Iso 27000

• Sistema de Gestión de la Seguridad de la
Información
El SGSI (Sistema de Gestión de Seguridad de la Información) es el concepto

central sobre el que se construye ISO 27001.
La gestión de la seguridad de la información debe realizarse mediante un

proceso sistemático, documentado y conocido por toda la organización.
Este proceso es el que constituye un SGSI, que podría considerarse, por

analogía con una norma tan conocida como ISO 9001, como el sistema de
calidad para la seguridad de la información.
Garantizar un nivel de protección total es virtualmente imposible, incluso en el

caso de disponer de un presupuesto ilimitado. El propósito de un sistema de
gestión de la seguridad de la información es, por tanto, garantizar que los
riesgos de la seguridad de la información sean conocidos, asumidos,
gestionados y minimizados por la organización de una forma documentada,
sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se
produzcan en los riesgos, el entorno y las tecnologías.
En las siguientes secciones (a las que puede acceder directamente a través del
submenú de la izquierda o siguiendo los marcadores de final de página) se
desarrollarán los conceptos fundamentales de un SGSI según la norma ISO
27001.
• ¿Qué es un SGSI?
SGSI es la abreviatura utilizada para referirse a un Sistema de Gestión de la

Seguridad de la Información. ISMS es el concepto equivalente en idioma inglés,
siglas de Information Security Management System.
En el contexto aquí tratado, se entiende por información todo aquel conjunto de

datos organizados en poder de una entidad que posean valor para la misma,
independientemente de la forma en que se guarde o transmita (escrita, en
imágenes, oral, impresa en papel, almacenada electrónicamente, proyectada,
enviada por correo, fax o e-mail, transmitida en conversaciones, etc.), de su
origen (de la propia organización o de fuentes externas) o de la fecha de
elaboración.
La seguridad de la información, según ISO 27001, consiste en la preservación

de su confidencialidad, integridad y disponibilidad, así como de los sistemas
implicados en su tratamiento, dentro de una organización. Así pues, estos tres
términos constituyen la base sobre la que se cimienta todo el edificio de la
seguridad de la información:
• Confidencialidad: la información no se pone a disposición ni se revela a

individuos, entidades o procesos no autorizados.
• Integridad: mantenimiento de la exactitud y completitud de la información y
sus métodos de proceso.
• Disponibilidad: acceso y utilización de la información y los sistemas de

tratamiento de la misma por parte de los individuos, entidades o procesos
autorizados cuando lo requieran.
Para garantizar que la seguridad de la información es gestionada

correctamente, se debe hacer uso de un proceso sistemático, documentado y
conocido por toda la organización, desde un enfoque de riesgo empresarial.
Este proceso es el que constituye un SGSI.
• ¿Para qué sirve un SGSI?
La información, junto a los procesos y sistemas que hacen uso de ella, son
activos muy importantes de una organización. La confidencialidad, integridad y
disponibilidad de información sensible pueden llegar a ser esenciales para
mantener los niveles de competitividad, rentabilidad, conformidad legal e
imagen empresarial necesarios para lograr los objetivos de la organización y
asegurar beneficios económicos.
Las organizaciones y sus sistemas de información están expuestos a un número

cada vez más elevado de amenazas que, aprovechando cualquiera de las
vulnerabilidades existentes, pueden someter a activos críticos de información a
diversas formas de fraude, espionaje, sabotaje o vandalismo. Los virus
informáticos, el “hacking” o los ataques de denegación de servicio son algunos
ejemplos comunes y conocidos, pero también se deben considerar los riesgos
de sufrir incidentes de seguridad causados voluntaria o involuntariamente desde
dentro de la propia organización o aquellos provocados accidentalmente por
catástrofes naturales y fallos técnicos.
El cumplimiento de la legalidad, la adaptación dinámica y puntual a las

condiciones variables del entorno, la protección adecuada de los objetivos de
negocio para asegurar el máximo beneficio o el aprovechamiento de nuevas
oportunidades de negocio, son algunos de los aspectos fundamentales en los
que un SGSI es una herramienta de gran utilidad y de importante ayuda para la
gestión de las organizaciones.
El nivel de seguridad alcanzado por medios técnicos es limitado e insuficiente
por sí mismo. En la gestión efectiva de la seguridad debe tomar parte activa
toda la organización, con la gerencia al frente, tomando en consideración
también a clientes y proveedores de bienes y servicios. El modelo de gestión de
la seguridad debe contemplar unos procedimientos adecuados y la planificación
e implantación de controles de seguridad basados en una evaluación de riesgos
y en una medición de la eficacia de los mismos.
El Sistema de Gestión de la Seguridad de la Información (SGSI) ayuda a

establecer estas políticas y procedimientos en relación a los objetivos de
negocio de la organización, con objeto de mantener un nivel de exposición
siempre menor al nivel de riesgo que la propia organización ha decidido asumir.
Con un SGSI, la organización conoce los riesgos a los que está sometida su
información y los asume, minimiza, transfiere o controla mediante una
sistemática definida, documentada y conocida por todos, que se revisa y mejora
constantemente.
• ¿Qué incluye un SGSI?
En el ámbito de la gestión de la calidad según ISO 9001, siempre se ha

mostrado gráficamente la documentación del sistema como una pirámide de
cuatro niveles. Es posible trasladar ese modelo a un Sistema de Gestión de la
Seguridad de la Información basado en ISO 27001 de la siguiente forma:
Documentos de Nivel 1
Manual de seguridad: por analogía con el manual de calidad, aunque el término
se usa también en otros ámbitos. Sería el documento que inspira y dirige todo
el sistema, el que expone y determina las intenciones, alcance, objetivos,
responsabilidades, políticas y directrices principales, etc., del SGSI.
Procedimientos: documentos en el nivel operativo, que aseguran que se

realicen de forma eficaz la planificación, operación y control de los procesos de
seguridad de la información.
Instrucciones, checklists y formularios: documentos que describen cómo se

realizan las tareas y las actividades específicas relacionadas con la seguridad de
la información.
Registros: documentos que proporcionan una evidencia objetiva del

cumplimiento de los requisitos del SGSI; están asociados a documentos de los
otros tres niveles como output que demuestra que se ha cumplido lo indicado
en los mismos.
De manera específica, ISO 27001 indica que un SGSI debe estar formado por
los siguientes documentos (en cualquier formato o tipo de medio):
• Alcance del SGSI: ámbito de la organización que queda sometido al SGSI,

incluyendo una identificación clara de las dependencias, relaciones y límites que
existen entre el alcance y aquellas partes que no hayan sido consideradas (en
aquellos casos en los que el ámbito de influencia del SGSI considere un
subconjunto de la organización como delegaciones, divisiones, áreas, procesos,
sistemas o tareas concretas).
• Política y objetivos de seguridad: documento de contenido genérico que

establece el compromiso de la dirección y el enfoque de la organización en la
gestión de la seguridad de la información.
• Procedimientos y mecanismos de control que soportan al SGSI: aquellos

procedimientos que regulan el propio funcionamiento del SGSI.
• Enfoque de evaluación de riesgos: descripción de la metodología a emplear
(cómo se realizará la evaluación de las amenazas, vulnerabilidades,
probabilidades de ocurrencia e impactos en relación a los activos de información
contenidos dentro del alcance seleccionado), desarrollo de criterios de
aceptación de riesgo y fijación de niveles de riesgo aceptables.
• Informe de evaluación de riesgos: estudio resultante de aplicar la metodología

de evaluación anteriormente mencionada a los activos de información de la
organización.
• Plan de tratamiento de riesgos: documento que identifica las acciones de la

dirección, los recursos, las responsabilidades y las prioridades para gestionar
los riesgos de seguridad de la información, en función de las conclusiones
obtenidas de la evaluación de riesgos, de los objetivos de control identificados,
de los recursos disponibles, etc.
• Procedimientos documentados: todos los necesarios para asegurar la

planificación, operación y control de los procesos de seguridad de la
información, así como para la medida de la eficacia de los controles
implantados.
• Registros: documentos que proporcionan evidencias de la conformidad con los

requisitos y del funcionamiento eficaz del SGSI.
• Declaración de aplicabilidad: (SOA -Statement of Applicability-, en sus siglas

inglesas); documento que contiene los objetivos de control y los controles
contemplados por el SGSI, basado en los resultados de los procesos de
evaluación y tratamiento de riesgos, justificando inclusiones y exclusiones.
Control de la documentación
Para los documentos generados se debe establecer, documentar, implantar y

mantener un procedimiento que defina las acciones de gestión necesarias para:
• Aprobar documentos apropiados antes de su emisión.
• Revisar y actualizar documentos cuando sea necesario y renovar su validez.
• Garantizar que los cambios y el estado actual de revisión de los documentos

están identificados.
• Garantizar que las versiones relevantes de documentos vigentes están
disponibles en los lugares de empleo.
• Garantizar que los documentos se mantienen legibles y fácilmente

identificables.>
• Garantizar que los documentos permanecen disponibles para aquellas

personas que los necesiten y que son transmitidos, almacenados y finalmente
destruidos acorde con los procedimientos aplicables según su clasificación.
• Garantizar que los documentos procedentes del exterior están identificados.
• Garantizar que la distribución de documentos está controlada.
• Prevenir la utilización de documentos obsoletos.
• Aplicar la identificación apropiada a documentos que son retenidos con algún

propósito.
• ¿Cómo se implementa un SGSI?
Para establecer y gestionar un Sistema de Gestión de la Seguridad de la

Información en base a ISO 27001, se utiliza el ciclo continuo PDCA, tradicional
en los sistemas de gestión de la calidad.
Plan (planificar): establecer el SGSI.
Do (hacer): implementar y utilizar el SGSI.
Check (verificar): monitorizar y revisar el SGSI.
Act (actuar): mantener y mejorar el SGSI.
Plan: Establecer el SGSI

Definir el alcance del SGSI en términos del negocio, la organización, su
localización, activos y tecnologías, incluyendo detalles y justificación de
cualquier exclusión.
Definir una política de seguridad que:
– incluya el marco general y los objetivos de seguridad de la información de la

organización;
– considere requerimientos legales o contractuales relativos a la seguridad de la

información;
– esté alineada con el contexto estratégico de gestión de riesgos de la

organización en el que se establecerá y mantendrá el SGSI;
– establezca los criterios con los que se va a evaluar el riesgo;
– esté aprobada por la dirección.
Definir una metodología de evaluación del riesgo apropiada para el SGSI y los
requerimientos del negocio, además de establecer los criterios de aceptación
del riesgo y especificar los niveles de riesgo aceptable. Lo primordial de esta
metodología es que los resultados obtenidos sean comparables y repetibles
(existen numerosas metodologías estandarizadas para la evaluación de
riesgos, aunque es perfectamente aceptable definir una propia).
Identificar los riesgos:
– identificar los activos que están dentro del alcance del SGSI y a sus
responsables directos, denominados propietarios;
– identificar las amenazas en relación a los activos;
– identificar las vulnerabilidades que puedan ser aprovechadas por dichas

amenazas;
– identificar los impactos en la confidencialidad, integridad y disponibilidad de

los activos.
Analizar y evaluar los riesgos:

- evaluar el impacto en el negocio de un fallo de seguridad que suponga la
pérdida de confidencialidad, integridad o disponibilidad de un activo de
información;
– evaluar de forma realista la probabilidad de ocurrencia de un fallo de

seguridad en relación a las amenazas, vulnerabilidades, impactos en los activos
y los controles que ya estén implementados;
– estimar los niveles de riesgo;
– determinar, según los criterios de aceptación de riesgo previamente

establecidos, si el riesgo es aceptable o necesita ser tratado.
Identificar y evaluar las distintas opciones de tratamiento de los riesgos para:
– aplicar controles adecuados;
– aceptar el riesgo, siempre y cuando se siga cumpliendo con las políticas y

criterios establecidos para la aceptación de los riesgos;
– evitar el riesgo, p. ej., mediante el cese de las actividades que lo originan;
– transferir el riesgo a terceros, p. ej., compañías aseguradoras o proveedores

de outsourcing.
Seleccionar los objetivos de control y los controles del Anexo A de ISO 27001
para el tratamiento del riesgo que cumplan con los requerimientos identificados
en el proceso de evaluación del riesgo.
Aprobar por parte de la dirección tanto los riesgos residuales como la

implantación y uso del SGSI.
Definir una declaración de aplicabilidad que incluya:
– los objetivos de control y controles seleccionados y los motivos para su

elección;
- los objetivos de control y controles que actualmente ya están implantados;
– los objetivos de control y controles del Anexo A excluidos y los motivos para
su exclusión; este es un mecanismo que permite, además, detectar posibles
omisiones involuntarias.
En relación a los controles de seguridad, el estándar ISO 27002 (antigua ISO

17799) proporciona una completa guía de implantación que contiene 133
controles, según 39 objetivos de control agrupados en 11 dominios. Esta
norma es referenciada en ISO 27001, en su segunda cláusula, en términos de
“documento indispensable para la aplicación de este documento” y deja abierta
la posibilidad de incluir controles adicionales en el caso de que la guía no
contemplase todas las necesidades particulares.
Do: Implementar y utilizar el SGSI
• Definir un plan de tratamiento de riesgos que identifique las acciones,

recursos, responsabilidades y prioridades en la gestión de los riesgos de
• Implantar el plan de tratamiento de riesgos, con el fin de alcanzar los

objetivos de control identificados, incluyendo la asignación de recursos,
responsabilidades y prioridades.
• Implementar los controles anteriormente seleccionados que lleven a los

objetivos de control.
• Definir un sistema de métricas que permita obtener resultados reproducibles y

comparables para medir la eficacia de los controles o grupos de controles.
• Procurar programas de formación y concienciación en relación a la seguridad

de la información a todo el personal.
• Gestionar las operaciones del SGSI.
• Gestionar los recursos necesarios asignados al SGSI para el mantenimiento de

la seguridad de la información.
• Implantar procedimientos y controles que permitan una rápida detección y

respuesta a los incidentes de seguridad.
Check: Monitorizar y revisar el SGSI
La organización deberá:
• Ejecutar procedimientos de monitorización y revisión para:
– detectar a tiempo los errores en los resultados generados por el

procesamiento de la información;
– identificar brechas e incidentes de seguridad;
– ayudar a la dirección a determinar si las actividades desarrolladas por las

personas y dispositivos tecnológicos para garantizar la seguridad de la
información se desarrollan en relación a lo previsto;
– detectar y prevenir eventos e incidentes de seguridad mediante el uso de

indicadores;
– determinar si las acciones realizadas para resolver brechas de seguridad

fueron efectivas.
• Revisar regularmente la efectividad del SGSI, atendiendo al cumplimiento de

la política y objetivos del SGSI, los resultados de auditorías de seguridad,
incidentes, resultados de las mediciones de eficacia, sugerencias y
observaciones de todas las partes implicadas.
• Medir la efectividad de los controles para verificar que se cumple con los
requisitos de seguridad.
• Revisar regularmente en intervalos planificados las evaluaciones de riesgo, los

riesgos residuales y sus niveles aceptables, teniendo en cuenta los posibles
cambios que hayan podido producirse en la organización, la tecnología, los
objetivos y procesos de negocio, las amenazas identificadas, la efectividad de
los controles implementados y el entorno exterior -requerimientos legales,
obligaciones contractuales, etc.-.
• Realizar periódicamente auditorías internas del SGSI en intervalos

planificados.
• Revisar el SGSI por parte de la dirección periódicamente para garantizar que
el alcance definido sigue siendo el adecuado y que las mejoras en el proceso del
SGSI son evidentes.
• Actualizar los planes de seguridad en función de las conclusiones y nuevos

hallazgos encontrados durante las actividades de monitorización y revisión.
• Registrar acciones y eventos que puedan haber impactado sobre la efectividad

o el rendimiento del SGSI.
Act: Mantener y mejorar el SGSI
La organización deberá regularmente:
• Implantar en el SGSI las mejoras identificadas.
• Realizar las acciones preventivas y correctivas adecuadas en relación a la

claúsula 8 de ISO 27001 y a las lecciones aprendidas de las experiencias
propias y de otras organizaciones.
• Comunicar las acciones y mejoras a todas las partes interesadas con el nivel
de detalle adecuado y acordar, si es pertinente, la forma de proceder.
• Asegurarse que las mejoras introducidas alcanzan los objetivos previstos.
PDCA es un ciclo de vida continuo, lo cual quiere decir que la fase de Act lleva
de nuevo a la fase de Plan para iniciar un nuevo ciclo de las cuatro fases.
Téngase en cuenta que no tiene que haber una secuencia estricta de las fases,
sino que, p. ej., puede haber actividades de implantación que ya se lleven a
cabo cuando otras de planificación aún no han finalizado; o que se monitoricen
controles que aún no están implantados en su totalidad.
• ¿Qué tareas tiene la Gerencia en un SGSI?
Uno de los componentes primordiales en la implantación exitosa de un Sistema

de Gestión de Seguridad de la Información es la implicación de la dirección. No
se trata de una expresión retórica, sino que debe asumirse desde un principio
que un SGSI afecta fundamentalmente a la gestión del negocio y requiere, por
tanto, de decisiones y acciones que sólo puede tomar la gerencia de la
organización. No se debe caer en el error de considerar un SGSI una mera
cuestión técnica o tecnológica relegada a niveles inferiores del organigrama; se
están gestionando riesgos e impactos de negocio que son responsabilidad y
decisión de la dirección.
El término Dirección debe contemplarse siempre desde el punto de vista del

alcance del SGSI. Es decir, se refiere al nivel más alto de gerencia de la parte
de la organización afectada por el SGSI (recuérdese que el alcance no tiene por
qué ser toda la organización).
Algunas de las tareas fundamentales del SGSI que ISO 27001 asigna a la
dirección se detallan en los siguientes puntos:
Compromiso de la dirección
La dirección de la organización debe comprometerse con el establecimiento,

implementación, operación, monitorización, revisión, mantenimiento y mejora
del SGSI. Para ello, debe tomar las siguientes iniciativas:
• Establecer una política de seguridad de la información.
• Asegurarse de que se establecen objetivos y planes del SGSI.
• Establecer roles y responsabilidades de seguridad de la información.
• Comunicar a la organización tanto la importancia de lograr los objetivos de

seguridad de la información y de cumplir con la política de seguridad, como sus
responsabilidades legales y la necesidad de mejora continua.
• Asignar suficientes recursos al SGSI en todas sus fases.
• Decidir los criterios de aceptación de riesgos y sus correspondientes niveles.
• Asegurar que se realizan auditorías internas.
• Realizar revisiones del SGSI, como se detalla más adelante.
Asignación de recursos
Para el correcto desarrollo de todas las actividades relacionadas con el SGSI, es
imprescindible la asignación de recursos. Es responsabilidad de la dirección
garantizar que se asignan los suficientes para:
• Establecer, implementar, operar, monitorizar, revisar, mantener y mejorar el

SGSI.
• Garantizar que los procedimientos de seguridad de la información apoyan los

requerimientos de negocio.
• Identificar y tratar todos los requerimientos legales y normativos, así como

las obligaciones contractuales de seguridad.
• Aplicar correctamente todos los controles implementados, manteniendo de

esa forma la seguridad adecuada.
• Realizar revisiones cuando sea necesario y actuar adecuadamente según los

resultados de las mismas.
• Mejorar la eficacia del SGSI donde sea necesario.
Formación y concienciación
La formación y la concienciación en seguridad de la información son elementos

básicos para el éxito de un SGSI. Por ello, la dirección debe asegurar que todo
el personal de la organización al que se le asignen responsabilidades definidas
en el SGSI esté suficientemente capacitado. Se deberá:
• Determinar las competencias necesarias para el personal que realiza tareas en

aplicación del SGSI.
• Satisfacer dichas necesidades por medio de formación o de otras acciones

como, p. ej., contratación de personal ya formado.
• Evaluar la eficacia de las acciones realizadas.
• Mantener registros de estudios, formación, habilidades, experiencia y

cualificación.
Además, la dirección debe asegurar que todo el personal relevante esté
concienciado de la importancia de sus actividades de seguridad de la
información y de cómo contribuye a la consecución de los objetivos del SGSI.
Revisión del SGSI
A la dirección de la organización se le asigna también la tarea de, al menos una

vez al año, revisar el SGSI, para asegurar que continúe siendo adecuado y
eficaz. Para ello, debe recibir una serie de informaciones, que le ayuden a
tomar decisiones, entre las que se pueden enumerar:
• Resultados de auditorías y revisiones del SGSI.
• Observaciones de todas las partes interesadas.
• Técnicas, productos o procedimientos que pudieran ser útiles para mejorar el

rendimiento y eficacia del SGSI.
• Información sobre el estado de acciones preventivas y correctivas.
• Vulnerabilidades o amenazas que no fueran tratadas adecuadamente en

evaluaciones de riesgos anteriores.
• Resultados de las mediciones de eficacia.
• Estado de las acciones iniciadas a raíz de revisiones anteriores de la dirección.
• Cualquier cambio que pueda afectar al SGSI.
• Recomendaciones de mejora.
Basándose en todas estas informaciones, la dirección debe revisar el SGSI y

tomar decisiones y acciones relativas a:
• Mejora de la eficacia del SGSI.
• Actualización de la evaluación de riesgos y del plan de tratamiento de riesgos.
• Modificación de los procedimientos y controles que afecten a la seguridad de

la información, en respuesta a cambios internos o externos en los requisitos de
negocio, requerimientos de seguridad, procesos de negocio, marco legal,
obligaciones contractuales, niveles de riesgo y criterios de aceptación de
riesgos.
• Necesidades de recursos.
• Mejora de la forma de medir la efectividad de los controles
• ¿Se integra un SGSI con otros sistemas de

gestión?
Un SGSI es, en primera instancia, un sistema de gestión, es decir, una

herramienta de la que dispone la gerencia para dirigir y controlar un
determinado ámbito, en este caso, la seguridad de la información.
La gestión de las actividades de las organizaciones se realiza, cada vez con más
frecuencia, según sistemas de gestión basados en estándares internacionales:
se gestiona la calidad según ISO 9001, el impacto medio-ambiental según ISO
14001 o la prevención de riesgos laborales según OHSAS 18001. Ahora, se
añade ISO 27001 como estándar de gestión de seguridad de la información.
Las empresas tienen la posibilidad de implantar un número variable de estos

sistemas de gestión para mejorar la organización y beneficios sin imponer una
carga a la organización.
El objetivo último debería ser llegar a un único sistema de gestión que

contemple todos los aspectos necesarios para la organización, basándose en el
ciclo PDCA de mejora continua común a todos estos estándares. Las facilidades
para la integración de las normas ISO son evidentes mediante la consulta de
sus anexos.
ISO 27001 detalla en su Anexo C, punto por punto, la correspondencia entre

esta norma y la ISO 9001 e ISO 14001. Ahí se observa la alta correlación
existente y se puede intuir la posibilidad de integrar el sistema de gestión de
seguridad de la información en los sistemas de gestión existentes ya en la
organización. Algunos puntos que suponen una novedad en ISO 27001 frente a
otros estándares son la evaluación de riesgos y el establecimiento de una
declaración de aplicabilidad (SOA), aunque ya se plantea incorporar éstos al
resto de normas en un futuro.
También existe la especificación pública PAS 99 como marco de referencia para
una integración de sistemas y es la primera especificación de requisitos del
mundo para sistemas de gestión integrada que se basa en los seis requisitos
comunes de la guía ISO 72 (una norma para redactar normas para sistemas de
gestión).
Entre las diferentes normas que se pueden utilizar con PAS 99 (dos o varias)
dentro de un sistema de gestión integrada típico pueden incluirse ISO 9001
(Gestión de la calidad), ISO 14001 (Gestión medioambiental), OHSAS 18001
(Salud y seguridad en el trabajo), ISO/IEC 27001 (Seguridad de la
información), ISO 22000 (Inocuidad de los alimentos seguridad alimentaria),
ISO/IEC 20000 (Gestión de servicios de TI), entre otros sistemas de gestión
basados en un ciclo Deming "Plan-Do-Check-Act" de mejora contínua.
En nuestras secciones de Faqs y de Artículos podrá encontrar más

informaciones acerca de la integración del SGSI con otros sistemas de gestión.
• ISO 27000
La información es un activo vital para el éxito y la continuidad en el mercado de

cualquier organización. El aseguramiento de dicha información y de los sistemas
que la procesan es, por tanto, un objetivo de primer nivel para la organización.
Para la adecuada gestión de la seguridad de la información, es necesario

implantar un sistema que aborde esta tarea de una forma metódica,
documentada y basada en unos objetivos claros de seguridad y una evaluación
de los riesgos a los que está sometida la información de la organización.
ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de

desarrollo- por ISO (International Organization for Standardization) e IEC
(International Electrotechnical Commission), que proporcionan un marco de
gestión de la seguridad de la información utilizable por cualquier tipo de
organización, pública o privada, grande o pequeña.
En este apartado se resumen las distintas normas que componen la serie ISO
27000 y se indica cómo puede una organización implantar un sistema de
gestión de seguridad de la información (SGSI) basado en ISO 27001.
Acceda directamente a las secciones de su interés a través del submenú de la
izquierda o siguiendo los marcadores de final de página.
• Origen
Desde 1901, y como primera entidad de normalización a nivel mundial, BSI

(British Standards Institution, la organización británica equivalente a AENOR en
España) es responsable de la publicación de importantes normas como:
1979. Publicación BS 5750 - ahora ISO 9001
1992. Publicación BS 7750 - ahora ISO 14001
1996. Publicación BS 8800 - ahora OHSAS 18001
La norma BS 7799 de BSI apareció por primera vez en 1995, con objeto de
proporcionar a cualquier empresa -británica o no- un conjunto de buenas
prácticas para la gestión de la seguridad de su información.
La primera parte de la norma (BS 7799-1) fue una guía de buenas prácticas,
para la que no se establecía un esquema de certificación. Es la segunda parte
(BS 7799-2), publicada por primera vez en 1998, la que estableció los
requisitos de un sistema de seguridad de la información (SGSI) para ser
certificable por una entidad independiente.
Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se

adoptó por ISO, sin cambios sustanciales, como ISO 17799 en el año 2000.
En 2002, se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO de

sistemas de gestión.
En 2005, con más de 1700 empresas certificadas en BS 7799-2, este esquema

se publicó por ISO como estándar ISO 27001, al tiempo que se revisó y
actualizó ISO 17799. Esta última norma se renombró como ISO 27002:2005 el
1 de Julio de 2007, manteniendo el contenido así como el año de publicación
formal de la revisión.
En Marzo de 2006, posteriormente a la publicación de ISO 27001:2005, BSI
publicó la BS 7799-3:2006, centrada en la gestión del riesgo de los sistemas de
información.
Asimismo, ISO ha continuado, y continúa aún, desarrollando otras normas

dentro de la serie 27000 que sirvan de apoyo a las organizaciones en la
interpretación e implementación de ISO/IEC 27001, que es la norma principal y
única certificable dentro de la serie.
En la sección de Artículos y Podcasts encontrará un archivo gráfico y sonoro con

la historia de ISO 27001 e ISO 17799.
• La serie 27000
A semejanza de otras normas ISO, la 27000 es realmente una serie de

estándares. Los rangos de numeración reservados por ISO van de 27000 a
27019 y de 27030 a 27044. Las normas que incluye son (toda la información
disponible públicamente sobre el desarrollo de las normas de la serie 27000
puede consultarse en la página web del subcomité JTC1/SC27):
• ISO/IEC 27000:
Publicada el 1 de Mayo de 2009. Esta norma proporciona una visión general de

las normas que componen la serie 27000, una introducción a los Sistemas de
Gestión de Seguridad de la Información, una breve descripción del proceso
Plan-Do-Check-Act y términos y definiciones que se emplean en toda la serie
27000. En España, esta norma aún no está traducida. El original en inglés y su
traducción al francés pueden descargarse gratuitamente de
standards.iso.org/ittf/PubliclyAvailableStandards.
• ISO/IEC 27001:
Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y contiene

los requisitos del sistema de gestión de seguridad de la información. Tiene su
origen en la BS 7799-2:2002 (que ya quedó anulada) y es la norma con arreglo
a la cual se certifican por auditores externos los SGSIs de las organizaciones.
En su Anexo A, enumera en forma de resumen los objetivos de control y
controles que desarrolla la ISO 27002:2005, para que sean seleccionados por
las organizaciones en el desarrollo de sus SGSI; a pesar de no ser obligatoria la
implementación de todos los controles enumerados en dicho anexo, la
organización deberá argumentar sólidamente la no aplicabilidad de los controles
no implementados. Desde el 28 de Noviembre de 2007, esta norma está
publicada en España como UNE-ISO/IEC 27001:2007 y puede adquirirse online
en AENOR (también en lengua gallega). En 2009, se publicó un documento
adicional de modificaciones (UNE-ISO/IEC 27001:2007/1M:2009). Otros países
donde también está publicada en español son, por ejemplo, Colombia (NTC-
ISO-IEC 27001), Venezuela (Fondonorma ISO/IEC 27001), Argentina (IRAM-
ISO IEC 27001), Chile (NCh-ISO27001) o México (NMX-I-041/02-NYCE). El
original en inglés y la traducción al francés pueden adquirirse en iso.org.
Actualmente, este estándar se encuentra en periodo de revisión en el subcomité
ISO SC27, con fecha prevista de publicación en 2012.
• ISO/IEC 27002:
Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005,

manteniendo 2005 como año de edición. Es una guía de buenas prácticas que
describe los objetivos de control y controles recomendables en cuanto a
seguridad de la información. No es certificable. Contiene 39 objetivos de control
y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su
apartado correspondiente, la norma ISO 27001 contiene un anexo que resume
los controles de ISO 27002:2005. Publicada en España como UNE-ISO/IEC
27002:2009 desde el 9 de Diciembre de 2009 (a la venta en AENOR). Otros
países donde también está publicada en español son, por ejemplo, Colombia
(NTC-ISO-IEC 27002), Venezuela (Fondonorma ISO/IEC 27002), Argentina
(IRAM-ISO-IEC 27002), Chile (NCh-ISO27002) o Perú (como ISO 17799;
descarga gratuita). El original en inglés y su traducción al francés pueden
adquirirse en iso.org. Actualmente, este estándar se encuentra en periodo de
revisión en el subcomité ISO SC27, con fecha prevista de publicación en 2012.
• ISO/IEC 27003:
Publicada el 01 de Febrero de 2010. No certificable. Es una guía que se centra

en los aspectos críticos necesarios para el diseño e implementación con éxito de
un SGSI de acuerdo ISO/IEC 27001:2005. Describe el proceso de especificación
y diseño desde la concepción hasta la puesta en marcha de planes de
implementación, así como el proceso de obtención de aprobación por la
dirección para implementar un SGSI. Tiene su origen en el anexo B de la norma
BS 7799-2 y en la serie de documentos publicados por BSI a lo largo de los
años con recomendaciones y guías de implantación. En España, esta norma aún
no está traducida. El original en inglés puede adquirirse en iso.org.
• ISO/IEC 27004:
Publicada el 7 de Diciembre de 2009. No certificable. Es una guía para el

desarrollo y utilización de métricas y técnicas de medida aplicables para
determinar la eficacia de un SGSI y de los controles o grupos de controles
implementados según ISO/IEC 27001. En España, esta norma aún no está
traducida. El original en inglés puede adquirirse en iso.org
• ISO/IEC 27005:
Publicada el 4 de Junio de 2008. No certificable. Proporciona directrices para la

gestión del riesgo en la seguridad de la información. Apoya los conceptos
generales especificados en la norma ISO/IEC 27001 y está diseñada para
ayudar a la aplicación satisfactoria de la seguridad de la información basada en
un enfoque de gestión de riesgos. Su publicación revisa y retira las normas
ISO/IEC TR 13335-3:1998 e ISO/IEC TR 13335-4:2000. El original en inglés
puede adquirirse en iso.org. En España, esta norma aún no está traducida, sin
embargo, sí lo está en países como México (NMX-I-041/05-NYCE), Chile (NCh-
ISO27005) o Colombia (NTC-ISO-IEC 27005).
• ISO/IEC 27006:
Publicada el 1 de Marzo de 2007. Especifica los requisitos para la acreditación

de entidades de auditoría y certificación de sistemas de gestión de seguridad de
la información. Es una versión revisada de EA-7/03 (Requisitos para la
acreditación de entidades que operan certificación/registro de SGSIs) que
añade a ISO/IEC 17021 (Requisitos para las entidades de auditoría y
certificación de sistemas de gestión) los requisitos específicos relacionados con
ISO 27001 y los SGSIs. Es decir, ayuda a interpretar los criterios de
acreditación de ISO/IEC 17021 cuando se aplican a entidades de certificación de
ISO 27001, pero no es una norma de acreditación por sí misma. El original en
inglés puede adquirirse en iso.org. En España, esta norma aún no está
traducida, sin embargo, sí lo está en México (NMX-I-041/06-NYCE).
• ISO/IEC 27007:
En fase de desarrollo, con publicación prevista en 2011. Consistirá en una guía

de auditoría de un SGSI, como complemento a lo especificado en ISO 19011.
• ISO/IEC 27008:

de auditoría de los controles seleccionados en el marco de implantación de un
SGSI.
• ISO/IEC 27010:
En fase de desarrollo, con publicación prevista en 2012. Es una norma en 2

partes, que consistirá en una guía para la gestión de la seguridad de la
información en comunicaciones inter-sectoriales.
• ISO/IEC 27011:
Publicada el 15 de Diciembre de 2008. Es una guía de interpretación de la

implementación y gestión de la seguridad de la información en organizaciones
del sector de telecomunicaciones basada en ISO/IEC 27002. Está publicada
también como norma ITU-T X.1051. En España, aún no está traducida. El
original en inglés puede adquirirse en iso.org.
• ISO/IEC 27012:
En fase de desarrollo, con publicación prevista en 2011. Consistirá en un

conjunto de requisitos (complementarios a ISO/IEC 27001) y directrices
(complementarias a ISO/IEC 27002) de gestión de seguridad de la información
en organizaciones que proporcionen servicios de e-Administración.
• ISO/IEC 27013:

de implementación integrada de ISO/IEC 27001 (gestión de seguridad de la
información) y de ISO/IEC 20000-1 (gestión de servicios TI).
• ISO/IEC 27014:

de gobierno corporativo de la seguridad de la información.
• ISO/IEC 27015:

de SGSI para organizaciones del sector financiero y de seguros.
• ISO/IEC 27031:

de continuidad de negocio en cuanto a tecnologías de la información y
comunicaciones.
• ISO/IEC 27032:

relativa a la ciberseguridad.
• ISO/IEC 27033:
Norma dedicada a la seguridad en redes, consistente en 7 partes: 27033-1,

conceptos generales (publicada el 10 de Diciembre de 2009 y disponible en
iso.org); 27033-2, directrices de diseño e implementación de seguridad en
redes (prevista para 2011); 27033-3, escenarios de redes de referencia
(prevista para 2011); 27033-4, aseguramiento de las comunicaciones entre
redes mediante gateways de seguridad (prevista para 2012); 27033-5,
aseguramiento de comunicaciones mediante VPNs (prevista para 2012); 27033-
6, convergencia IP (prevista para 2012); 27033-7, redes inalámbricas (prevista
para 2012).
• ISO/IEC 27034:

de seguridad en aplicaciones informáticas.
• ISO/IEC 27035:

de gestión de incidentes de seguridad de la información.
• ISO/IEC 27036:

de seguridad de outsourcing (externalización de servicios).
• ISO/IEC 27037:

de identificación, recopilación y preservación de evidencias digitales.
• ISO 27799:
Publicada el 12 de Junio de 2008. Es una norma que proporciona directrices

para apoyar la interpretación y aplicación en el sector sanitario de ISO/IEC
27002, en cuanto a la seguridad de la información sobre los datos de salud de
los pacientes. Esta norma, al contrario que las anteriores, no la desarrolla el
subcomité JTC1/SC27, sino el comité técnico TC 215. El original en inglés o
francés puede adquirirse en iso.org. Desde el 20 de Enero de 2010, esta norma
está publicada en España como UNE-ISO/IEC 27799:2010 y puede adquirirse
online en AENOR
• Contenido
En esta sección se hace un breve resumen del contenido de las normas de la

serie 27000 ya publicadas. Si desea acceder a las normas completas, debe
saber que éstas no son de libre difusión sino que han de ser adquiridas.
Para los originales en inglés, puede hacerlo online en la tienda virtual de la

propia organización: iso.org
Las normas en español pueden adquirirse en España en AENOR (vea en la

sección Serie 27000 cuáles están ya traducidas)
Las entidades de normalización responsables de la publicación y venta de

normas en cada país hispanoamericano (es decir, las homólogas del AENOR
español) las puede encontrar listadas en nuestra sección de "Enlaces", bajo
"Acreditación y Normalización".
ISO 27000:2009
0 Introduction
1 Scope
2 Terms and definitions
3 Information security management systems

3.1 Introduction
3.2 What is an ISMS
3.3 Process approach
3.4 Why an ISMS is important
3.5 Establishing, monitoring, maintaining and improving an ISMS
3.6 ISMS critical sucess factors
3.7 Benefits of the ISMS family of standards
4 ISMS family of standards
4.1 General information
4.2 Standards describing an overview and terminology
4.3 Standards specifying requirements
4.4 Standards describing general guidelines
4.5 Standards describing sector-specific guideliness
Annex A (informative) Verbal forms for the expression of provision
Annex B (informative) Categorized terms
Bibliography
ISO 27001:2005
0 Introducción: generalidades e introducción al método PDCA.

0.1 Generalidades
0.2 Enfoque por proceso
0.3 Compatibilidad con otros sistemas de gestión
1 Objeto y campo de aplicación: se especifica el objetivo, la aplicación y el

tratamiento de exclusiones.
1.1 Generalidades
1.2 Aplicación
2 Normas para consulta: otras normas que sirven de referencia.
3 Términos y definiciones: breve descripción de los términos más usados en

la norma.
4 Sistema de gestión de la seguridad de la información: cómo crear,

implementar, operar, supervisar, revisar, mantener y mejorar el SGSI;
requisitos de documentación y control de la misma.
4.1 Requisitos generales
4.2 Creación y gestión del SGSI
- 4.2.1 Creación del SGSI
- 4.2.2 Implementación y operación del SGSI
- 4.2.3 Supervisión y revisión del SGSI
- 4.2.4 Mantenimiento y mejora del SGSI
4.3 Requisitos de documentación
-4.3.1 Generalidades
-4.3.2 Control de documentos
-4.3.3 Control de registros
5 Responsabilidad de la dirección: en cuanto a compromiso con el SGSI,

gestión y provisión de recursos y concienciación, formación y capacitación del
personal.
5.1 Compromiso de la dirección
5.2 Gestión de los recursos
- 5.2.1 Provisión de los recursos
- 5.2.2 Concienciación, formación y competencia
6 Auditorías internas del SGSI: cómo realizar las auditorías internas de

control y cumplimiento.
7 Revisión del SGSI por la dirección: cómo gestionar el proceso periódico de

revisión del SGSI por parte de la dirección.
7.1 Generalidades
7.2 Datos iniciales de la revisión
7.3 Resultados de la revisión
8 Mejora del SGSI: mejora continua, acciones correctivas y acciones

preventivas.
8.1 Mejora continua
8.2 Acción correctiva
8.3 Acción preventiva
Anexo A: (normativo) Objetivos de control y controles - anexo normativo que

enumera los objetivos de control y controles que se encuentran detallados en la
norma ISO 27002:2005.
Anexo B: (informativo) Relación con los Principios de la OCDE con la

correspondencia entre los apartados de la ISO 27001 y los principios de buen
gobierno de la OCDE.
Anexo C: (informativo) Correspondencia con otras normas mediante una tabla

de correspondencia de cláusulas con ISO 9001 e ISO 14001.
Bibliografía: normas y publicaciones de referencia.

ISO 27002:2005 (anterior ISO 17799:2005)
0 Introducción: conceptos generales de seguridad de la información y SGSI.
1 Campo de aplicación: se especifica el objetivo de la norma.
2 Términos y definiciones: breve descripción de los términos más usados en

la norma.
3 Estructura del estándar: descripción de la estructura de la norma.
4 Evaluación y tratamiento del riesgo: indicaciones sobre cómo evaluar y

tratar los riesgos de seguridad de la información.
5 Política de seguridad: documento de política de seguridad y su gestión.
6 Aspectos organizativos de la seguridad de la información: organización

interna; terceros.
7 Gestión de activos: responsabilidad sobre los activos; clasificación de la

información.
8 Seguridad ligada a los recursos humanos: antes del empleo; durante el

empleo; cese del empleo o cambio de puesto de trabajo.
9 Seguridad física y ambiental: áreas seguras; seguridad de los equipos.
10 Gestión de comunicaciones y operaciones: responsabilidades y

procedimientos de operación; gestión de la provisión de servicios por terceros;
planificación y aceptación del sistema; protección contra código malicioso y
descargable; copias de seguridad; gestión de la seguridad de las redes;
manipulación de los soportes; intercambio de información; servicios de
comercio electrónico; supervisión.
11 Control de acceso: requisitos de negocio para el control de acceso; gestión

de acceso de usuario; responsabilidades de usuario; control de acceso a la red;
control de acceso al sistema operativo; control de acceso a las aplicaciones y a
la información; ordenadores portátiles y teletrabajo.
12 Adquisición, desarrollo y mantenimiento de los sistemas de

información:<0b> requisitos de seguridad de los sistemas de
información; tratamiento correcto de las aplicaciones; controles
criptográficos; seguridad de los archivos de sistema; seguridad en los
procesos de desarrollo y soporte; gestión de la vulnerabilidad técnica.
13 Gestión de incidentes de seguridad de la información: notificación de

eventos y puntos débiles de la seguridad de la información; gestión de
incidentes de seguridad de la información y mejoras.
14 Gestión de la continuidad del negocio: aspectos de la seguridad de la

información en la gestión de la continuidad del negocio.
15 Cumplimiento: cumplimiento de los requisitos legales; cumplimiento de las

políticas y normas de seguridad y cumplimiento técnico; consideraciones sobre
las auditorías de los sistemas de información.
Bibliografía: normas y publicaciones de referencia.
Índice
Puede descargarse una lista de todos los controles que contiene esta norma
aquí: http://www.iso27000.es/download/ControlesISO27002-2005.pdf
ISO 27003:2010
- Foreword
- Introduction
1 Scope
2 Normative references
4 Structure of this International Standard

4.1 General structure of clauses
4.2 General structure of a clause
4.3 Diagrams
5 Obtaining management approval for initiating an ISMS project

5.1 Overview of obtaining management approval for initiating an ISMS project
5.2 Clarify the organization’s priorities to develop an ISMS
5.3 Define the preliminary ISMS scope
5.4 Create the business case and the project plan for management approval
6 Defining ISMS scope, boundaries and ISMS policy
6.1 Overview of defining ISMS scope, boundaries and ISMS policy
6.2 Define organizational scope and boundaries
6.3 Define information communication technology (ICT) scope and boundaries
6.4 Define physical scope and boundaries
6.5 Integrate each scope and boundaries to obtain the ISMS scope and
boundaries
6.6 Develop the ISMS policy and obtain approval from management
7 Conducting information security requirements analysis

7.1 Overview of conducting information security requirements analysis
7.2 Define information security requirements for the ISMS process
7.3 Identify assets within the ISMS scope
7.4 Conduct an information security assessment
8 Conducting risk assessment and planning risk treatment

8.1 Overview of conducting risk assessment and planning risk treatment
8.2 Conduct risk assessment
8.3 Select the control objectives and controls
8.4 Obtain management authorization for implementing and operating an ISMS
9 Designing the ISMS

9.1 Overview of designing the ISMS
9.2 Design organizational information security
9.3 Design ICT and physical information security
9.4 Design ISMS specific information security
9.5 Produce the final ISMS project plan
Annex A (informative) Checklist description

Annex B (informative) Roles and responsibilities for Information
Security
Annex C (informative) Information about Infernal Auditing
Annex D (informative) Structure of policies
Annex E (informative) Monitoring and measuring
Bibliography
ISO 27004:2009
0 Introduction
0.1 General
0.2 Management overview
1 Scope
5 Information security measurement overview

5.1 Objectives of information security measurement
5.2 Information Security Measurement Programme
5.3 Success factors
5.4 Information security measurement model
- 5.4.1 Overview
- 5.4.2 Base measure and measurement method
- 5.4.3 Derived measure and measurement function
- 5.4.4 Indicators and analytical model
- 5.4.5 Measurement results and decision criteria
6 Management responsibilities
6.1 Overview
6.2 Resource management
6.3 Measurement training, awareness, and competence
7 Measures and measurement development

7.1 Overview
7.2 Definition of measurement scope
7.3 Identification of information need
7.4 Object and attribute selection
7.5 Measurement construct development
- 7.5.1 Overview
- 7.5.2 Measure selection
- 7.5.3 Measurement method
- 7.5.4 Measurement function
- 7.5.5 Analytical model
- 7.5.6 Indicators
- 7.5.7 Decision criteria
- 7.5.8 Stakeholders
7.6 Measurement construct
7.7 Data collection, analysis and reporting
7.8 Measurement implementation and documentation
8 Measurement operation
8.1 Overview
8.2 Procedure integration
8.3 Data collection, storage and verification
9 Data analysis and measurement results reporting

9.1 Overview
9.2 Analyse data and develop measurement results
9.3 Communicate measurement results
10 Information Security Measurement Programme Evaluation and

Improvement
10.1 Overview
10.2 Evaluation criteria identification for the Information Security Measurement
Programme
10.3 Monitor, review, and evaluate the Information Security Measurement
Programme
10.4 Implement improvements
Annex A (informative) Template for an information security

measurement construct
Annex B (informative) Measurement construct examples
Bibliography
ISO 27005:2008
Foreword
1 Scope

5 Background
6 Overview of the information security risk management process
7 Context establishment
7.1 General considerations
7.2 Basic criteria
7.3 The scope and boundaries
7.4 Organization for information security risk management
8 Information security risk assessment

8.1 General description of information security risk assessment
8.2 Risk analysis
- 8.2.1 Risk identification
- 8.2.2 Risk estimation
8.3 Risk evaluation
9 Information security risk treatment

9.1 General description of risk treatment
9.2 Risk reduction
9.3 Risk retention
9.4 Risk avoidance
9.5 Risk transfer
10 Information security risk acceptance
11 Information security risk communication
12 Information security risk monitoring and review

12.1 Monitoring and review of risk factors
12.2 Risk management monitoring, reviewing and improving
Annex A (informative) Defining the scope and boundaries of the

information security risk management process
A.1 Study of the organization
A.2 List of the constraints affecting the organization
A.3 List of the legislative and regulatory references applicable to the
organization
A.4 List of the constraints affecting the scope
Annex B (informative) Identification and valuation of assets and impact

assessment
B.1 Examples of asset identification
- B.1.1 The identification of primary assets
- B.1.2 List and description of supporting assets
B.2 Asset valuation
B.3 Impact assessment
Annex C (informative) Examples of typical threats
Annex D (informative) Vulnerabilities and methods for vulnerability

assessment
D.1 Examples of vulnerabilities
D.2 Methods for assessment of technical vulnerabilities
Annex E (informative) Information security risk assessment

approaches
E.1 High-level information security risk assessment
E.2 Detailed information security risk assessment
E.2.1 Example 1 Matrix with predefined values
E.2.2 Example 2 Ranking of Threats by Measures of Risk
E.2.3 Example 3 Assessing a value for the likelihood and the possible
consequences of risks
Annex F (informative) Constraints for risk reduction
Bibliography
ISO 27006:2007
(Esta norma referencia directamente a muchas cláusulas de ISO 17021

-requisitos de entidades de auditoría y certificación de sistemas de gestión-, por
lo que es recomendable disponer también de dicha norma, que puede adquirirse
en español en AENOR).
Foreword: presentación de las organizaciones ISO e IEC y sus actividades.

Introduction: antecedentes de ISO 27006 y guía de uso para la norma.
1 Scope: a quién aplica este estándar.
2 Normative references: otras normas que sirven de referencia.
3 Terms and definitions: breve descripción de los términos más usados en la

norma.
4 Principles: principios que rigen esta norma.
5 General requirements: aspectos generales que deben cumplir las entidades

de certificación de SGSIs.
5.1 Legal and contractual matter
5.2 Management of impartiality
5.3 Liability and financing
6 Structural requirements: estructura organizativa que deben tener las

entidades de certificación de SGSIs.
6.1 Organizational structure and top management
6.2 Committee for safeguarding impartiality
7 Resource requirements: competencias requeridas para el personal de

dirección, administración y auditoría de la entidad de certificación, así como
para auditores externos, expertos técnicos externos y subcontratas.
7.1 Competence of management and personnel
7.2 Personnel involved in the certification activities
7.3 Use of individual external auditors and external technical experts
7.4 Personnel records
7.5 Outsourcing
8 Information requirements: información pública, documentos de

certificación, relación de clientes certificados, referencias a la certificación y
marcas, confidencialidad e intercambio de información entre la entidad de
certificación y sus clientes.
8.1 Publicly accessible information
8.2 Certification documents
8.3 Directory of certified clients
8.4 Reference to certification and use of marks
8.5 Confidentiality
8.6 Information exchange between a certification body and its clients
9 Process requirements: requisitos generales del proceso de certificación,

auditoría inicial y certificación, auditorías de seguimiento, recertificación,
auditorías especiales, suspensión, retirada o modificación de alcance de la
certificación, apelaciones, reclamaciones y registros de solicitantes y clientes.
9.1 General requirements
9.2 Initial audit and certification
9.3 Surveillance activities
9.4 Recertification
9.5 Special audits
9.6 Suspending, withdrawing or reducing scope of certification
9.7 Appeals
9.8 Complaints
9.9 Records of applicants and clients
10 Management system requirements for certification bodies: opciones,

opción 1 (requisitos del sistema de gestión de acuerdo con ISO 9001) y opción
2 (requisitos del sistema de gestión general).
10.1 Options
10.2 Option 1 – Management system requirements in accordance with ISO
9001
10.3 Option 2 – General management system requirements
Annex A - Análisis de la complejidad de la organización de un cliente y

aspectos específicos del sector: potencial de riesgo de la organización (tabla
orientativa) y categorías de riesgo de la seguridad de la información específicas
del sector de actividad.
Annex B - Áreas de ejemplo de competencia del auditor: consideraciones

de competencia general y consideraciones de competencia específica
(conocimiento de los controles del Anexo A de ISO 27001:2005 y conocimientos
sobre SGSIs).
Annex c - Tiempos de auditoría: introducción, procedimiento para

determinar la duración de la auditoría y tabla de tiempos de auditoría
(incluyendo comparativa con tiempos de auditoría de sistemas de calidad -ISO
9001- y medioambientales -ISO 14001-).
Annex D - Guía para la revisión de controles implantados del Anexo A
de ISO 27001:2005: tabla de apoyo para el auditor sobre cómo auditar los
controles, sean organizativos o técnicos.
ISO 27011:2008
1 Scope
3 Definitions and abbreviations

3.1 Definitions
3.2 Abbreviations
4 Overview
4.1 Structure of this guideline
4.2 Information security management systems in telecommunications business
5 Security policy
6 Organization of information security

6.1 Internal organization
6.2 External parties
7 Asset management
7.1 Responsibility for assets
7.2 Information classification
8 Human resources security

8.1 Prior to employment
8.2 During employment
8.3 Termination or change of employment
9 Physical and environmental security

9.1 Secure areas
9.2 Equipment security
10 Communications and operations management

10.1 Operational procedures and responsibilities
10.2 Third party service delivery management
10.3 System planning and acceptance
10.4 Protection against malicious and mobile code
10.5 Back-up
10.6 Network security management
10.7 Media handling
10.8 Exchange of information
10.9 Electronic commerce services
10.10 Monitoring
11 Access control
11.1 Business requirement for access control
11.2 User access management
11.3 User responsibilities
11.4 Network access control
11.5 Operating system access control
11.6 Application and information access control
11.7 Mobile computing and teleworking
12 Information systems acquisition, development and maintenance

12.1 Security requirements of information systems
12.2 Correct processing in applications
12.3 Cryptographic controls
12.4 Security of system files
12.5 Security in development and support processes
12.6 Technical vulnerability management
13 Information security incident management

13.1 Reporting information security events and weaknesses
13.2 Management of information security incidents and improvements
14 Business continuity management

14.1 Information security aspects of business continuity management
15 Compliance
Annex A – Telecommunications extended control set

A.9 Physical and environmental security
A.10 Communications and operations management
A.11 Access control
A.15 Compliance
Annex B – Additional implementation guidance
B.1 Network security measures against cyber attacks
B.2 Network security measures for network congestion
Bibliography
ISO 27033-1:2009
1 Scope
4 Abbreviated terms
5 Structure
6 Overview
6.1 Background
6.2 Network Security Planning and Management
7 Identifying Risks and Preparing to Identify Security Controls

7.1 Introduction
7.2 Information on Current and/or Planned Networking
7.3 Information Security Risks and Potential Control Areas
8 Supporting Controls
8.1 Introduction
8.2 Management of Network Security
8.3 Technical Vulnerability Management
8.4 Identification and Authentication
8.5 Network Audit Logging and Monitoring
8.6 Intrusion Detection and Prevention
8.7 Protection against Malicious Code
8.8 Cryptographic Based Services
8.9 Business Continuity Management
9 Guidelines for the Design and Implementation of Network Security

9.1 Background
9.2 Network Technical Security Architecture/Design
10 Reference Network Scenarios – Risks, Design, Techniques and
Control Issues
10.1 Introduction
10.2 Internet Access Services for Employees
10.3 Enhanced Collaboration Services
10.4 Business to Business Services
10.5 Business to Customer Services
10.6 Outsourcing Services
10.7 Network Segmentation
10.8 Mobile Communications
10.9 Network Support for Traveling Users
10.10 Network Support for Home and Small Business Offices
11 ‘Technology’ Topics – Risks, Design Techniques and Control Issues
12 Develop and Test Security Solution
13 Operate Security Solution
14 Monitor and Review Solution Implementation
Annex A
Annex B: Security Related Controls, and clauses within this part of

ISO/IEC 27033
Annex C (informative): Topics – Risks, Design Techniques and Control

Issues (informative) Cross-references Between ISO/IEC 27001 and
ISO/IEC 27002 Network (informative) Example Template for a SecOPs
Document
ISO 27799:2008
• Alcance
• Referencias (Normativas)
• Terminología
• Simbología
• Seguridad de la información sanitaria (Objetivos; Seguridad en el
gobierno de la información; Infomación sanitara a proteger; Amenazas y
vulnerabilidades)
• Plan de acción práctico para implantar ISO 17799/27002 (Taxonomía;

Acuerdo de la dirección; establecimiento, operación, mantenimiento y mejora
de un SGSI; Planning; Doing; Checking, Auditing)
• Implicaciones sanitarias de ISO 17799/27002 (Política de seguridad de

la información; Organización; gestión de activos; RRHH; Fisicos;
Comunicaciones; Accesos; Adquisición; Gestión de Incidentes; Continuidad de
negocio; Cumplimiento legal)
• Anexo A: Amenazas
• Anexo B: Tareas y documentación de un SGSI
• Anexo C: Beneficios potenciales y atributos de herramientas
• Anexo D: Estándares relacionados
• Beneficios
• Establecimiento de una metodología de gestión de la seguridad clara y

estructurada.
• Reducción del riesgo de pérdida, robo o corrupción de información.
• Los clientes tienen acceso a la información a través medidas de seguridad.
• Los riesgos y sus controles son continuamente revisados.
• Confianza de clientes y socios estratégicos por la garantía de calidad y

confidencialidad comercial.
• Las auditorías externas ayudan cíclicamente a identificar las debilidades del

sistema y las áreas a mejorar.
• Posibilidad de integrarse con otros sistemas de gestión (ISO 9001, ISO

14001, OHSAS 18001…).
• Continuidad de las operaciones necesarias de negocio tras incidentes de
gravedad.
• Conformidad con la legislación vigente sobre información personal, propiedad

intelectual y otras.
• Imagen de empresa a nivel internacional y elemento diferenciador de la

competencia.
• Confianza y reglas claras para las personas de la organización.
• Reducción de costes y mejora de los procesos y servicio.
• Aumento de la motivación y satisfacción del personal.
• Aumento de la seguridad en base a la gestión de procesos en vez de en la

compra sistemática de productos y tecnologías
• ¿Cómo adaptarse?
Arranque del proyecto
• Compromiso de la Dirección: una de las bases fundamentales sobre las que

iniciar un proyecto de este tipo es el apoyo claro y decidido de la Dirección de la
organización. No sólo por ser un punto contemplado de forma especial por la
norma sino porque el cambio de cultura y concienciación que lleva consigo el
proceso hacen necesario el impulso constante de la Dirección.
• Planificación, fechas, responsables: como en todo proyecto de envergadura, el

tiempo y el esfuerzo invertidos en esta fase multiplican sus efectos positivos
sobre el resto de fases.
Planificación
• Definir alcance del SGSI: en función de características del negocio,
organización, localización, activos y tecnología, definir el alcance y los límites
del SGSI (el SGSI no tiene por qué abarcar toda la organización; de hecho, es
recomendable empezar por un alcance limitado). Es importante disponer de un
mapa de procesos de negocio, definir claramente los interfaces con el exterior
del alcance, determinar las terceras partes (proveedores, clientes...) que tienen
influencia sobre la seguridad de la información del alcance, crear mapas de alto
nivel de redes y sistemas, definir las ubicaciones físicas, disponer de
organigramas organizativos, definir claramente los requisitos legales y
contractuales relacionados con seguridad de la información, etc.
• Definir política del SGSI: que incluya el marco general y los objetivos de
seguridad de la información de la organización, tenga en cuenta los requisitos
de negocio, legales y contractuales en cuanto a seguridad, esté alineada con la
gestión de riesgo general, establezca criterios de evaluación de riesgo y sea
aprobada por la Dirección. La política del SGSI es normalmente un documento
muy general, una especie de "declaración de intenciones" de la Dirección.
• Definir el enfoque de evaluación de riesgos: definir una metodología de

evaluación de riesgos apropiada para el SGSI y las necesidades de la
organización, desarrollar criterios de aceptación de riesgos y determinar el nivel
de riesgo aceptable. Existen muchas metodologías de evaluación de riesgos
aceptadas internacionalmente (ver sección de Herramientas); la organización
puede optar por una de ellas, hacer una combinación de varias o crear la suya
propia. ISO 27001 no impone ninguna ni da indicaciones de detalle, aunque ISO
27005 sí profundiza en directrices sobre la materia. El riesgo nunca es
totalmente eliminable -ni sería rentable hacerlo-, por lo que es necesario definir
una estrategia de aceptación de riesgo.
• Inventario de activos: todos aquellos activos de información que tienen algún

valor para la organización y que quedan dentro del alcance del SGSI.
• Identificar amenazas y vulnerabilidades: todas las que afectan a los activos

del inventario.
• Identificar los impactos: los que podría suponer una pérdida de la

confidencialidad, la integridad o la disponibilidad de cada uno de los activos de
información.
• Análisis y evaluación de los riesgos: evaluar el daño resultante de un fallo de

seguridad (es decir, que una amenaza explote una vulnerabilidad) y la
probabilidad de ocurrencia del fallo; estimar el nivel de riesgo resultante y
determinar si el riesgo es aceptable (en función de los niveles definidos
previamente) o requiere tratamiento.
• Identificar y evaluar opciones para el tratamiento del riesgo: el riesgo puede

reducido (mitigado mediante controles), eliminado (p. ej., eliminando el activo),
aceptado (de forma consciente) o transferido (p. ej., con un seguro o un
contrato de outsourcing).
• Selección de controles: seleccionar controles para el tratamiento el riesgo en
función de la evaluación anterior. Utilizar para ello los controles del Anexo A de
ISO 27001 (teniendo en cuenta que las exclusiones habrán de ser justificadas)
y otros controles adicionales si se consideran necesarios.
• Aprobación por parte de la Dirección del riesgo residual y autorización de

implantar el SGSI: hay que recordar que los riesgos de seguridad de la
información son riesgos de negocio y sólo la Dirección puede tomar decisiones
sobre su aceptación o tratamiento. El riesgo residual es el que queda, aún
después de haber aplicado controles (el "riesgo cero" no existe prácticamente
en ningún caso).
• Confeccionar una Declaración de Aplicabilidad: la llamada SOA (Statement of

Applicability) es una lista de todos los controles seleccionados y la razón de su
selección, los controles actualmente implementados y la justificación de
cualquier control del Anexo A excluido. Es, en definitiva, un resumen de las
decisiones tomadas en cuanto al tratamiento del riesgo.
Implementación
• Definir plan de tratamiento de riesgos: que identifique las acciones, recursos,
responsabilidades y prioridades en la gestión de los riesgos de seguridad de la
información.
• Implantar plan de tratamiento de riesgos: con la meta de alcanzar los

objetivos de control identificados.
• Implementar los controles: todos los que se seleccionaron en la fase anterior.
• Formación y concienciación: de todo el personal en lo relativo a la seguridad

de la información.
• Desarrollo del marco normativo necesario: normas, manuales, procedimientos

e instrucciones.
• Gestionar las operaciones del SGSI y todos los recursos que se le asignen.
• Implantar procedimientos y controles de detección y respuesta a incidentes de

seguridad.
Seguimiento
• Ejecutar procedimientos y controles de monitorización y revisión: para

detectar errores en resultados de procesamiento, identificar brechas e
incidentes de seguridad, determinar si las actividades de seguridad de la
información están desarrollándose como estaba planificado, detectar y prevenir
incidentes de seguridad mediante el uso de indicadores y comprobar si las
acciones tomadas para resolver incidentes de seguridad han sido eficaces.
• Revisar regularmente la eficacia del SGSI: en función de los resultados de

auditorías de seguridad, incidentes, mediciones de eficacia, sugerencias y
feedback de todos los interesados.
• Medir la eficacia de los controles: para verificar que se cumple con los
requisitos de seguridad.
• Revisar regularmente la evaluación de riesgos: los cambios en la

organización, tecnología, procesos y objetivos de negocio, amenazas, eficacia
de los controles o el entorno tienen una influencia sobre los riesgos evaluados,
el riesgo residual y el nivel de riesgo aceptado.
• Realizar regularmente auditorías internas: para determinar si los controles,

procesos y procedimientos del SGSI mantienen la conformidad con los
requisitos de ISO 27001, el entorno legal y los requisitos y objetivos de
seguridad de la organización, están implementados y mantenidos con eficacia y
tienen el rendimiento esperado.
• Revisar regularmente el SGSI por parte de la Dirección: para determinar si el

alcance definido sigue siendo el adecuado, identificar mejoras al proceso del
SGSI, a la política de seguridad o a los objetivos de seguridad de la
información.
• Actualizar planes de seguridad: teniendo en cuenta los resultados de la

monitorización y las revisiones.
• Registrar acciones y eventos que puedan tener impacto en la eficacia o el

rendimiento del SGSI: sirven como evidencia documental de conformidad con
los requisitos y uso eficaz del SGSI.
Mejora continua
• Implantar mejoras: poner en marcha todas las mejoras que se hayan
propuesto en la fase anterior.
• Acciones correctivas: para solucionar no conformidades detectadas.
• Acciones preventivas: para prevenir potenciales no conformidades.
• Comunicar las acciones y mejoras: a todos los interesados y con el nivel

adecuado de detalle.
• Asegurarse de que las mejoras alcanzan los objetivos pretendidos: la eficacia

de cualquier acción, medida o cambio debe comprobarse siempre.
• Aspectos clave
Fundamentales
• Compromiso y apoyo de la Dirección de la organización.
• Definición clara de un alcance apropiado.
• Concienciación y formación del personal.
• Evaluación de riesgos adecuada a la organización.

• Compromiso de mejora continua.
• Establecimiento de políticas y normas.
• Organización y comunicación.
• Gestión adecuada de la continuidad de negocio, de los incidentes de

seguridad, del cumplimiento legal y de la externalización.
• Integración del SGSI en la organización.
Factores de éxito
• La concienciación del empleado por la seguridad. Principal objetivo a

conseguir.
• Realización de comités a distintos niveles (operativos, de dirección, etc.) con

gestión continua de no conformidades, incidentes de seguridad, acciones de
mejora, tratamiento de riesgos...
• Creación de un sistema de gestión de incidencias que recoja notificaciones

continuas por parte de los usuarios (los incidentes de seguridad deben ser
reportados y analizados).
• La seguridad absoluta no existe, se trata de reducir el riesgo a niveles

asumibles.
• La seguridad no es un producto, es un proceso.
• La seguridad no es un proyecto, es una actividad continua y el programa de

protección requiere el soporte de la organización para tener éxito.
• La seguridad debe ser inherente a los procesos de información y del negocio.
Riesgos
• Exceso de tiempos de implantación: con los consecuentes costes

descontrolados, desmotivación, alejamiento de los objetivos iniciales, etc.
• Temor ante el cambio: resistencia de las personas.
• Discrepancias en los comités de dirección.

• Delegación de todas las responsabilidades en departamentos técnicos.
• No asumir que la seguridad de la información es inherente a los procesos de

negocio.
• Planes de formación y concienciación inadecuados.
• Calendario de revisiones que no se puedan cumplir.
• Definición poco clara del alcance.
• Exceso de medidas técnicas en detrimento de la formación, concienciación y

medidas de tipo organizativo.
• Falta de comunicación de los progresos al personal de la organización.
Consejos básicos
• Mantener la sencillez y restringirse a un alcance manejable y reducido: un

centro de trabajo, un proceso de negocio clave, un único centro de proceso de
datos o un área sensible concreta; una vez conseguido el éxito y observados los
beneficios, ampliar gradualmente el alcance en sucesivas fases.
• Comprender en detalle el proceso de implantación: iniciarlo en base a

cuestiones exclusivamente técnicas es un error frecuente que rápidamente
sobrecarga de problemas la implantación; adquirir experiencia de otras
implantaciones, asistir a cursos de formación o contar con asesoramiento de
consultores externos especializados.
• Gestionar el proyecto fijando los diferentes hitos con sus objetivos y

resultados.
• La autoridad y compromiso decidido de la Dirección de la empresa -incluso si

al inicio el alcance se restringe a un alcance reducido- evitarán un muro de
excusas para desarrollar las buenas prácticas, además de ser uno de los puntos
fundamentales de la norma.
• La certificación como objetivo: aunque se puede alcanzar la conformidad con

la norma sin certificarse, la certificación por un tercero asegura un mejor
enfoque, un objetivo más claro y tangible y, por lo tanto, mejores opciones de
alcanzar el éxito. Eso sí, la certificación es la "guinda del pastel", no es bueno
que sea la meta en sí misma. El objetivo principal es la gestión de la seguridad
de la información alineada con el negocio.
• No reinventar la rueda: apoyarse lo más posible en estándares, métodos y

guías ya establecidos, así como en la experiencia de otras organizaciones.
• Servirse de lo ya implementado: otros sistemas de gestión (como ISO 9001

para la calidad o ISO 14001 para medio ambiente) ya implantados en la
organización son útiles como estructura de trabajo, ahorrando tiempo y
esfuerzo y creando sinergias; es conveniente pedir ayuda e implicar a
responsables y auditores internos de otros sistemas de gestión.
• Reservar la dedicación necesaria diaria o semanal: el personal involucrado en

el proyecto debe ser capaz de trabajar con continuidad en el proyecto.
• Registrar evidencias: deben recogerse evidencias al menos tres meses antes

del intento de certificación para demostrar que el SGSI funciona
adecuadamente. No precipitarse en conseguir la certificación.
• Mantenimiento y mejora continua: tener en consideración que el

mantenimiento y la mejora del SGSI a lo largo de los años posteriores
requeriran también esfuerzo y recursos.
• Otros estándares
Las normas publicadas bajo la serie ISO 27000 son estándares alineados con el
conjunto de normas publicadas por ISO (International Organization for
Standardization) e IEC (International Electrotechnical Commission) actuales o
futuras y que son desarrolladas mediante comités técnicos específicos.
Aquellas organizaciones que ya empleen algún estándar o conjunto de buenas

prácticas en seguridad de la información en base a otros modelos de gestión,
obtendrán el beneficio de una adaptación y certificación en la norma ISO 27001
con un menor esfuerzo.
En relación a la seguridad de la información, gestión del riesgo, continuidad de

negocio y materias relacionadas, se incluye a continuación una selección de los
estándares y métodos de referencia más conocidos y relevantes.
Además de los aquí resumidos, existen muchos otros estándares, guías,
metodologías y buenas prácticas dedicados a distintos aspectos de la seguridad
de la información, publicados por prestigiosas instituciones en todo el mundo.
Puede consultar nuestra sección de Herramientas para encontrar enlaces a
muchos de ellos.
Acceda directamente a las secciones de su interés en el submenú de la

izquierda o siguiendo los marcadores de final de página.
• Normas ISO del SC27
ISO es la Organización Internacional para la Estandarización, creada en Febrero

de 1947 y con sede en Ginebra, que cuenta con la representación de 153 países
con el objetivo de lograr la coordinación internacional y la unificación de
estándares en la industria.
ISO (International Organization for Standardization) e IEC (International
Electrotechnical Commission) han establecido un comité técnico conjunto
específico para las Tecnologías de la Información denominado JTC1 (Joint
Technical Committee).
Dentro de dicho comité, el subcomité SC27 es el encargado del desarrollo de

proyectos en técnicas de seguridad, labor que realiza a través de cinco grupos
de trabajo (WG1, WG2, WG3, WG4 y WG5). Dispone de una página web
donde se puede acceder a información sobre su ámbito, organización, agenda
de reuniones y temas de trabajo.
Cada país miembro establece subcomités espejo que coordinan los trabajos a
nivel nacional. En España, es AENOR quien tiene dicha responsabilidad. Lo hace
a través del subcomité AEN/CTN 71/SC "Técnicas de Seguridad - Tecnología de
la Información" y de sus correspondientes grupos de trabajo GT1, GT2, GT3,
GT4 y GT5.
El Ministerio de Administraciones Públicas español ofrece en su página

web una información detallada sobre todos estos aspectos, en especial de las
aportaciones españolas realizadas a través del GT1.
ISO JTC1 / SC27 / WG1: Sistemas de gestión de seguridad de la información -
SGSI.
Las actividades de este grupo de trabajo incluyen:
• Desarrollo y mantenimiento de la familia de normas ISO/IEC 27000.
• Identificación de requisitos para futuros estándares y directrices relativas a

los SGSI.
• Colaboración con otros grupos de trabajo del SC27, en particular con el WG4
en cuanto a estándares relativos a la implementación de objetivos de control y
controles definidos en ISO/IEC 27001.
• Contacto y colaboración con otros comités y organizaciones relacionadas con

los SGSI, tales como ITU-T (telecomunicaciones), ISO/TC 215 (sanidad),
ISO/TC 68 (servicios financieros), ISSEA, IETF, IEEE, OCDE, etc.
ISO JTC1 / SC27 / WG2: Mecanismos de seguridad y criptografía.
• Identificación de las necesidades y los requisitos de técnicas y mecanismos de

seguridad en sistemas y aplicaciones de TI.
• Desarrollo de terminología, modelos generales y estándares de dichas

técnicas y mecanismos para su uso en servicios de seguridad.
• Tratamiento de todas las técnicas y mecanismos, sean criptográficos o no,

que cubran aspectos como confidencialidad, autenticación, no repudio, gestión
de claves, integridad, etc.
ISO JTC1 / SC27 / WG3: Criterios de evaluación de la seguridad.
• Desarrollo de estándares de evaluación y certificación de la seguridad de

sistemas, componentes y productos de tecnologías de la información.
• Tratamiento de los tres aspectos a considerar en este ámbito: criterios de

evaluación, metodología de aplicación de dichos criterios y procedimientos
administrativos para la evaluación, la certificación y los esquemas de
acreditación.
• Coordinación con los comités ISO responsables de estándares de

comprobación y gestión de calidad para no duplicar esfuerzos.
ISO JTC1 / SC27 / WG4: servicios y controles de seguridad.
• El desarrollo y mantenimiento de estándares y directrices relativas a servicios

y aplicaciones que apoyen la implantación de objetivos de control y controles
definidos en ISO/IEC 27001.
• Identificación de requisitos y desarrollo de futuros estándares en áreas como

continuidad de negocio, ciberseguridad, externalización (outsourcing), etc.
• Colaboración con otros grupos de trabajo del SC27, en particular con el WG1.
• Contacto y colaboración con otros comités y organizaciones relacionadas con

los SGSI, tales como ITU-T (telecomunicaciones), ISO/TC 215 (sanidad),
ISO/TC 68 (servicios financieros), ISSEA, IETF, IEEE, OCDE, etc.
ISO JTC1 / SC27 / WG5: tecnologías de gestión de identidad y privacidad.
• Desarrollo y mantenimiento de estándares y directrices relativos a los

aspectos de seguridad de la gestión de identidad, biometría y protección de
datos personales.
• Identificación de requisitos y desarrollo de futuros estándares en áreas como

control de acceso basado en roles (RBAC), provisioning, identificadores,
single sign-on, anonimato y credenciales, infraestructuras de privacidad,
tecnologías para la mejora de la privacidad (PETs), técnicas de
autenticación biométrica, protección de datos biométricos, etc.
• Colaboración con otros grupos de trabajo del SC27: WG1 en aspectos de

gestión, WG2 en técnicas de seguridad y WG3 en evaluación.
• Contacto y colaboración con otros comités y organizaciones tales como
ISO/IEC SC37 (biometría), ECRYPT, FIDIS, etc.
Puede obtenerse una lista actualizada de los estándares en vigor publicados

por el subcomité 27.
Puede obtenerse una lista actualizada de los estándares en desarrollo del

subcomité 27 en el siguiente enlace.
• Certificación
La norma ISO 27001, al igual que su antecesora BS 7799-2, es certificable.
Esto quiere decir que la organización que tenga implantado un SGSI puede
solicitar una auditoría a una entidad certificadora acreditada y, caso de superar
la misma con éxito, obtener una certificación del sistema según ISO 27001.
En las siguientes secciones, se abordan diferentes temas relacionados con la

certificación.
Acceda directamente a cada una de ellas desde el menú lateral a su izquierda o

siguiendo los marcadores de final de página.
• Implantación del SGSI
Evidentemente, el paso previo a intentar la certificación es la implantación en la

organización del sistema de gestión de seguridad de la información según ISO
27001.
Este sistema deberá tener un historial de funcionamiento demostrable de al

menos tres meses antes de solicitar el proceso formal de auditoría para su
primera certificación.
ISO 27001 exige que el SGSI contemple los siguientes puntos:
• Implicación de la Dirección.
• Alcance del SGSI y política de seguridad.
• Inventario de todos los activos de información.

• Metodología de evaluación del riesgo.
• Identificación de amenazas, vulnerabilidades e impactos.
• Análisis y evaluación de riesgos.
• Selección de controles para el tratamiento de riesgos.
• Aprobación por parte de la dirección del riesgo residual.
• Declaración de aplicabilidad.
• Plan de tratamiento de riesgos.
• Implementación de controles, documentación de políticas, procedimientos e

instrucciones de trabajo.
• Definición de un método de medida de la eficacia de los controles y puesta en

marcha del mismo.
• Formación y concienciación en lo relativo a seguridad de la información a todo

el personal.
• Monitorización constante y registro de todas las incidencias.
• Realización de auditorías internas.
• Evaluación de riesgos periódica, revisión del nivel de riesgo residual, del

propio SGSI y de su alcance.
• Mejora continua del SGSI.
La documentación del SGSI deberá incluir:
• Política y objetivos de seguridad.
• Alcance del SGSI.
• Procedimientos y controles que apoyan el SGSI.
• Descripción de la metodología de evaluación del riesgo.

• Informe resultante de la evaluación del riesgo.
• Plan de tratamiento de riesgos.
• Procedimientos de planificación, manejo y control de los procesos de

seguridad de la información y de medición de la eficacia de los controles.
• Registros.
• Declaración de aplicabilidad (SOA -Statement of Applicability-).
• Procedimiento de gestión de toda la documentación del SGSI.

Hay una serie de controles clave que un auditor va a examinar siempre en
profundidad:
• Política de seguridad.
• Asignación de responsabilidades de seguridad.
• Formación y capacitación para la seguridad.
• Registro de incidencias de seguridad.
• Gestión de continuidad del negocio.
• Protección de datos personales.
• Salvaguarda de registros de la organización.
• Derechos de propiedad intelectual.
El SGSI puede estar integrado con otro tipo de sistemas (ISO 9001, ISO
14001…).
La propia norma ISO 27001 incluye en su anexo C una tabla de

correspondencias de ISO 27001:2005 con ISO 9001:2000 e ISO 14001:2004 y
sus semejanzas en la documentación necesaria, con objeto de facilitar la
integración.
Es recomendable integrar los diferentes sistemas, en la medida que sea posible

y práctico.
En el caso ideal, es posible llegar a un solo sistema de gestión y control de la

actividad de la organización, que se puede auditar en cada momento desde la
perspectiva de la seguridad de la información, la calidad, el medio ambiente o
cualquier otra.
• Auditoría y certificación
Una vez implantado el SGSI en la organización, y con un historial demostrable
de al menos 3 meses, se puede pasar a la fase de auditoría y certificación, que
se desarrolla de la siguiente forma:
• Solicitud de la auditoría por parte del interesado a la entidad de certificación y

toma de datos por parte de la misma.
• Respuesta en forma de oferta por parte de la entidad certificadora.
• Compromiso.
• Designación de auditores, determinación de fechas y establecimiento conjunto

del plan de auditoría.
• Pre-auditoría: opcionalmente, puede realizarse una auditoría previa que

aporte información sobre la situación actual y oriente mejor sobre las
posibilidades de superar la auditoría real.
• Fase 1 de la auditoría: no necesariamente tiene que ser in situ, puesto que se

trata del análisis de la documentación por parte del Auditor Jefe y la
preparación del informe de la documentación básica del SGSI del cliente,
destacando los posibles incumplimientos de la norma que se verificarán en la
Fase 2. Este informe se envía junto al plan de auditoría al cliente. El periodo
máximo entre la Fase 1 y Fase 2 es de 6 meses.
• Fase 2 de la auditoría: es la fase de detalle de la auditoría, en la que se

revisan in situ las políticas, la implantación de los controles de seguridad y la
eficacia del sistema en su conjunto. Se inicia con una reunión de apertura
donde se revisa el objeto, alcance, el proceso, el personal, instalaciones y
recursos necesarios, así como posibles cambios de última hora. Se realiza una
revisión de las exclusiones según la Declaración de Aplicabilidad (documento
SOA), de los hallazgos de la Fase 1, de la implantación de políticas,
procedimientos y controles y de todos aquellos puntos que el auditor considere
de interés. Finaliza con una reunión de cierre en la que se presenta el informe
de auditoría.
• Certificación: en el caso de que se descubran durante la auditoría no

conformidades graves, la organización deberá implantar acciones correctivas;
una vez verificada dicha implantación o, directamente, en el caso de no haberse
presentado no conformidades, el auditor podrá emitir un informe favorable y el
SGSI de organización será certificado según ISO 27001.
• Auditoría de seguimiento: semestral o, al menos, anualmente, debe realizarse

una auditoría de mantenimiento; esta auditoría se centra, generalmente, en
partes del sistema, dada su menor duración, y tiene como objetivo comprobar
el uso del SGSI y fomentar y verificar la mejora continua.
• Auditoría de re-certificación: cada tres años, es necesario superar una

auditoría de certificación formal completa como la descrita.
Las organizaciones certificadas a nivel mundial en ISO 27001 (o, anteriormente,
en BS 7799-2) por entidades acreditadas figuran listadas en
http://www.iso27001certificates.com. Para aquellas organizaciones que lo
han autorizado, también está publicado el alcance de certificación.
Naturalmente, la organización que implanta un SGSI no tiene la obligación de

certificarlo. Sin embargo, sí es recomendable ponerse como objetivo la
certificación, porque supone la oportunidad de recibir la confirmación por parte
de un experto ajeno a la empresa de que se está gestionando correctamente la
seguridad de la información, añade un factor de tensión y de concentración en
una meta a todos los miembros del proyecto y de la organización en general y
envía una señal al mercado de que la empresa en cuestión es confiable y es
gestionada transparentemente.
• La entidad de certificación
Las entidades de certificación son organismos de evaluación de la conformidad,

encargados de evaluar y realizar una declaración objetiva de que los servicios y
productos cumplen unos requisitos específicos. En el caso de ISO 27001,
certifican, mediante la auditoría, que el SGSI de una organización se ha
diseñado, implementado, verificado y mejorado conforme a lo detallado en la
norma.
Existen numerosas entidades de certificación en cada país, ya que se trata de

una actividad empresarial privada con un gran auge en el último par de
décadas, debido a la creciente estandarización y homologación de productos y
sistemas en todo el mundo. La organización que desee certificarse puede
contactar a diversas entidades certificadoras y solicitar presupuesto por los
servicios ofrecidos, comparando y decidiéndose por la más conveniente, como
hace con cualquier otro producto o servicio.
Para que las entidades de certificación puedan emitir certificados reconocidos,

han de estar acreditadas. Esto quiere decir que un tercero, llamado organismo
de acreditación, comprueba, mediante evaluaciones independientes e
imparciales, la competencia de las entidades de certificación para la actividad
objeto de acreditación. En cada país suele haber una sola entidad de
acreditación (en algunos, hay más de una), a la que la Administración encarga
esa tarea. En España, es ENAC (Entidad Nacional de Acreditación) ; para
otros países, puede consultarse esta lista.
La acreditación de entidades de certificación para ISO 27001 o para BS 7799-2
-antes de derogarse- solía hacerse en base al documento EA 7/03 "Directrices
para la acreditación de organismos operando programas de
certificación/registro de sistemas de gestión de seguridad en la información". La
aparición de la norma ISO/IEC 27006 ha supuesto la derogación del anterior
documento.
Las entidades de acreditación establecen acuerdos internacionales para facilitar

el reconocimiento mutuo de acreditaciones y el establecimiento de criterios
comunes. Para ello, existen diversas asociaciones como IAF (International
Accreditation Forum) o EA (European co-operation for Accreditation).
• El auditor
El auditor es la persona que comprueba que el SGSI de una organización se ha

diseñado, implementado, verificado y mejorado conforme a lo detallado en la
norma. En general, se distinguen tres clases de auditores:
• de primera parte: auditor interno que audita la organización en nombre de sí

misma, normalmente, como mantenimiento del sistema de gestión y como
preparación a la auditoría de certificación;
• de segunda parte: auditor de cliente, es decir, que audita una organización en

nombre de un cliente de la misma; por ejemplo, una empresa que audita a su
proveedor de outsourcing;
• de tercera parte: auditor independiente, que audita una organización como

tercera parte imparcial; normalmente, porque la organización tiene la intención
de lograr la certificación y contrata para ello los servicios de una entidad de
certificación.
El auditor, sobre todo si actúa como de tercera parte, ha de disponer también

de una certificación personal. Esto quiere decir que, nuevamente un tercero,
certifica que posee las competencias profesionales y personales necesarias para
desempeñar la labor de auditoría de la materia para la que está certificado.
En este punto, hay pequeñas diferencias entre las entidades certificadoras, que
pueden formular requisitos distintos para homologar a sus auditores. Pero, en
general, la certificación de auditores se ciñe a la norma ISO 19011 de
directrices para la auditoría de sistemas de gestión, que dedica su punto 7 a la
competencia y evaluación de los auditores. Al auditor se le exigen una serie de
atributos personales, conocimientos y habilidades, educación formal,
experiencia laboral y formación como auditor.
Existen diversas organizaciones internacionales de certificación de auditores,

con el objeto de facilitar la estandarización de requerimientos y garantizar un
alto nivel de profesionalidad de los auditores, además de homologar a las
instituciones que ofrecen cursos de formación de auditor. Algunas de estas
organizaciones son IRCA, RABQSA o IATCA.
IRCA (International Register of Certificated Auditors) es el mayor organismo

mundial de certificación de auditores de sistemas de gestión. Tiene su sede en
el Reino Unido y, por ello -debido al origen inglés de la norma BS 7799-2 y, por
tanto, de ISO 27001-, tiene ya desde hace años un programa de certificación
de auditores de sistemas de gestión de seguridad de la información. Su página
web, también en español, es una buena fuente de consulta de los requisitos y
los grados de auditor. Dispone de un enlace directo a las últimas novedades del
IRCA desde nuestra sección de boletines.
En cuanto a la práctica de la auditoría, al auditor se le exige que se muestre

ético, con mentalidad abierta, diplomático, observador, perceptivo, versátil,
tenaz, decidido y seguro de sí mismo. Estas actitudes son las que deberían
crear un clima de confianza y colaboración entre auditor y auditado. El auditado
debe tomar el proceso de auditoría siempre desde un punto de vista
constructivo y de mejora continua, y no de fiscalización de sus actividades. Para
ello, el auditor debe fomentar en todo momento un ambiente de tranquilidad,
colaboración, información y trabajo conjunto.
• Norma ISO27001
¿Qué es ISO?
ISO (International Organization for Standardization) es una federación

internacional con sede en Ginebra (Suiza) de los institutos de normalización de
157 países (uno por cada país). Es una organización no gubernamental (sus
miembros no son delegados de gobiernos nacionales), puesto que el origen de
los institutos de normalización nacionales es diferente en los distintos países
(público, privado…).
ISO desarrolla estándares requeridos por el mercado que representen un
consenso de sus miembros (previo consenso nacional entre industrias,
expertos, gobierno, usuarios, consumidores…) acerca de productos, tecnologías,
métodos de gestión, etc. Estos estándares, por naturaleza, son de aplicación
voluntaria, ya que el carácter no gubernamental de ISO no le da autoridad legal
para forzar su implantación. Sólo en aquellos casos en los que un país ha
decidido adoptar un determinado estándar como parte de su legislación, puede
convertirse en obligatorio.
ISO garantiza un marco de amplia aceptación mundial a través de los 3000

grupos técnicos y 50.000 expertos que colaboran en el desarrollo de normas.
¿Qué es un estándar?
Es una publicación que recoge el trabajo en común de los comités de

fabricantes, usuarios, organizaciones, departamentos de gobierno y
consumidores y que contiene las especificaciones técnicas y mejores prácticas
en la experiencia profesional con el objeto de ser utilizada como regulación,
guía o definición para las necesidades demandadas por la sociedad y tecnología.
Los estándares ayudan a aumentar la fiabilidad y efectividad de materiales,

productos, procesos o servicios que utilizan todas las partes interesadas
(productores, vendedores, compradores, usuarios y reguladores).
En principio, son de uso voluntario, aunque la legislación y las reglamentaciones

nacionales pueden hacer referencia a ellos.
¿Qué es AENOR y cuál es su relación con ISO?
AENOR es una entidad española de normalización y certificación en todos los

sectores industriales y de servicios.
En su vertiente de normalización, tiene encomendada esta tarea por la

Administración española y es el representante de España en ISO.
En su vertiente de certificación, opera en el mercado como cualquier otra

entidad privada de certificación y no tiene concedida ninguna exclusividad.
¿Qué es la norma ISO 27001?

Es un estándar ISO que proporciona un modelo para establecer, implementar,
utilizar, monitorizar, revisar, mantener y mejorar un Sistema de Gestión de
Seguridad de la Información (SGSI). Se basa en un ciclo de vida PDCA (Plan-
Do-Check-Act; o ciclo de Deming) de mejora continua, al igual que otras
normas de sistemas de gestión (ISO 9001 para calidad, ISO 14001 para medio
ambiente, etc.).
Es un estándar certificable, es decir, cualquier organización que tenga

implantado un SGSI según este modelo puede solicitar una auditoría externa
por parte de una entidad acreditada y, tras superar con éxito la misma, recibir
la certificación en ISO 27001.
¿Cuál es el origen de ISO 27001?
Su origen está en la norma de BSI (British Standards Institution) BS7799-Parte

2, norma que fue publicada por primera vez en 1998 y ya era un estándar
certificable desde entonces. Tras la adaptación pertinente, ISO 27001 fue
publicada el 15 de Octubre de 2005.
Puede consultar la historia de ISO 27001 en el archivo sonoro.
¿Qué tiene que ver ISO 27001 con ISO 27002 (anteriormente
denominada 17799)?
ISO 27002 es un conjunto de buenas prácticas en seguridad de la información.

Contiene 133 controles aplicables (en relación a la gestión de la continuidad de
negocio, la gestión de incidentes de seguridad, control de accesos o regulación
de las actividades del personal interno o externo, entre otros muchos), que
ayudarán a la organización a implantar medidas que reduzcan sus riesgos en
cuanto a seguridad de la información. Su origen está en la norma de BSI
(British Standards Institution) BS7799-Parte 1, que fue publicada por primera
vez en 1995. No es certificable.
ISO 27001 contiene un anexo A, que considera los controles de la norma ISO
27002 para su posible aplicación en el SGSI que implante cada organización
(justificando, en el documento denominado “Declaración de Aplicabilidad”, los
motivos de exclusión de aquellos que finalmente no sean necesarios). ISO
27002 es para ISO 27001, por tanto, una relación de controles necesarios para
garantizar la seguridad de la información.
A partir del 1 de Julio de 2007, ISO 17799:2005 pasó a denominarse ISO
27002:2005, cambiando únicamente su nomenclatura.
¿Puedo certificar mi empresa en ISO 27002?
ISO 27002 es un conjunto de buenas prácticas de seguridad de la información

que describe 133 controles aplicables.
No es certificable, al igual que su norma antecesora BS 7799-1, y la aplicación

total o parcial en cada organización se realiza de forma totalmente libre y sin
necesidad de una supervisión regular externa.
La norma que sí es certificable es ISO 27001, como también lo fue su

antecesora BS 7799-2.
¿Qué es la serie ISO 27000?
ISO ha reservado la serie de numeración 27000 para las normas relacionadas

con sistemas de gestión de seguridad de la información. En 2005 incluyó en ella
la primera de la serie (ISO 27001). En próximos años está prevista la
incorporación de nuevas normas que supongan un apoyo para las
organizaciones que implanten y certifiquen un SGSI según ISO 27001.
Entre otras, serán 27000 (términos y definiciones), 27002 (objetivos de control

y controles), 27003 (guía de implantación de un SGSI), 27004 (métricas y
técnicas de medida de la efectividad de un SGSI), 27005 (guía para la gestión
del riesgo de seguridad de la información) y 27006 (proceso de acreditación de
entidades de certificación y el registro de SGSIs).
Por estar en continuo desarrollo y cambio, para estar al día, recomendamos la

visita de nuestra sección específica a la serie 27000..
¿Qué aporta la ISO 27001 a la seguridad de la información de una

empresa?
Aplica una arquitectura de gestión de la seguridad que identifica y evalúa los

riesgos que afectan al negocio, con el objetivo de implantar contramedidas,
procesos y procedimientos para su apropiado control y mejora continua.
Ayuda a la empresa a gestionar de una forma eficaz la seguridad de la

información, evitando las inversiones innecesarias, ineficientes o mal dirigidas
que se producen por contrarrestar amenazas sin una evaluación previa, por
desestimar riesgos, por la falta de contramedidas, por implantar controles
desproporcionados y de un coste más elevado del necesario, por el retraso en
las medidas de seguridad en relación a la dinámica de cambio interno de la
propia organización y del entorno, por la falta de claridad en la asignación de
funciones y responsabilidades sobre los activos de información, por la ausencia
de procedimientos que garanticen la respuesta puntual y adecuada ante
incidencias o la propia continuidad del negocio, etc.
¿ISO 27001 tiene que ver sólo con la seguridad informática de una
empresa?
La información crítica de una empresa está presente en los sistemas

informáticos, pero también en papel, en diferentes tipos de archivos y soportes,
se transmite a terceros, se muestra en diversos formatos audiovisuales, se
comparte en conversaciones telefónicas y reuniones y está presente en el
propio conocimiento y experiencia de los trabajadores. ISO 27001 propone un
marco de gestión de la seguridad de toda la información de la empresa.
La presencia masiva de sistemas informáticos en el tratamiento de la

información lleva a menudo a centrar la atención sólo en la informática,
dejando así expuesta información esencial para las actividades del negocio.
La evaluación de riesgos previa a la implantación de controles debe partir de un

análisis de los impactos que podría suponer para la organización la pérdida de
la confidencialidad, la integridad o la disponibilidad de cualquier parte de su
información. Esto es un estudio en términos de negocio, independiente del
soporte de la información.
La aplicación posterior de controles considera temas como los aspectos

organizativos, la clasificación de la información, la inclusión de la seguridad en
las responsabilidades laborales, la formación en seguridad de la información, la
conformidad con los requisitos legales o la seguridad física, además de
controles propiamente técnicos.
¿Quién debe promover la implantación de ISO 27001 en la empresa?
La Dirección de la empresa debe liderar el proceso. Teniendo en cuenta que los

riesgos que se intentan minimizar mediante un SGSI son, en primera instancia,
riesgos para el negocio, es la Dirección quien debe tomar decisiones. Además,
la implantación de ISO 27001 implicará cambios de mentalidad, de
sensibilización, de procedimientos y tareas, etc., y la Dirección es la única que
puede introducirlos en la organización.
Sin el apoyo decidido de la Dirección, según la propia ISO 27001 indica, no es

posible la implantación ni la certificación de la norma en la empresa.
¿En qué términos entiende mejor la Dirección la importancia de ISO

27001?
La Dirección de la empresa conoce los riesgos del negocio, la tolerancia en su

aceptación y las obligaciones con sus clientes y accionistas mejor que nadie.
Por tanto, los términos en que debe entender la Dirección la importancia de ISO
27001 son los de los riesgos asumibles, la continuidad de negocio y los costes
de “no-seguridad”. La Dirección no tiene por qué verse confrontada con
tecnologías y descripción de amenazas desde el punto de vista técnico.
¿Aporta un retorno de inversión la certificación en ISO 27001 de la

empresa?
Como cualquier otro proyecto de la empresa, la certificación requiere de una

inversión de mayor o menor importancia en función de las prácticas actuales en
seguridad.
El retorno de la inversión es realmente efectivo en el tiempo, considerando,

entre otras razones, que con ISO 27001:
• Se aprovecha el hecho comprobado de que el coste de la implementación de

controles apropiados de seguridad puede ser hasta 7 veces menor cuando se
consideran al principio del diseño e implantación de las soluciones de negocio.
• Las inversiones en tecnología se ajustan a unas necesidades y prioridades

conocidas de un entorno controlado. Se evitan compras innecesarias y
sobredimensionadas o la necesidad inesperada de productos.
• Muchos errores se evitan gracias a los controles adoptados; los que se

detectan regularmente se solucionan con medidas de coste razonable y sin
causar daños, y los que finalmente se producen se solucionan y controlan
mediante procedimientos establecidos.
• Se asegura la continuidad de negocio en el tiempo mínimo requerido ante
cualquier incidencia, por grave que sea.
• Se evita la fuga de información esencial a competidores y medios públicos que

pueda perjudicar el crecimiento, pérdida de competitividad y reputación de la
empresa en el mercado en el que participa.
• Es una buena herramienta para el aprovechamiento de nuevas oportunidades

de negocio.
• Se demuestra a clientes, proveedores, inversores, al mercado y a la sociedad

en general un alto nivel de concienciación en la protección de la información y
conformidad y cumplimento de la legalidad.
¿Qué tipo de empresas se están certificando en ISO 27001?
El estándar se puede adoptar por la mayoría de los sectores comerciales,

industriales y de servicios de pequeñas, medianas o grandes entidades y
organizaciones: finanzas, aseguradoras, telecomunicaciones, servicios públicos,
minoristas, sectores de manufactura, industrias de servicios diversos, sector del
transporte y gobiernos entre otros.
En la actualidad destaca su presencia en empresas dedicadas a servicios de

tecnologías de la información, como prueba del compromiso con la seguridad de
los datos de sus clientes.
¿Qué es la norma UNE 71502?
Es una norma española certificable de ámbito local que surgió como versión
adaptada de BS7799-2 y que también guarda relación con UNE-ISO/IEC17799
mediante su Anexo A.
Publicada en Febrero de 2004 ya ha sido reemplazada formalmente por ISO/IEC

27001 dentro del contexto internacional de reconocimiento de la norma. Fue
elaborada por el comité técnico AEN/CTN 71 de la Tecnología de la Información.
¿Es mejor certificarse en ISO 27001 o en UNE 71502?
Ya no es posible certificarse contra UNE 71502. Por otra parte, las empresas
certificadas en su momento bajo el estándar nacional UNE 71502 que hayan
mantenido la certificación habrán adaptado sus SGSI y renovado sus
certificaciones bajo el marco común internacional ISO/IEC 27001.
¿Es ISO 27001 compatible con ISO 9001?
ISO 27001 ha sido redactada de forma análoga a otros estándares, como ISO
9001 (Calidad), ISO 14001 (Medio Ambiente) y OHSAS 18001 (prevención de
riesgos), con el objetivo, entre otros, de facilitar a las organizaciones la
integración de todos ellos en un solo sistema de gestión. La propia norma
incluye en su anexo C una tabla de correspondencias de ISO 27001:2005 con
ISO 9001:2000 e ISO 14001:2004 y sus semejanzas en la documentación
necesaria para facilitar la integración.
Es recomendable integrar los diferentes sistemas, en la medida que sea posible

y práctico. En el caso ideal, es posible llegar a un solo sistema de gestión y
control de la actividad de la organización, que se puede auditar en cada
momento desde la perspectiva de la seguridad de la información, la calidad, el
medio ambiente o cualquier otra.
Nuestra sección de Artículos contiene referencias específicas y experiencias

sobre este tema.
¿Cómo se relaciona ISO 27001 con otros estándares de seguridad de la

información?
Ciertamente, existen otros estándares relacionados con seguridad de la

información (COBIT, COSO, NIST, ITIL, TickIT, etc.), que la enfocan desde
diferentes puntos de vista como a controles de seguridad, buen gobierno,
gestión de servicios TI, seguridad de producto…
La organización debería considerar cuál es la mejor opción en relación a sus

necesidades.
Quiero implantar ISO 27001, ¿por dónde empiezo?
Si está planteándose abordar ISO 27001 en su organización, puede empezar

por:
• Recopilar información en páginas web como esta que está visitando y asistir a
eventos informativos.
• Comprar las normas ISO 27001 e ISO 27002 en los sitios oficiales; p. ej.,
ISO, AENOR en España, DGN en México, ICONTEC en Colombia, INN en
Chile, IRAM en Argentina, etc. (lista completa en ISO).
• Realizar un curso de formación, de los muchos que hay en el mercado, de

introducción a la norma, a su implantación y su auditoría. En nuestra sección de
Eventos podrá encontrar algunas referencias de interés.
• Hacer un "gap analysis" (análisis diferencial) inicial de su estado actual con los
controles de ISO 27002. Aunque no sea un análisis exhaustivo, proporciona una
idea aproximada de la distancia que le separa de la conformidad con la norma y
el camino que habrá que recorrer.
• En muchos casos, es necesario contratar los servicios de una empresa

consultora especializada que le ayude algunas fases del proceso.
Sin embargo, recuerde que las decisiones de negocio no deben ser trasladadas
a nadie externo a la organización.
• Deberá pasar por todas las tareas propias de implantación de un SGSI:

definición de política, determinación del alcance, análisis de riesgos,
tratamiento de riesgos, etc. Las distintas secciones de nuestra web pueden
aportarle puntual información.
• Paralelamente, formar y concienciar a todo el personal. En nuestra sección

de Herramientas encontrará informaciones útiles sobre planes de
sensibilización.
• Una vez implantado el sistema y en funcionamiento, deberá recopilar

evidencias al menos durante tres meses antes de pasar a la auditoría de
certificación. Precisamente, son esas evidencias y registros históricos los que
indican al auditor externo que el sistema de gestión funciona de manera
adecuada.
• Para certificar su sistema frente a ISO 27001, debe ponerse en contacto con
una o varias entidades de certificación acreditadas (como en la contratación de
otros servicios puede ser recomendable la estrategia de solicitar tres ofertas y
comparar la calidad y coste de los proveedores de los servicios) para pedir
formalmente la visita de auditoría (sus tarifas y oferta de servicios pueden
diferir). Ofrecen, adicionalmente, un servicio añadido de “pre-auditoria” muy
recomendable para afrontar con garantías una primera certificación en la
norma. En nuestra sección de Certificación encontrará informaciones
adicionales que pueden ser de utilidad.
• SGSI
¿Qué es un SGSI?
Un SGSI es un Sistema de Gestión de la Seguridad de la Información. Esta

gestión debe realizarse mediante un proceso sistemático, documentado y
conocido por toda la organización. Podría considerarse, por analogía con una
norma tan conocida como la ISO 9000, como el sistema de calidad para la
El propósito de un sistema de gestión de la seguridad de la información no es

garantizar la seguridad –que nunca podrá ser absoluta- sino garantizar que los
riesgos de la seguridad de la información son conocidos, asumidos, gestionados
y minimizados por la organización de una forma documentada, sistemática,
estructurada, continua, repetible, eficiente y adaptada a los cambios que se
produzcan en la organización, los riesgos, el entorno y las tecnologías.
¿Qué es un ISMS?
Son las siglas en inglés (Information Security Management System) de SGSI

(Sistema de Gestión de Seguridad de la Información).
¿En qué ayudan los sistemas de gestión en general?
Aseguran que una organización es dirigida de un modo eficiente y eficaz.

Formalizan y sistematizan la gestión en procedimientos escritos, instrucciones,
formularios y registros que aseguren la eficiencia de la organización y su
mejora continua.
¿Qué información protege un SGSI?
Los activos de información de una organización, independientemente del

soporte que se encuentren; p. ej., correos electrónicos, informes, escritos
relevantes, páginas web, imágenes, documentos, hojas de cálculo, faxes,
presentaciones, contratos, registros de clientes, información confidencial de
trabajadores y colaboradores...
¿Qué es exactamente la seguridad de la información?
La seguridad de la información es la preservación de la confidencialidad,

integridad y disponibilidad de la misma y de los sistemas implicados en su
tratamiento dentro de una organización. Estos tres factores se definen como:
• Confidencialidad: acceso a la información por parte únicamente de quienes

estén autorizados.
• Integridad: mantenimiento de la exactitud y completitud de la información y

sus métodos de proceso.
• Disponibilidad: acceso a la información y los sistemas de tratamiento de la

misma por parte de los usuarios autorizados cuando lo requieran.
Tengo un firewall, actualizo regularmente el antivirus y realizo copias

de backup. ¿Qué aporta un SGSI a mi empresa?
Estas medidas no son más que unos pocos controles técnicos que, por sí
mismos, no significan que se esté gestionando la seguridad. Un SGSI implica
que la organización ha estudiado los riesgos a los que está sometida toda su
información, ha evaluado qué nivel de riesgo asume, ha implantado controles
(no sólo tecnológicos, sino también organizativos) para aquellos riesgos que
superan dicho nivel, ha documentado las políticas y procedimientos
relacionados y ha entrado en un proceso continuo de revisión y mejora de todo
el sistema.
El SGSI da así la garantía a la empresa de que los riesgos que afectan a su

información son conocidos y gestionados. No se debe olvidar, por tanto, que no
hay seguridad total sino seguridad gestionada.
¿Existe algún producto que cubra los principales aspectos de seguridad

de la información?
No. Por influencia de la publicidad y las campañas de venta agresivas, es un

error común pensar que el nivel de seguridad depende exclusivamente del
presupuesto dedicado a la compra de productos relacionados.
La seguridad exige de un plan de gestión del riesgo continuado, políticas

adecuadas a cada empresa y una seguridad establecida en base a múltiples y
diferentes barreras. Siempre hay que recordar que la seguridad no es un
producto sino un proceso.
Si la seguridad total no existe, ¿qué diferencia aporta un SGSI?
Un SGSI es el modo más eficaz de conseguir minimizar los riesgos, asegurar la

continuidad adecuada de las actividades de negocio hasta en los casos más
extremos y de adaptar la seguridad a los cambios continuos que se producen en
la empresa y en su entorno. Aunque nunca logremos la seguridad total, nos
acercamos a ella mediante una mejora continua. Es más apropiado hablar en
términos de riesgo asumible en lugar de seguridad total, ya que no sería lógico
que el gasto en seguridad sea mayor que los impactos potenciales de los
riesgos que pretende evitar.
¿En qué consiste la gestión del riesgo y el ciclo de vida PDCA?
Mediante la gestión del riesgo se identifican, evalúan y corrigen a niveles

razonables y asumibles en coste todos los riesgos en seguridad que podrían
afectar a la información.
PDCA son las siglas en inglés del conocido como ciclo de Deming: Plan-Do-
Check-Act (Planificar-Hacer-Verificar-Actuar).
En la fase PLAN se realiza la evaluación de las amenazas, riesgos e impactos.

En la fase DO, se seleccionan e implementan los controles que reduzcan el
riesgo a los niveles considerados como aceptables y en CHECK y ACT se cierra y
reinicia el ciclo de vida con la recogida de evidencias y readaptación de los
controles según los nuevos niveles obtenidos y requeridos.
Es un proceso cíclico sin fin que permite la mejor adaptación de la seguridad al

cambio continuo que se produce en la empresa y su entorno.
• Certificación
¿Por qué dentro de la serie es certificable únicamente la 27001?
Es la norma que define el modelo completo de gestión de seguridad de la

información según ciclo PDCA aunque, para algunos procesos, se apoya en
otras normas relacionas no certificables, como ISO 27002.
¿Quién certifica a mi empresa en ISO 27001?
Una entidad de certificación acreditada, mediante una auditoría. Esta entidad

establece el número de días y auditores necesarios, puede realizar una pre-
auditoría (no obligatoria) y lleva a cabo una auditoría formal. Si el informe es
favorable, la empresa recibirá la certificación.
Para mayor detalle, consulte nuestra sección de Certificación.
¿En qué ayuda a las empresas la auditoría de certificación?
Supone la oportunidad de recibir la confirmación por parte de un experto ajeno

a la empresa de que se está gestionando correctamente la seguridad de la
información.
Añade un factor de tensión y de concentración en un objetivo a todos los

miembros del proyecto y de la organización en general, lo que redunda en
beneficio de la implantación del sistema. Da una señal al mercado de que la
empresa en cuestión es confiable y es gestionada transparentemente.
Es el requisito indispensable para acceder a la certificación y poder utilizar el

sello de certificación junto al de la propia empresa.
¿Por qué crece el número de empresas certificadas?
El acta Sarbanes-Oxley en EEUU y la publicación de directivas en el ámbito EU y

en cada estado miembro ha activado las alarmas en la dirección de las
empresas. Adicionalmente a los requisitos legales establecidos para auditorías
financieras, gestión de riesgos, financiación, plan de desastres, continuidad de
negocio, etc., crece el número de requisitos legales relacionados con la
protección de los datos de carácter personal.
ISO27001 ayuda a considerar y adoptar los controles necesarios en los

procesos de negocio y tratamiento de la información para satisfacer las
demandas de la empresa, legales y de los clientes en materia de seguridad de
la información.
¿Obliga mi certificación a la de mis empresas de servicio externas

(outsourcing)?
No necesariamente. ISO27001 indica los controles a considerar para servicios

de outsourcing desde el ámbito de su empresa (requisitos contractuales, niveles
de servicio, obligaciones legales, auditoría, etc.). La seguridad de los sistemas
de información que están fuera del ámbito es responsabilidad de la empresa
externa, que debe cumplir regularmente con los compromisos contractuales
exigidos por el cliente.
¿Dónde puedo ver si una empresa está certificada?
Existe un registro internacional de referencia de organizaciones certificadas en

ISO 27001 a nivel mundial en iso27001certificates.com. Para aparecer en
este listado las entidades de certificación acreditadas deben comunicar
explicitamente un proceso de regitro. Estas acciones adicionales de caracter
administrativo hacen que no todas las empresas certificadas apararezcan en
esta web pero permite tener una idea del rápido desarrollo de la norma, de los
tipos de empresa y alcances certificados, entre otros.
El organismo ISO ofrece adicionalmente a inicios de año un informe "ISO

Survey" que muestra la evolución de los Sistemas de Gestión relacionados con
los estándares adoptados con mayor éxito y ofrece resultados por cantidad,
país y evolución respecto a años anteriores, aunque no especifica los detalles
particulares para cada una de las certificaciones.
Las certificaciones emitidas por entidades de certificación no acreditadas no

tienen la garantía del reconocimiento internacional y no cuentan por tanto en
ninguna de estas dos referencias. Tampoco se garantiza que sean
efectivamente consideradas efectivamente en posibles contratos con la
administración o entidades privadas de ahí la importancia que la supervisión de
las entidades de certificación por otra entidad superior e independiente de
acreditación.
¿Quién acredita a las entidades certificadoras?
Cada país tiene una entidad de acreditación (algunos, varias) que se encarga de
supervisar que las entidades de certificación (las que, finalmente, auditan y
certifican los sistemas de gestión de las empresas) están capacitadas para
desempeñar su labor y se ajustan a los esquemas establecidos. En España, es
ENAC (Entidad Nacional de Acreditación; http://www.enac.es) quien tiene esta
misión y existe como regla general una única entidad de acreditación por país
(una contada excepción se localiza en Nueva Zelanda que comparte la misma
entidad de acreditación con Australia).
También se da el caso de entidades certificadoras con actividades en un país

determinado que expiden certificados bajo esquema de acreditación de una
entidad de acreditación extranjera. En ISO 27001, se da frecuentemente el caso
de entidades de certificación con oficinas en UK acreditadas desde un inicio con
UKAS (entidad nacional de acreditación del Reino Unido) y que siguen
gestionando internamente los expedientes y expedición de certificados desde
UK, por carencias en la posibilidad de acreditación en ISO 27001 a nivel
nacional dada su corta vida aún como ISO, por petición específica de sus
clientes o temas de marketing o, incluso, por evitar múltiples tasas y auditorías
de acreditación nacionales y mantener una única oficina centralizada para la
tramitación de la documentación y emisión de certificados.
¿Cómo es el proceso de certificación?
El proceso de certificación puede resumirse en las siguientes fases:
• Solicitud por parte del interesado a la entidad de certificación y toma de datos

por parte de la misma.
• Respuesta en forma de oferta por parte de la entidad certificadora.
• Compromiso.
• Designación de auditores, determinación de fechas y establecimiento conjunto

del plan de auditoría.
• Pre-auditoría: opcionalmente, puede realizarse una auditoría previa que

aporte información sobre la situación actual y oriente mejor sobre las
posibilidades de superar la auditoría real.
• Fase 1 de la auditoría: revisión del alcance, política de seguridad, Dirección,

análisis de riesgos, declaración de aplicabilidad y procedimientos clave.
• Fase 2 de la auditoría: revisión de las políticas, auditoría de la implantación de

los controles de seguridad y verificación de la efectividad del sistema.
• Certificación: acciones correctivas en caso de no conformidades graves,

revisión y emisión de certificado en caso de informe favorable.
• Auditoría de seguimiento: auditoría semestral o anual de mantenimiento.
• Auditoría de re-certificación: cada tres años, una auditoría de certificación

formal completa.
¿Alguien puede obligarme a certificarme en ISO 27001?
Como obligación legal existen países y sectores concretos (por ej. Sanitario) en
los que se exige la certificación ISO 27001 a los proveedores de servicios
vinculados.
Existen regulaciones recientes en España, como el Esquema Nacional de

Seguridad en el ámbito de la administración electrónica, en los que se
establecen las condiciones necesarias para la confianza en el uso de los medios
electrónicos y entre las que se encuentran la implantación de SGSIs.
También existen directrices y guías de la OCDE en este sentido pero es de

esperar que más allá de la obligación regulatoria y para los casos de relación
comercial, el cliente incorpore exigencias a sus proveedores relacionadas con la
seguridad de los datos en las contrataciones y de forma similar a como ocurre
con normas más veteranas como ISO 9001.
Ya existen de forma habitual administraciones públicas que están empezando a

exigir certificados de este tipo a las empresas que quieran acceder a concursos
públicos de productos o servicios relacionados con sistemas de información.
Igualmente, es previsible que empresas privadas comiencen en algún momento
a exigírselo a sus proveedores siempre que vaya a haber algún tipo actividad
relacionada con información sensible, en particular en los casos en los que la
empresa contratante ya disponga de una certificación ISO 27001.

Iso 27000

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Iso 27000

Cargado por

Copyright:

Formatos disponibles

• Sistema de Gestión de la Seguridad de la

El SGSI (Sistema de Gestión de Seguridad de la Información) es el concepto

La gestión de la seguridad de la información debe realizarse mediante un

Este proceso es el que constituye un SGSI, que podría considerarse, por

Garantizar un nivel de protección total es virtualmente imposible, incluso en el

SGSI es la abreviatura utilizada para referirse a un Sistema de Gestión de la

En el contexto aquí tratado, se entiende por información todo aquel conjunto de

La seguridad de la información, según ISO 27001, consiste en la preservación

• Confidencialidad: la información no se pone a disposición ni se revela a

• Disponibilidad: acceso y utilización de la información y los sistemas de

Para garantizar que la seguridad de la información es gestionada

• ¿Para qué sirve un SGSI?

Las organizaciones y sus sistemas de información están expuestos a un número

El cumplimiento de la legalidad, la adaptación dinámica y puntual a las

El Sistema de Gestión de la Seguridad de la Información (SGSI) ayuda a

• ¿Qué incluye un SGSI?

En el ámbito de la gestión de la calidad según ISO 9001, siempre se ha

Procedimientos: documentos en el nivel operativo, que aseguran que se

Instrucciones, checklists y formularios: documentos que describen cómo se

Registros: documentos que proporcionan una evidencia objetiva del

• Alcance del SGSI: ámbito de la organización que queda sometido al SGSI,

• Política y objetivos de seguridad: documento de contenido genérico que

• Procedimientos y mecanismos de control que soportan al SGSI: aquellos

• Informe de evaluación de riesgos: estudio resultante de aplicar la metodología

• Plan de tratamiento de riesgos: documento que identifica las acciones de la

• Procedimientos documentados: todos los necesarios para asegurar la

• Registros: documentos que proporcionan evidencias de la conformidad con los

• Declaración de aplicabilidad: (SOA -Statement of Applicability-, en sus siglas

Para los documentos generados se debe establecer, documentar, implantar y

• Aprobar documentos apropiados antes de su emisión.

• Revisar y actualizar documentos cuando sea necesario y renovar su validez.

• Garantizar que los cambios y el estado actual de revisión de los documentos

• Garantizar que los documentos se mantienen legibles y fácilmente

• Garantizar que los documentos permanecen disponibles para aquellas

• Garantizar que los documentos procedentes del exterior están identificados.

• Garantizar que la distribución de documentos está controlada.

• Prevenir la utilización de documentos obsoletos.

• Aplicar la identificación apropiada a documentos que son retenidos con algún

• ¿Cómo se implementa un SGSI?

Para establecer y gestionar un Sistema de Gestión de la Seguridad de la

Do (hacer): implementar y utilizar el SGSI.

Check (verificar): monitorizar y revisar el SGSI.

Act (actuar): mantener y mejorar el SGSI.

Plan: Establecer el SGSI

Definir una política de seguridad que:

– incluya el marco general y los objetivos de seguridad de la información de la

– considere requerimientos legales o contractuales relativos a la seguridad de la

– esté alineada con el contexto estratégico de gestión de riesgos de la

– establezca los criterios con los que se va a evaluar el riesgo;

– esté aprobada por la dirección.

Identificar los riesgos:

– identificar las amenazas en relación a los activos;

– identificar las vulnerabilidades que puedan ser aprovechadas por dichas

– identificar los impactos en la confidencialidad, integridad y disponibilidad de

Analizar y evaluar los riesgos:

– evaluar de forma realista la probabilidad de ocurrencia de un fallo de

– estimar los niveles de riesgo;

– determinar, según los criterios de aceptación de riesgo previamente

Identificar y evaluar las distintas opciones de tratamiento de los riesgos para:

– aplicar controles adecuados;

– aceptar el riesgo, siempre y cuando se siga cumpliendo con las políticas y

– evitar el riesgo, p. ej., mediante el cese de las actividades que lo originan;

– transferir el riesgo a terceros, p. ej., compañías aseguradoras o proveedores