Identificacin
de
ylos
autenticacin
puertos
de
nicamente
su uso
organizacin,
se debe restringir la capacidad de los
El
nactividad.
contraseas.
informacin.
autenticacin
remoto
aplicaciones
de
alto
riesqo
inicio
sequro.
Las
en
registro
de
A11.5.1
controles
del
sistema
v
de
la
aplicacin.
acceso
de
las
aplicaciones
del
neqocio.
Todos
los
usuarios
deben
un
identificador
aplicacin
usuarios
para
del
neqocio
conectarse
(vase
a
la
el
red,
numeral
de
acuerdo
11.1).
con
ma
operativo
ujos
de
elegir
una
tcnica
apropiada
de
la
polftica
de
control
del
acceso
yadicional
los
requisitos
de
Se
deben
implementar
controles
que
se
extienden
ms
all
de
las
fronteras
de
la
informacin
no
incumplan
la
polftica
de
control
del
nico
(ID
del
usuario)
A.11.4.4
Se
Los
debe
sistemas
restringir
de
ygestin
controlar
detener
estrictamente
contraseas
deben
el
uso
co
ser
interactivos
y
deben
asegurar
la
de
las
conexin
para
brindar
seguridad
utilizar
para
restricciones
en de
losenrutamiento
tiempos
de
Para
redes
compartidas,
especialmente
aquellas
de
programas
utilitarios
que
pueden
anular
los
servicios
de informacin,
usuarios
ycalidad
sistemas
En las redes se deben separar los grupos de
Obietivo:evitar el acceso no autorizado a los sistemas operativos.
26
NORMA
TCNICA COLOMBIANA
NTC-ISO/IEC 27001
Control
comunicaciones
A.11 las
CONTROL
ACCESO
los
datos
de
aValidacin
entrada
de
sistemas
validar
Control
Control
Control
Aislamiento
Restriccin
de
deprocesamiento
acceso
losy datos
adebidos
lade
yDE
computacin
los
riesgos
al uso sobre
de
Computacin
Trabajo
Anlisis
yremoto.
especificacin
Las
de
declaraciones
los requisitos del negocio
Control
de
Se
deben
A.11.6.1
A.ll.7.1
Los
sistemas
sensibles
deben
tener
un
actos
deliberados.
A.12.2.1
correctos
s.
trabajo
informacin.
remoto.
V
apropiados
la
polftica
definida
de
control
de
acceso.
informacin
remoto.
en
las
aplicaciones.
informtico
dedicado
(aislados).
para
los
controles
de
seguridad.
atos
son
proteccin
contra
Se
deben
incorporar
verificaciones
de validacin
sistemas
ex
istentes
deben
especificar
los
requisitos
Se
debe
establecer
una
polftica
formal
y seentorno
en
las
de
aplicaciones
la
informacin
por
errores
de
procesamiento
ode
usuarios
y
del
personal
de
soporte,
debe
de
restringir
acuerdo
acceso
a la informacin
ydeben
a en
las
las
aplicaciones
para
detectar
cualquier
corrupcin
funciones
del
sistema
de
aplicacin
parte
de
los
los
requisitos
de
seguridad
adoptar
las ymedidas
seguridad
para
la informacin
para
nuevos
sistemas
procedimientos
informacin
paraaplicaciones
laspor
oControl
actividades
mejoras
los
A.11.6
Control
de acceso
a las
y aelacon
la
A.12.1
Requisitos
de de
seguridad
deapropiadas
los
sistemas
de
informacin
LO Voperativos
MANTENIMIENTO
DE
SISTEMAS
DE
INFORMACIN
Objetivo:
el acceso
no autorizado
a laintegral
informacin
en inadecuado
los sistemas
que
sequridad
parte
de los
sistemas
de
informacin.
Se
debenevitar
desarrollar
e la
implementar
polfticas,
planes
abajo Objetivo:Qarantizar
Objetivo:evitar
remoto
errores.
prdidas,
no autorizadas
odispositivos
uso
de de
la
Objetivo:garantizar
la
seguridad
de modificaciones
la es
informacin
cuando
se contenida
utilizan
de computacin
mviles y de trabajo
27
NORMA
TCNICA COLOMBIANA
NTC-ISO/IEC 27001
el
la
correcto
al
el
someter
las
a
adecuado
las
no
de
ni
de
en
software
en
Control
acceso
los
de
instalacin
control
uso
las
tcnicas
de
sistema
de
deben
Cuando
hay
asegurar
cambios
adverso
en
se
que
cambian
las
Control
Control
fuente
de
software
en
sistemas
de
es
formales
seleccionarse
Control
de
de
deben
mantener
la
del el negocio
datos
apoyar
operaciones
para
prueba
A.12
ADQUISICIN,
Validacin
Polftica
Gestin
Proteccin
Procedimientos
ydel
sobre
de
DESARROllO
de
de
llaves.
el
los
los
uso
datos
datos
de
Vrestringir
MANTENIMIENTO
SISTEMAS
DE
INFORMACIN
para
Revisin
tcnica
de
las informacin
procedimientos
implementar
procedimientos
para
Control
Se
debe
acceso
alDE
cdigo
fuente revisar
de los
prueba
seguridad
del
software
y de ellapara
los
sistemas
aplicaciones
operativos,
criticas
se deben
Integridad
del
mensaje.
los
controles
adecuados.
A.12.3.1
almacenada
de
la
informacin.
n.
Los
V
controlarse
Se
proaramas.
rse
A,12.4.1
A.12.5.1
utilizando
llaves
yel
de del
las
aplicaciones,
as!
como
identificar
econtrolar
deben
laimplementar
deaplicacin
cambios
sos
debe
desarrollar
polftica
sobre
para
de
A.12.2.3
uso
desarrollo
asegurar
de controles
yproteger
soporte
el criptogrficos
procesamiento
Se
deben
para
de
validar
lalaimplementar
informacin
proteccin
los edatos
de salida una
de una
autenticidad
y que
la integridad
del
mensaje
enimplementacin
mesistema
os
criPtoqrficos.
Objetivo:
de los
archivos
sistema.
debeqarantizar
implementar
sistema
de
gestindelde
Se
deben
identificarla sequridad
los un
requisitos
para
asegurar
la
~tiVO:
proteger la confidencialidad,
autenticidad o integridad de la informacin, por
28
NORMA
TCNICA COLOMBIANA
NTC-ISO/IEC 27001
tratar
los
se
una
travs
los
de
de
los
las
la
evitar
las
los
sistemas
de
de
tcnicas
software
de
acciones
canales
alos
Control
terceras
de
Control
de
usuarios
los
Control
los
sistemas
monitorear
asegurar
Se
la realizacin
de
modificaciones
ay
deben
sobre
de
A.12Control
ADQUISICiN,
Restricciones
Control
en
de
V
MANTENIMIENTO
sobre
las de
SISTEMAS
INFORMACiN
Control
partes
Desarrollo
Control
oportunidades
para
que
para
gestin
riesgos
para
Se
debe
exigir
aDESARROLLO
todos
los
Los
empleados,
eventos
demecanismos
contratistas
seguridad
y laDE
informacin
se DE
deben
Deben
existir
que
permitan
cuantificar
yapropiadas
Aprendizaje
Reporte
Responsabilidades
debido
a debe
los
Fuga
establecer
dede
informacin
las
ysupervisar
responsabilidades
yel
organizacin
debe
ydesalentar
estricta
mente.
software.
la
informacin
los
sistemas
ode
servicios.
xternamente.
La
las
informar
A.13.2.1
A.13.1.1
de
la
informacin
Se
deben
porten
ees
as
ncidentes
sequridad
lacomunican
informacin.
osicin
incidentes
deinformacin
A.12.6.1
informacin.
de
se<:uridad
se
de
la
de
informacin.
forma
tal
que
permiten
tomar
las
acciones
correctivas
oportunamente.
necesarios.
y
todos
los
cambios
se
deben
controlar
s
las
mejoras
en
la
seguridad
de
la
informacin
debe
obtener
informacin
oportuna
todas
las
debilidades
observadas
o
sospechadas
en
de y monitorear
de
la
organizacin
a
dichas
vulnerabilidades
y
tomar
los
paquetes
de
software.
limitarlas
a
los
cambios
A.12.5.3
ad
todos
los
tipos.
volmenes
y
costos
de
los
NTES
DE
LA
SEGURIDAD
DE
LA
INFORMACiN
A.13.1 Reporte sobre los eventos y las debilidades de la seguridad de la informacin
dad Objetivo:
tcnica asegurar
Se
se aplica
un yenfoque
eficaz
paradela lagestin
de
los asociados
incidentes
de seguridad
de
los
eventos
las de
debilidades
de layde
seguridad
informacin
con
los sistemas
reducir losque
ries<:os
resultantes
laconsistente
explotacin
las vulnerabilidades
tcnicas
I ublicadas.
29
NTC-ISO/IEC 27001
la
revisiones
la
una
accin
de
Control
reevaluacin
considerar
un
de
la
a
el
contra
de
del
continuidad
de
Control
eventos
la
de
los
consistentes,
de
informacin
ende
evidencia
establecidas
enControl
proceso
dedesarrollar
pueden
identificar
Control
los
de
pruebas
los
someter
son
mantener
Se
deben
que
Control
jurisdiccin
debe
continuidad
despus
Desarrollo
A.13
GESTiN
Estructura
Recoleccin
yuna
mantenimiento
INCIDENTES
evidencia
Control
DE para
SEGURIDAD
DE
LA
INFORMACiN
desarrollar
yde
seguimiento
negocio
tiempo
requeridos,
planes
Pruebas,
peridicas
para
yDE
Se
deben
eo recuperar
implementar
planes
para
para
mantener
gestin
continuidad
las
operaciones
del
en planes
toda
Los
planes
dela
del
negocio
se
deben
disponibilidad
decontinuidad
launa
informacin
en elydeasegurar
grado
y lala
Se
debe
mantener
sola
estructura
los
Inclusin
la eseguridad
la
dente
dela informacin
escala
sequridad
de
la
informacin.
Se
neqocio.
los
Op.ortuna.
neqocio
de
orqanizacin.
dad
del
de
forma
pruebas
V
mantenimiento
de
la
(civiles
o
penales),
la
evidencia
se
debe
recolectar,
gocio
para
del
negocio
el
dad
junto
con
la
probabilidad
y
el
impacto
de
dichas
A.13.2.3
de
seguridad
de
la
informacin
necesarios
implica
para
la
acciones
continuidad
legales
del
os
consistente,
interrupciones,
asl
asl
como
como
identificar
sus
consecuencias
las
prioridades
para
para
la
A.14.1.1
organizacin
el
cual
trate
los
requisitos
de
seguridad
retener
yNEGOCIO
presentar
para
cumplir
con
las
reglas
continuidad
negocio,
para
asegurar
que todos
de
fallasdel
importantes
ende
los
sistemas
de informacin
o contra
desastres, ydel
asegurar
UIDADefectos
DEL
A.14.1
Aspectos
de
seguridad
la
informacin,
de
la
gestin
de
la
continuidad
negocio su recuperacin
Cuando
Objetivo: contrarrestar las interrupciones en las actividades del negocio y proteger sus procesos crlticos contra los
30
NTC-ISO/IEC 27001
intelectual
(DPI).
normasde
las
de
Control
las
sobre
llevan
de
A.15Control
CUMPLIMIENTO
cada
cabo
deben
los
la
de
los
datos
normas
software
el
de
de
los
la
uso
Control
sistema
uso
ade
sde
e
Se
debe
disuadir
de
los
usuarios
degarantizar
los
se
con
estatutarias,
Control
deben
Control
evitar
Proteccin
Prevencin
Derechos
Identificacin
Control
de
del
estatutarios,
dede
de
responsabilidad
con
prdida,
cualquier
lasdebe
leyes
y procesamiento
los
implementar
procedimientos
propiedad
implementacin
yde
yprocesa
miento
para
importantes
servicios
deutilizar
de informacin
productos
destruccin
yadel
falsificacin,
requisitos
obligaciones
ley,
incumplimiento
Los
directores
deben
garantizar
proteger
Se
la proteccin
deque
los todos
datos para
ylos
la
utilizar
controles
criptogrficos
que
Verificacin
Cumplimiento
Proteccin
loscumplimiento
registros
de
Reglamentacin
registros
deben
Los
con
sistemas
de
se deben
verificar
de
clusulas
del
contrato.
V
del
neqocio.
V
las
normas
de
sequridad.
mantener
actualizados
propsitos
no
autorizados.
pOlrticas
Se
vicios
plan
todos
los
acuerdos,
A.15.1.1
sobre
el
uso
del
material
respecto
alrequisitos
reglamentos
pertinentes
y,los
si
se
con
las
de
se
la
deben
organizacin
definir
explfcitamente,
para
cumplir
Todos
estos
documentar
los
requisitos
estatutarios,
reglamentarios
A.15.2.1
el cumplimiento
requisitos
ypueden
existir
de
legales,
los
derechos
reglamentarios
de
propiedad
yaplica,
contractuales
intelectual
ento
las
personal.
cas
ycon
las
normas
de
seguridad
y con
cumplimiento
tcnico
peridicamente
para
determinar
el
cumplimiento
procedimientos
de
seguridad
dentro
de
sus
reas
acin
privacidad,
acuerdo
la
legislacin
y cual
losy informacin
contractuales
pertinentes,
asf
como
el
enfoque
A.15.1
Cumplimiento
decon
requisitos
legales
Objetivo:
Objetivo: asequrar que los sistemas cumplen con las normas V polrticas de sequridad de la orqanizacin ..
31
NTC-ISO/IEC 27001
Tabla A.1. (Final)
A.15 CUMPLIMIENTO
A.15.3 Consideraciones
de la auditorfa de los sistemas de informacin
Objetivo: maximizar la eficacia de los procesos de auditorfa de los sistemas de informacin

minimizar su interferencia.
A.15.3.1
Controles de auditorla de los Control
sistemas de informacin.
Los requisitos y las actividades de auditorla que
implican verificaciones de los sistemas operativos
se deben planificar y acordar cuidadosamente
para minimizar el riesgo de interrupciones de los
procesos del neqocio.
Proteccin
de
las Control
A.15.3.2
herramientas de auditorla de Se debe proteger el acceso a las herramientas de
los sistemas de informacin.
auditorla de los sistemas de informacin para
evitar su uso inadecuado o ponerlas en peliqro.
32
NTC-ISOIIEC 27001
ANEXOB
(1nformativo)
PRINCIPIOS DE LA OCDE
DE ESTA NORMA
Los principios presentados en la Directrices de la OCDE para la Seguridad de Sistemas y

Redesde Informacin se aplican a todos los niveles de polftica y operacionales que controlan
la seguridad de los sistemas
y redes de informacin. Esta norma internacional brinda una
estructura del sistema de gestin de la seguridad de la informacin para implementar algunos
principios de la OCDE usando el modelo PHV A y los procesos descritos en los numerales 4, 5,
6Y 8, como se indica en la Tabla 8.1.
Tabla B.1. Principios de la OCOE y el modelo PHV A
un
deberran
donde
de
la
conscientes
de
deyaPrincipio
de
es
incidentes,
se
revisiones
realizar
estar
fase
parte
la
proceso
la
de
es
que
deteccin
enderevisar
responsables
de
deben
actividad
actividad
los
respuesta
son
respuesta
los
incluye
Esta
Esta
H
acer
(vanse
Actuar
(vanse
La
yyde
el
uso
operacional
de
estos
controles.
implementacin
para
regulares
por
la
por
numerales
alqunos
4.2.4
aspectos
8.1
de
ay
8.3).
las
fases
Esto
tambin
puede
cubrir
Planificar
(vasede
Verificar.
riesgos
aspectos
estn
cobUados
en
las
fases
de
Planificar,
Hacer,
verificar
informacin;
laque
eficaciB
y(vanse
la
mejora
del
de
de
seguridad
gestin
de
es
la6
parte
seguridad
de
la
de
fase
actividad
es
parte
la fase
gestin
OCOE
Proceso
Actuar
correspondiente
(vanse
los
numerales
fase
4.2.4
de
PHV
yPlanificar
8.1
A
ael
8.3).
como
fase
Hacer
parte
de
la
fase
los
Planificar
numerales
(vase
4.2.2
numeral
yyse
5.2)
4.2.1).
cubre
La
la
y reevaluar
la elSGSI
mantenimiento,
auditorras
y la
revisin
continuos.
Todos
estos
participantes
fase
Verificar
(vanse
numerales
4.2.3
yde
a
7.3).
reevaluacin
lasistema
seguridad
de
la
informacin
es
una
~sta
es
en
parte
una
actividad
de
seguimiento
de
la
fase
Una
vez
se
ha
realizado
la
evaluacin
los
riesgos,
se
cin.
seQuridad.
de
informacin
la
y de
lo que
para ymejorar
la
Respuesta
Responsabilidad
Diseno
seleccionan
e la
implementacin
controles
para
de el
lahacer
seguridad
tratamiento
Verificar
yparte
Actuar.
e riesgo
parte
de
fase
Verificar
(vanse
los
numerales
4.2.3
y 6riesgos
es
de
la
(vanse
los pueden
numerales
4.2.3
6de
a los
7.3
ya 7.3),
una
33
emas
NORMA TrCNICA COLOMBIANA
NTC-ISO/IEC 27001
ANEXO C
(1 nformativo)
CORRESPONDENCIA
ENTRE LA NTC-ISO 9001:2000, LA NTC-ISO 14001:2004,

V LA PRESENTE NORMA
La Tabla C.1 muestra la correspondencia

presente norma internacional.
Tabla C.1. Correspondencia
entre la NTC ISO 9001:2000,
entre la ISO 9001:2000,
la ISO 14001:2004
Esta norma
medicin
de
los
del
de
campo
mejora
gestin
Mantenimiento
Establecimiento
Generalidades
4.5.1
Seguimiento
y medicin
Objeto
Seguimiento
y yy
ydel
14001:2004
y la
y la presente norma internacional
1.
8.2.3
NTC-ISO
NTCO.
Introduccin
ISO
Introduccin
14001:2004
9001
:2000
2.
1.2
1.1
Referencias
Aplicacin
Generalidades
2.
Referencias
normativas
gestin
0.4
Compatibilidad
con
otros
sistemas
3.
0.2Trminos
Enfoque
4.
Requisitos
y basado
definiciones
del
en
procesos
de
-normativas
1.
Objeto
yRequisitos
campo
aplicacin
4.
Sistema
3.
Trminos
de
gestin
yde
definiciones
desistema
la
calidad
4.1
Requisitos
4.1
generales
generales
0.1
medicin
producto
8.2.4 Relacin
Sequimiento
4.2.1
Establecimiento
del SGSI
0.3
con la
norma
ISO
4.2.3
Seguimiento
yV revisin
deldel9004
SGSI
4.2
la NTC-ISO
de 4.4lmplementacin
gestin ambiental y operacin
Contina ...
34
NTC-ISO/IEC 27001
Tabla C.1. (Final)
NTC- ISO 9001 :2000
Esta norma
4.3 Requisitos de documentacin
4.2 Requisitos de la documentacin
4.3.1
4.2.1 Generalidades
Generalidades
NTC-ISO
14001:2004
4.2.2 Manual de la calidad

4.3.2
Control de documentos
4.3.3 Control de re~istros
115.R70nsabilidad
Compromiso
4.2.3 Control de los documentos
4.4.5 Control de documentos
4.2.4 Control de los re~istros

5. Responsabilidad de la direccin
4.5.4 Control de los r~istros
5.1 Compromiso
de de
la direccin
la direccin
de la direccin
5.2 Enfoque al cliente

5.3 Polftica de la calidad
4.2 Polftica ambiental
5.4 Planificacin
4.3 Planificacin
5.2 Gestin de recursos
5.5
Responsabilidad,
comunicacin
6. Gestin de los recursos
5.2.1 Provisin de recursos
6.1 Provisin de recursos
autoridad
6.2 Recursos humanos
y5.2.2
competencia
Formacin,
formacin
\6.2.2
Competencia,
toma de conciencia
toma de conciencia
y tomaCompetencia,
de conciencia formacin
y 14.4.2
6.3 Infraestructura
6.4 Ambiente de traba'o
8.2.2 Auditorra interna
6. Auditorras internas del SGSI
I 5.6 Revisin por la direccin
7-:-Rvisin del SGSI por la direccin

7.1 Generalidades
5.6.1 Generalidades
7.2 Informacin
5.6.2 Informacin
para la revisin
7.3 Resultados de la revisin
5.6.3 Resultados de la revisin

8.5 Mejora
8.1 Mejora continua
8.5.1 Mejora continua
8.2 Accin correctiva
8.5.2 Acciones correctivas
8.3 Accin preventiva
8.5.3 Acciones preventivas
Objetivos
Anexo B Principios
esta norma
de
control
4.6 Revisin por la direccin
para la revisin
8. Mejora del SGSI
Anexo A
controles
4.5.5 Auditorra interna
4.5.3
No
conformidad,
accin correctiva y accin
preventiva
Anexo A Orientacin para el

uso
de
esta
norma
internacional
de la OCDE y de
ISO 9001:2000, la NTC-ISO 14001:2004
ISO 9001:2000y la ISO 14001:1996

entre la ISO 14001 :2004 y
la ISO 9001:
B Correspondencia
2000
A Correspondencia entre las normas I Anexo
I VAnexo
la presente
norma
C Correspondencia
entre la NTC-I Anexo
35
NTC-ISO/IEC 27001
BIBlIOGRAF(A
[1]
NTC-ISO 9001 :2000, Sistemas de gestin de la calidad. Requisitos.
[2]
NTC-ISO 14001 :2004, Sistemas de gestin ambiental. Requisitos con orientacin para su uso.
[3]
NTC-ISO 19011 :2002, Directrices para la auditoria de los sistemas de gestin de la calidad
y/o ambiente.
[4]
GTC
36
Requisitos
generales
para
organismos
que
realizan
evaluacin
~certificacin/registro
de sistemas de calidad. (ISO/lEC Guide 62)
[5]
NTC 5411-1 Tecnologa de la informacin. Tcnicas de seguridad. Gestin de la seguridad de
~
la tecnologa de la informacin y las comunicaciones. Parte 1: Conceptos y modelos para la
gestin de la tecnologa de la informacin y las comunicaciones (ISO/lEC 13335-1 :2004).
[6]
ISO/lEC TR 13335-3:1998, Information Technology. Guidelines for the Management of

IT Security. Part 3: Techniques for the Management of IT Security.
[7]
ISO/lEC TR 13335-4:2000, Information Technology.

IT Security. Part 4: Selection of Safeguards.
Guidelines for the Management of
[81
ISO/lEC TR 18044:2004, Information

Security Incident Management.
Security Techniques.
[9]
ISO/lEC Guide 73:2002, Risk Management. Vocabulary. Guidelines for use in Standards.
Technology.
Information
Otras publicaciones
[11
OECD, Guidelines for the Security of Information Systems and Networks. Towards a
Culture of Security, Paris: OECD, July 2002. www.oecd.org.
[2]
NIST SP 800-30, Risk Management Guide for Information Technology Systems.
[3]
Deming W.E., Out of the Crisis, Cambridge, Mass: MIT, Center for Advanced Engineerig
Study, 1986.
-----
..
-----
- --
36

DOCUMENTO
NTC-ISO/IEC 27001
DE REFERENCIA
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. Information Technology. Security

Techniques. Information Security Management Systems. Requirements. Geneva. ISO. pp 34
(ISO/lEC 27001: 2005)
37

NTC Iso Iec 27001 PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

NTC Iso Iec 27001 PDF

Cargado por

Copyright:

Formatos disponibles

NORMA TCNICA

INFORMATION TECHNOLOGY. SECURITY TECHNIQUES.

esta norma es una adopcin idntica

sistemas de gestin - seguridad de la

INFORMATION TECHNOLOGY. SECURITY TECHNIQUES.

esta norma es una adopcin idntica

sistemas de gestin - seguridad de la

El Instituto Colombiano de Normas Tcnicas y Certificacin.

con el objeto de que responda en

A continuacin se relacionan las empresas que colaboraron en el estudio de esta norma a

FLUIDSIGNAL GROUP S.A.

en Consulta Pblica el Proyecto se puso a consideracin

ABN AMRO BANK

BANCO UNION COLOMBIANO

DEFENSORIA DEL CLIENTE FINANCIERO

NORMA TCNICA COLOMBIANA

ENFOQUE BASADO EN PROCESOS

COMPATIBILIDAD CON OTROS SISTEMAS DE GESTION

SISTEMA DE GESTiN DE LA SEGURIDAD DE LA INFORMACION

ESTABLECIMIENTO y GESTION DEL SGSI

AUDITORfAS INTERNAS DEL SGSI

NORMA TCNICA COLOMBIANA

REVISiN DEL SGSI POR LA DIRECCiN

INFORMACiN PARA LA REVISiN

MEJORA DEL SGSI

NORMA TCNICA COLOMBIANA

ENFOQUE BASADO EN PROCESOS

Esta norma promueve la adopcin de un enfoque basado en procesos, para establecer,

comprender los requisitos de seguridad de la informacin del negocio, y la

implementar y operar controles para manejar los riesgos de seguridad de la

el seguimiento y revisin del desempeo y eficacia del SGSI. y

la mejora continua basada en la medicin de objetivos.

NORMA TCNICA COLOMBIANA

Esta norma adopta el modelo de procesos "Planificar-Hacer-Verificar-Actuar"

Figura 1. Modelo PHV A aplicado a los procesos de SGSI

Directrices OCDE para la seguridad de sistemas y redes de informacin.

Hacia una cultura de la seguridad.

NORMA TCNICA COLOMBIANA

Planificar (establecer el SGSI)

Verificar (hacer seguimiento

Actuar (mantener y mejorar el SGSI)

COMPATIBILIDAD CON OTROS SISTEMAS DE GESTiN

Esta norma est alineada

con la NTC-ISO 9001 :2000 y la NTC-ISO 14001 :2004, con el fin de

Esta norma est diseada para permitir que una organizacin

alinee o integre su SGSI con los

NORMA TCNICA COLOMBIANA

NORMA TCNICA COLOMBIANA

El siguiente documento referenciado es indispensable para la aplicacin de esta norma. Para

[NTC 5411-1 :2006J

por solicitud de una entidad

NORMA TCNICA COLOMBIANA

evaluacin del riesgo

gestin del riesgo

incidente de seguridad de la informacin

NORMA TCNICA COLOMBIANA

de medidas para modificar el riesgo.

[Gufa ISOIIEC 73:2002]

En la presente norma el trmino "control" se usa como sinnimo de "medida".

val0y-cin del riesgo

SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACION

La organizacin debe establecer, implementar, operar, hacer seguimiento, revisar, mantener y

V GESTION DEL SGSI