Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ISO/IEC JTC 1
Este archivo en PDF puede contener tipos de letras incrustados. De acuerdo con la política de licencia de
Adobe, este archivo puede imprimirse o visualizarse pero no se deberá editar, a menos que los tipos de
letras que están incrustados tengan la debida licencia y estén instalados en la computadora que ejecuta la
edición. Al descargar este archivo, las partes aceptan la responsabilidad de no infringir la política de
licencia de Adobe. La Secretaría Central de la ISO no asume ninguna responsabilidad a este respecto.
Los detalles de los productos de software utilizados para crear este archivo en PDF se consignan en la
Información General relacionada con el archivo; los parámetros de creación en PDF fueron optimizados
para la impresión. Se han tomado las previsiones del caso para garantizar que el archivo pueda ser usado
adecuadamente por los organismos miembros de la ISO. En el caso poco probable que se presentara algún
problema, informe a la Secretaría Central a la dirección que se indica líneas abajo.
Este documento de la ISO es una Norma Internacional Preliminar y está protegido por derechos de autor de
la ISO. Salvo lo permitan las leyes aplicables del país del usuario, este borrador de la ISO ni cualquier
extracto del mismo se pueden reproducir, almacenar en un sistema de recuperación de datos, o transmitir de
cualquier modo o por cualquier medio, sea electrónico, por fotocopia, registro u otros métodos, sin contar
con una autorización previa por escrito.
Las solicitudes para autorizar la reproducción deben dirigirse a la ISO a la dirección indicada a
continuación o al organismo miembro de la ISO en el país del solicitante.
Contenido página
Prólogo...........................................................................................................................................................................4
0 Introducción .................................................................................................................................................................5
0.1 Generalidades...............................................................................................................................................................5
0.2 Enfoque de Proceso......................................................................................................................................................5
0.3 Compatibilidad con otros Sistemas de Gestión.........................................................................................................6
1 Alcance .........................................................................................................................................................................7
1.1 Generalidades...............................................................................................................................................................7
1.2 Aplicación ....................................................................................................................................................................7
2 Referencias Normativas..............................................................................................................................................7
3 Términos y Definiciones..............................................................................................................................................8
4 Sistema de Gestión de Seguridad de la Información................................................................................................9
4.1 Requisitos Generales....................................................................................................................................................9
4.2 Establecimiento y Administración del SGSI............................................................................................................10
4.2.1 Establecimiento del SGSI...........................................................................................................................................10
4.2.2 Implementar y Operar el SGSI .................................................................................................................................12
4.2.3 Monitorear y Revisar el SGSI....................................................................................................................................12
4.2.4 Mantener y Mejorar el SGSI......................................................................................................................................13
4.3 Requisitos de Documentación.....................................................................................................................................13
4.3.1 Generalidades...............................................................................................................................................................13
4.3.2 Control de Documentos...............................................................................................................................................14
4.3.3 Control de Registros....................................................................................................................................................15
5 Responsabilidad de la Dirección................................................................................................................................ 15
5.1 Compromiso de la Dirección.......................................................................................................................................15
5.2 Administración de Recursos.......................................................................................................................................15
5.2.1 Provisión de Recursos..................................................................................................................................................15
5.2.2 Entrenamiento, Concientización y Competencia......................................................................................................16
6 Auditorias Internas del SGSI.....................................................................................................................................16
7 Revisión del SGSI por la Dirección...........................................................................................................................17
7.1 Generalidades..............................................................................................................................................................17
7.2 Entradas de la Revisión..............................................................................................................................................17
7.3 Salidas de la Revisión.................................................................................................................................................17
8 Mejoramiento del SGSI ............................................................................................................................................18
8.1 Mejora Continua........................................................................................................................................................18
8.2 Acción Correctiva......................................................................................................................................................18
8.3 Acción Preventiva .....................................................................................................................................................18
Anexo A (normativo) Objetivos de Control y Controles...................................................................................................19
Anexo B (informativo) Los principios de la OCDE y esta Norma Internacional...........................................................33
Anexo C (informativo) Correspondencia entre ISO 9001:2000, ISO 14001:2004 y esta Norma Internacional..........34
Bibliografía............................................................................................................................................................................35
Prólogo
La ISO (la Organización Internacional de Normalización) y la IEC (Comisión Electrotécnica Internacional)
conforman el sistema especializado para normalización mundial. Los organismos nacionales que son miembros
de ISO o de IEC participan en el desarrollo de Normas Internacionales a través de comités técnicos establecidos
por la respectiva organización para ocuparse de campos específicos de una actividad técnica. Los comités
técnicos de la ISO y la IEC colaboran en campos de interés mutuo. Otros organizaciones internacionales,
gubernamentales y no gubernamentales, en coordinación con la ISO e IEC, también participan también en el
trabajo. En tal sentido, la ISO y la IEC han formado un comité técnico conjunto, ISO/IEC JTC 1, en el campo de
la tecnología de la información.
Las Normas Internacionales se redactan de conformidad con las reglas que se imparten en las Directivas ISO/IEC,
Parte 2.
La tarea principal del comité técnico conjunto es preparar Normas Internacionales. Las Normas Internacionales
Preliminares que adopta el comité técnico conjunto se remiten a los organismos nacionales para su votación.
Para que una Norma Internacional pueda publicarse se requiere la aprobación de al menos el 75% de los
organismos nacionales que votan.
Se presta especial atención a la posibilidad de que algunos de los elementos de este documento puedan ser
objeto de derechos de patente. En consecuencia, no se adjudicará responsabilidad alguna a la ISO y la IEC por
identificar todos o cualquiera de esos derechos de patente.
La norma ISO/IEC 27001 fue preparada por el Comité Técnico Conjunto ISO/IEC JTC 1, Information technology
(Tecnología de la Información), Subcomité SC 27, IT Security techniques (Técnicas de seguridad de tecnología de
la información – TI)
0 Introducción
0.1 Generalidades
Esta Norma Internacional ha sido preparada para proporcionar un modelo que permita establecer, implementar,
operar, monitorear, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). La
adopción de un SGSI debe ser una decisión estratégica para la organización. El diseño e implementación del
SGSI de una organización está influenciado por sus necesidades y objetivos, requisitos de seguridad, los procesos
empleados y el tamaño y estructura de la organización, los cuales, al igual que sus sistemas de soporte se prevee
que cambien con el tiempo. Se espera que la escala de implementación de un SGSI se establezca de acuerdo a
las necesidades de la organización, es decir, una situación sencilla requiere una solución de SGSI sencilla.
La presente Norma Internacional puede utilizarse para evaluar el cumplimiento por las partes interesadas internas
y externas.
b) implementar y operar controles para manejar los riesgos de seguridad de la información de una organización
dentro del contexto de riesgos totales de negocios de la misma;
La adopción del modelo PHCA reflejará también los principios establecidos en la OECD (siglas en inglés de
“Organización de Cooperación y Desarrollo Económico” (Pautas (2002)1) que gobiernan la seguridad de los
sistemas y redes informáticos. Esta Norma Internacional provee un modelo robusto para implementar los
principios de las pautas que gobiernan la evaluación de riesgos, el diseño e implementación de la seguridad, y la
gestión y la reevaluación de la seguridad.
EJEMPLO 1
Se podría establecer como requisito que las violaciones de seguridad de la información no causen daño financiero
grave a una organización y/o que no causen una situación bochornosa para la organización.
EJEMPLO 2
Podríamos tomar como expectativa que si ocurre un incidente grave – tal vez que hagan “hacking” al sitio web de
negocios electrónicos de una empresa – deberán existir personas con entrenamiento suficiente en los
procedimientos adecuados para minimizar el impacto.
Esta Norma Internacional está diseñada para permitir que una organización coordine o integre su SGSI con los
requisitos de sistemas de gestión relacionados.
Tecnología de la Información
Técnicas de Seguridad
Sistemas de Gestión de Seguridad de la Información
Requisitos
IMPORTANTE — Esta publicación no pretende incluir todas las provisiones necesarias de un contrato. Los usuarios son los
responsables de su correcta aplicación. El cumplimiento de una Norma Internacional no confiere exoneración de las
obligaciones legales.
1 Alcance
1.1 Generalidades
Esta Norma Internacional puede aplicarse a todos los tipos de organizaciónes (empresas comerciales, agencias
gubernamentales, organizaciones no comerciales). Esta Norma Internacional especifica los requisitos para
implementar, operar, monitorear, revisar, mantener y mejorar un SGSI documentado dentro del contexto de riesgos
totales de negocios de una organización. Especifica requisitos para la implementación de controles de seguridad
adaptados a las necesidades de organizaciónes individuales o partes de las mismas.
NOTA 1: Las referencias a ‘negocios” en esta Norma Internacional deben interpretarse en un sentido amplio, léase actividades
que son esenciales para fines de la existencia de la organización.
NOTA 2: La norma ISO/IEC 17799 proporciona orientación para la implementación que puede utilizarse al diseñar los controles.
1.2 Aplicación
Los requisitos establecidos en esta Norma Internacional son genéricos y están destinados para su aplicación en
todas las organizaciónes, sin tener en cuenta su tipo, tamaño y naturaleza. Excluir cualquiera de los requisitos
especificados en las Cláusulas 4, 5, 6, 7, y 8 no es aceptable cuando una organización reclama cumplir con esta
Norma Internacional. Cualquier exclusión de controles comprobadamente necesarios para satisfacer los criterios
de aceptación de riesgos, tiene que ser justificado y debe presentarse evidencia de que los riesgos que se
encuentran relacionados han sido aceptados por personas evidentemente responsables. Cuando se excluya
cualquier control, la pretensión de cumplimiento de esta Norma Internacional no es aceptable salvo que tales
exclusiones no afecten la capacidad y/o responsabilidad de la organización para proveer seguridad de la
información que cumpla con los requisitos de seguridad determinados por la evaluación de riesgos y los requisitos
de regulación aplicables.
NOTA: Si una organización ya tiene un sistema de gestión de proceso de negocios operativo (por ejemplo, relacionado con ISO
9001 o ISO 14001), en la mayoría de los casos es preferible que satisfaga los requisitos de esta Norma Internacional dentro de
dicho sistema de gestión.
2 Referencias normativas
Los siguientes documentos de referencia son indispensables para la aplicación del presente documento. En las
referencias que contienen fechas, sólo se aplica la edición citada. Para referencias sin fecha, se aplica la última
edición del documento de referencia (incluyendo cualquier enmienda).
3 Términos y definiciones
Para los fines del presente documento, se aplican los siguientes términos y definiciones:
3.1
activo
cualquier cosa que tenga valor para la organización.
[ISO/IEC 13335-1:2004]
3.2
disponibilidad
propiedad que puede ser accesible y utilizable a pedido de un agente autorizado.
[ISO/IEC 13335-1:2004]
3.3
confidencialidad
propiedad de la información que no se revela ni se encuentra a disposición de individuos, organizaciónes o
procesos no autorizados.
[ISO/IEC 13335-1:2004]
3.4
seguridad de la información
preservación de la confidencialidad, integridad y disponibilidad de la información; otras características también
pueden estar involucradas, tales como la autenticidad, responsabilidad, aceptabilidad y confiabilidad.
[ISO/IEC 17799:2005]
3.5
evento de seguridad de la información
ocurrencia identificada de una situación de sistema, servicio o red que indica una posible violación de la política de
seguridad de la información o falla de salvaguardas, o una situación previamente desconocida que puede ser
relevante para la seguridad.
[ISO/IEC TR 18044:2004]
3.6
Incidente de seguridad de la información
un evento o serie de eventos de seguridad de la información indeseables o inesperados que tienen una
probabilidad importante de comprometer las operaciones de negocios y amenazar la seguridad de la información.
[ISO/IEC TR 18044:2004]
3.7
Sistema de gestión de seguridad de la información : SGSI
la parte del sistema total de gestión, basada en un enfoque de riesgo de negocios, para establecer, implementar,
operar, monitorear, revisar, mantener y mejorar la seguridad de la información.
NOTA: El sistema de gestión incluye estructura, políticas, actividades de planeamiento, responsabilidades, prácticas,
procedimientos, procesos y recursos de organización.
3.8
integridad
la propiedad de salvaguardar la exactitud y completitud de los activos.
[ISO/IEC 13335-1:2004]
3.9
riesgo residual
el riesgo remanente después del tratamiento de riesgos
[ISO/IEC Guide 73:2002]
3.11
análisis de riesgos
uso sistemático de información para identificar fuentes y calcular los riesgos
[ISO/IEC Guide 73:2002]
3.12
evaluación de riesgos
proceso total de análisis y examen de riesgos
[ISO/IEC Guide 73:2002]
3.13
examen de riesgos
proceso de comparar los riesgos calculados con los criterios de riesgo establecidos, determinando la importancia
de los riesgos.
[ISO/IEC Guide 73:2002]
3.14
gestión de los riesgos
actividades coordinadas para dirigir y controlar una organización con respecto a los riesgos.
[ISO/IEC Guide 73:2002]
3.15
tratamiento de los riesgos
proceso de selección e implementación de medidas para modificar los riesgos
[ISO/IEC Guide 73:2002]
NOTA: En esta Norma Internacional el término ‘control’ se usa como sinónimo de ‘medida’.
3.16
declaración de aplicabilidad
declaración documentada que describe los objetivos de control y controles que son pertinentes y aplicables para el
SGSI de la organización.
NOTA: Los objetivos de control y los controles se basan en los resultados y conclusiones de los procesos de evaluación y
tratamiento de riesgos, requisitos legales o de regulación, obligaciones contractuales y en los requisitos de seguridad de la
información para el negocio de la organización.
La organización deberá establecer, implementar, operar, monitorear, revisar, mantener y mejorar un SGSI
documentado en el contexto de las actividades totales de negocios de la organización y los riesgos que enfrentan.
Para los fines de la presente Norma Internacional, el proceso utilizado se basa en el modelo de PHCA (Planear-
Hacer-Comprobar-Actuar) mostrados en la Figura 1.
a) Definir el alcance y límites del SGSI en función de las características del negocio, la organización, su ubicación,
activos, tecnología, e incluyendo detalles y justificación de cualquier exclusión del alcance (ver 1.2).
b) Definir una política de SGSI en función de las características del negocio, la organización, su ubicación, activos
y tecnología que:
1) incluya un marco de referencia para fijar objetivos y establezca un sentido de orientación y principios
generales de acción con respecto a la seguridad de la información;
2) tome en cuenta los requisitos del negocio así como los requisitos legales o de regulación, y las
obligaciones de seguridad contractuales;
3) esté en línea con el contexto de gestión de riesgos estratégica de la organización en el que tendrá lugar el
establecimiento y mantenimiento del SGSI;
4) establezca criterios con los cuales se evalúen los riesgos (ver 4.2.1c);
NOTA: Para los fines de esta Norma Internacional, la política del SGSI es considerada como un superconjunto de la política
de seguridad de la información. Estas políticas pueden describirse en un solo documento.
1) identificar una metodología de evaluación de riesgos que sea adecuada para el SGSI y para los requisitos
de seguridad de la información del negocio, legales y de regulación identificados.
2) preparar criterios de aceptación de riesgos e identificar los niveles de riesgo aceptables (ver 5.1f).
La metodología de evaluación de riesgos seleccionada deberá asegurar que las evaluaciones de riesgos
produzcan resultados comparables y reproducibles.
NOTA: Existen diversas metodologías de evaluación de riesgos. En ISO/IEC TR 13335-3, Tecnología de la información -
Pautas para la Gestión de Seguridad de TI - Técnicas para la Gestión de Seguridad de TI, se discuten ejemplos de
metodologías de evaluación de riesgos.
3) Identificar las vulnerabilidades que podrían ser explotadas por estas amenazas.
4) Identificar los impactos que las pérdidas de confidencialidad, integridad y disponibilidad pueden tener sobre
los activos.
1
La palabra ‘propietario’ identifica al individuo o entidad que tiene responsabilidad aprobada por gerencia para controlar la
producción, desarrollo, mantenimiento, uso y seguridad de los activos. La palabra ‘propietario’ no se refiere a la persona que
realmente tiene derechos de propiedad sobre el activo.
ISO/IEC 2005 – All rights reserved 10
ISO/IEC FDIS 27001:2005 (E)
e) Analizar y evaluar los riesgos.
1) Evaluar el impacto de negocios en la organización que podría resultar de una falla de seguridad, tomando
en cuenta las consecuencias de una pérdida de confidencialidad, integridad o disponibilidad de los activos.
2) Evaluar la probabilidad realista de que ocurra tal falla de seguridad en vista de las amenazas y
vulnerabilidades existentes, así como los impactos relacionados con estos activos, y los controles que se
estén implementando.
4) Determinar si el riesgo es aceptable o requiere tratamiento utilizando los criterios de aceptación de riesgos
establecidos en 4.2.1c(2).
2) aceptar adrede y objetivamente los riesgos, siempre y cuando satisfagan las políticas de la organización y
los criterios de aceptación de riesgos (ver 4.2.1c)2);
3) evitar riesgos;
4) transferir los riesgos de negocios relacionados a otros, por ejemplo: aseguradores, proveedores.
Los objetivos de control y controles deberán seleccionarse e implementarse para cumplir con los requisitos
identificados en el proceso de evaluación de riesgos y tratamiento de riesgos. Esta selección deberá tomar en
cuenta los criterios de aceptación de riesgos (ver 4.2.1c)) así como los requisitos legales, de regulación y
contractuales.
Los objetivos de control y los controles del Anexo A deberán seleccionarse como parte de este proceso, según
sea apropiado para cubrir estos requisitos.
Los objetivos de control y controles indicados en el Anexo A no son exhaustivos, y también pueden
seleccionarse objetivos de control y controles adicionales.
NOTA: El Anexo A contiene una amplia lista de objetivos de control y controles, que se ha encontrado son comúnmente
pertinentes en las organizaciónes. A los usuarios de esta Norma Internacional se les refiere al Anexo A como punto de
partida para la selección de controles, a fin de asegurar que no se pasen por alto opciones de control importantes.
1) los objetivos de control y los controles, seleccionados en 4.2.1g y los motivos para seleccionarlos;
3) la exclusión de cualquier objetivo de control y de controles del Anexo A y la justificación de esa exclusión.
a) Formular un plan de tratamiento de riesgos que identifique la acción, recursos, responsabilidades y prioridades
de la gerencia para manejar los riesgos de seguridad de la información (ver 5).
b) Implementar el plan de tratamiento de riesgos a fin de alcanzar los objetivos de control identificados, lo cual
incluye considerar la financiación y la asignación de funciones y responsabilidades.
c) Implementar los controles seleccionados en 4.2.1g) para cumplir con los objetivos de control.
d) Definir cómo medir la efectividad de los controles o grupos de controles seleccionados y especificar cómo
deben utilizarse estas mediciones para evaluar la eficacia del control para producir resultados comparativos y
reproducibles (ver 4.2.3c).
NOTA: La medición de la efectividad de los controles permite a gerentes y supervisores determinar cuán bien los controles
cumplen los objetivos del control.
h) Implementar procedimientos y otros controles capaces de permitir la rápida detección y respuesta a incidentes
de seguridad (ver 4.2.3).
2) identificar rápidamente los intentos fallidos y los intentos exitosos de violaciones de seguridad así como los
incidentes de seguridad;
3) permitir que la gerencia determine si las actividades de seguridad delegadas al personal o implementadas
por tecnología de la información están desempeñándose según lo esperado;
4) ayudar a detectar eventos de seguridad y de esa manera prevenir incidentes de seguridad mediante el uso
de indicadores; y
5) determinar si las medidas tomadas para resolver una violación de seguridad fueron efectivas.
b) Efectuar revisiones periódicas de la eficacia del SGSI (incluyendo el cumplimiento de la política y objetivos del
SGSI, y revisión de los controles de seguridad), tomando en cuenta los resultados de las auditorias de
seguridad, incidentes de seguridad, mediciones de la efectividad, sugerencias y retroalimentación de todas las
partes interesadas.
c) Medir la efectividad de los controles para verificar que los requisitos de seguridad se han cumplido.
1) la organización;
2) la tecnología;
6) los eventos externos, tales como cambios en el ambiente legal o de regulación, cambios en las
obligaciones contractuales, y cambios en el clima social.
NOTA: Las auditorias internas, a veces llamadas auditorias de parte, son efectuadas por la organización misma o a nombre de
ella con fines internos.
f) Efectuar un examen de gerencia del SGSI en forma periódica para asegurar que el alcance sigue siendo
adecuado y que se identifiquen mejoras en el proceso del SGSI (ver 7.1).
g) Actualizar los planes de seguridad para tomar en cuenta los resultados de las actividades de monitoreo y
revisión.
h) Registrar las acciones y eventos que podrían impactar la efectividad o desempeño del SGSI (ver 4.3.3).
b) Tomar las medidas correctivas y preventivas apropiadas conforme a 8.2 y 8.3. Aplicar las lecciones
aprendidas de las experiencias de seguridad de otras organizaciones y las de la misma organización.
c) Comunicar las acciones y mejoras a todas las partes interesadas con un nivel de detalle apropiado a las
circunstancias y, según sea pertinente, acordar cómo proceder.
4.3.1 Generalidades
La documentación deberá incluir los registros de las decisiones de gerencia, asegurar que las acciones sean
derivadas de las decisiones y políticas de gerencia, y que los resultados registrados sean reproducibles.
Es importante poder demostrar que los controles seleccionados se relacionan con los resultados del proceso de
evaluación y tratamiento de riesgos, y con la política y objetivos del SGSI.
g) procedimientos documentados que la organización necesita para asegurar el planeamiento, operación y control
efectivos de sus procesos de seguridad de la información y describir cómo medir la efectividad de los controles
(ver 4.2.3c);
i) la Declaración de Aplicabilidad.
NOTA 1: Cuando la frase “procedimiento documentado” aparece en esta Norma Internacional, significa que el procedimiento
está establecido, documentado, implementado y mantenido.
NOTA 2: La extensión de la documentación del SGSI puede diferir de una organización a otra, debido a:
- el tamaño de la organización y el tipo de sus actividades; y
- el alcance y complejidad de los requisitos de seguridad y del sistema que se administra.
NOTA 3: Los documentos y registros pueden estar en cualquier formato o tipo de medio.
Los documentos requeridos por el SGSI deberán estar protegidos y controlados. Se deberá establecer un
procedimiento documentado para definir las acciones de gerencia necesarias para:
b) revisar y actualizar los documentos según sea necesario y re-aprobar los documentos;
c) asegurar que se identifique los cambios y el estado actual de revisión de los documentos;
d) asegurar que las versiones pertinentes de documentos aplicables estén disponibles en los puntos de uso;
f) asegurar que los documentos estén disponibles para quienes los necesitan, y que se transfieran, guarden y
finalmente se eliminen según los procedimientos aplicables a su clasificación;
Se deberá establecer y mantener registros para proveer evidencia de cumplimiento de los requisitos y de operación
efectiva del SGSI, los mismos que deberán estar protegidos y controlados.
El SGSI deberá tomar en cuenta cualquier requisito legal o de regulación pertinente así como las obligaciones
contractuales. Los registros deberán permanecer legibles, fácilmente identificables y recuperables. Se deberá
documentar e implementar controles para la identificación, almacenamiento, protección, recuperación, tiempo de
retención y eliminación de registros.
Se deberá mantener registros del desempeño del proceso según lo indicado en 4.2 y de todas las ocurrencias de
incidentes de seguridad importantes relativos al SGSI.
EJEMPLO
Ejemplos de registros son un libro de visitantes, informes de auditoria y formularios llenados de autorización de acceso.
5 Responsabilidad de la Dirección
5.1 Compromiso de la Dirección
e) proporcionando recursos suficientes para establecer, implementar, operar, monitorear, revisar, mantener y
mejorar el SGSI (ver 5.2.1);
g) asegurando que se efectúen las auditorias internas del SGSI (ver 6); y
b) asegurar que los procedimientos de seguridad de la información apoyen los requerimientos de negocios;
d) mantener la seguridad adecuada mediante la aplicación correcta de todos los controles implementados;
e) realizar revisiones cuando sea necesario, y reaccionar debidamente a los resultados de estas revisiones; y
La organización deberá asegurar que todo el personal al que se le ha asignado responsabilidades definidas en el
SGSI sea competente para desempeñar las tareas requeridas, mediante lo siguiente:
a) determinando las competencias necesarias para el personal que ejecuta trabajo relativo al SGSI;
b) proporcionando entrenamiento o tomando otras medidas (por ejemplo, empleando personal competente) para
satisfacer estas necesidades;
La organización también deberá asegurar que todo el personal pertinente está conciente de la relevancia e
importancia de sus actividades de seguridad de la información, y cómo contribuyen ellos al logro de los objetivos
de SGSI.
a) cumplen con los requisitos de esta Norma Internacional y la legislación o reglamentos pertinentes;
Se deberá planear un programa de auditoria, tomando en consideración el estado e importancia de los procesos y
áreas a ser auditados, así como los resultados de las auditorias previas. Deberán definirse los criterios, alcances,
frecuencia y métodos de auditoria. La selección de los auditores y la ejecución de las auditorias deberá asegurar
la objetividad e imparcialidad del proceso de auditoria. Los auditores no deberán auditar su propio trabajo.
Las responsabilidades y requisitos para planear y ejecutar auditorias, y para informar los resultados y mantener
registros (ver 4.3.3) deberán definirse en un procedimiento documentado.
La gerencia responsable del área auditada deberá asegurar que se tomen medidas sin demora indebida para
eliminar los incumplimientos detectados y sus causas. Las actividades de seguimiento deberán incluir la
verificación de las medidas tomadas y el informe de los resultados de la verificación (ver 8).
NOTA: ISO 19011:2002, Pautas para la auditoria de sistemas de gestión de calidad y/o ambiental, puede dar orientación útil
para efectuar las auditorias internas del SGSI.
La Gerencia deberá revisar el SGSI de la organización a intervalos planeados (al menos una vez al año) para
asegurar que continúa siendo apropiado, adecuado y efectivo. Esta revisión deberá incluir la evaluación de
oportunidades de mejora y la necesidad de cambios en el SGSI, incluyendo la política y los objetivos de seguridad
de la información. Los resultados de las revisiones deberán documentarse claramente y deberá mantenerse
registros (ver 4.3.3).
c) las técnicas, productos o procedimientos, que podrían usarse en la organización para mejorar el desempeño y
efectividad del SGSI;
i) recomendaciones de mejoras.
El resultado de la revisión de gerencia deberá incluir cualquier decisión y acción relativas a lo siguiente:
c) Modificación de los procedimientos y controles de seguridad de la información, según sea necesario, para
responder a eventos internos o externos que puedan impactar el SGSI, incluyendo cambios en:
5) obligaciones contractuales; y
La organización deberá mejorar continuamente la efectividad del SGSI mediante el uso de la política de seguridad
de la información, los objetivos de seguridad de la información, resultados de auditoria, análisis de eventos
monitoreados, acciones correctivas y preventivas y la revisión de gerencia (ver 7).
La organización deberá tomar acción para eliminar la causa de los incumplimientos de los requisitos del SGSI a fin
de evitar su repetición. El procedimiento documentado de acción correctiva deberá definir los requisitos para:
a) identificar incumplimientos;
La organización deberá determinar acciones para eliminar la causa de incumplimientos potenciales de los
requisitos del SGSI a fin de evitar su ocurrencia. Las acciones preventivas tomadas deberán ser adecuadas al
impacto de los problemas potenciales. El procedimiento documentado de acción preventiva deberá definir los
requisitos para:
La organización deberá identificar los riesgos cambiados y los requerimientos de acción preventiva, enfocando la
atención en los riesgos que han cambiado significativamente. La prioridad de las acciones preventivas deberá
determinarse basado en los resultados de la evaluación de riesgos.
NOTA: La acción para evitar incumplimientos a menudo es más eficaz en costo que la acción correctiva.
Anexo A
(normativo)
Los objetivos de control y los controles de estas tablas deberán seleccionarse como parte del proceso de SGSI especificado en
4.2.1. Las Cláusulas 5 a 15 de ISO/IEC 17799:2005 proporcionan asesoría y orientación de implementación sobre
las mejores prácticas para apoyar los controles especificados en A.5 a A.15.
Control
Documento de política de seguridad de la
A.5.1.1 información El documento de política de seguridad de la información deberá ser aprobado por
Gerencia, y publicado y comunicado a todos los empleados y terceros pertinentes.
Control
Revisión de la política de seguridad de la La política de seguridad de la información deberá revisarse a intervalos planeados o si
A.5.1.2 información ocurren cambios significativos, para asegurar la continuidad de su propiedad, adecuación
y efectividad.
Control
Compromiso de la Gerencia con la seguridad de la La Gerencia deberá apoyar activamente la seguridad dentro de la organización
A.6.1.1 información mediante una dirección clara, compromiso demostrado, delegación explícita, y
reconocimiento de las responsabilidades de seguridad de la información.
Control
A.6.1.2 Coordinación de seguridad de la información Las actividades de seguridad de la información deberán coordinarse con los
representantes de diferentes partes de la organización que tengan funciones y trabajos
pertinentes.
Control
Aplicación de responsabilidades de seguridad de la
A.6.1.3 información Todas las responsabilidades de seguridad de la información deben definirse
claramente.
Control
Proceso de autorización para instalaciones de
A.6.1.4 procesamiento de información. Deberá definirse e implementarse un proceso de autorización de gerencia para nuevas
instalaciones de procesamiento de la información.
Control
A.6.1.5 Convenios de confidencialidad Los requerimientos de convenios de confidencialidad o de no divulgación que reflejen
las necesidades de la organización para protección de la información deberán ser
identificados y revisados periódicamente.
Control
A.6.1.6 Contacto con las autoridades
Deberán mantenerse contactos apropiados con las autoridades pertinentes.
Control
A.6.1.7 Contacto con los grupos de interés especial Deberán mantenerse contactos apropiados con los grupos de interés especial u otros
foros especializados de seguridad y asociaciones profesionales.
Control
A.6.2 Terceros
Objetivo: Mantener la seguridad de la información y de las instalaciones de procesamiento de información de la organización, que son accesadas,
procesadas, comunicadas a terceros, o administradas por terceros.
Control
Identificación de los riesgos relacionados con Deberán identificarse los riesgos para la información e instalaciones de procesamiento
A.6.2.1 terceros. de información de la organización, provenientes de procesos de negocios que
involucran a terceros, e implementarse controles adecuados antes de conceder
acceso.
Control
A.6.2.2 Enfocar la seguridad en el trato con los clientes Deberán enfocarse todos los requisitos de seguridad identificados antes de darles a los
clientes acceso a la información o activos de la organización.
Control
Los convenios con terceros que involucren acceder, procesar, comunicar o administrar
A.6.2.3 Enfocar la seguridad en los convenios con terceros. la información o instalaciones de procesamiento de información de la organización, o
agregar productos o servicios a dichas instalaciones, deberán abarcar todos los
requisitos de seguridad pertinentes.
Control
A.7.1.1 Inventario de activos Todos los activos deberán identificarse claramente y efectuarse y mantenerse un
inventario de todos los activos importantes.
Control
A.7.1.2 Propiedad de activos Toda la información y activos relacionados con instalaciones de procesamiento de
información deberán tener un ‘dueño’2 que sea un miembro designado de la
organización.
Control
A.7.1.3 Uso aceptable de los activos Deberán identificarse, documentarse e implementarse reglas para el uso aceptable de
la información y de los activos relacionados con las instalaciones de procesamiento de
información.
Control
A.7.2.1 Pautas de clasificación La información deberá clasificarse en función de su valor, requisitos legales,
sensibilidad y criticabilidad para la organización.
Control
A.7.2.2 Rotulación y manipulación de la información Deberá prepararse e implementarse un conjunto de procedimientos adecuados para la
rotulación y manipulación de la información, de acuerdo al esquema de clasificación
adoptado por la organización.
Control
A.8.1.1 Funciones y responsabilidades Las funciones y responsabilidades de seguridad de los empleados, contratistas y
usuarios de terceros deberán definirse y documentarse de acuerdo a la política de
seguridad de información de la organización.
Control
Deberá efectuarse la verificación de antecedentes de todos los candidatos a empleo,
A.8.1.2 Tamizaje contratistas, y usuarios de terceros, conforme a las leyes, reglamentos y ética
pertinentes, y en proporción a los requisitos del negocio, la clasificación de la
información a ser accedida, y a los riesgos percibidos.
Control
Como parte de su obligación contractual, los empleados, contratistas y usuarios de
A.8.1.3 Términos y condiciones de empleo terceros deberán aceptar y firmar los términos y condiciones de su contrato de empleo,
el cual deberá indicar sus responsabilidades de seguridad de la información así como
las de la organización.
2
Explicación: la palabra ‘dueño’ identifica a un individuo o entidad que tiene responsabilidad aprobada por gerencia para
controlar la producción, desarrollo, mantenimiento, uso y seguridad de los activos. La palabra ‘dueño’ no se refiere a la
persona que realmente tiene derechos de propiedad sobre el activo.
ISO/IEC 2005 – All rights reserved 21
ISO/IEC FDIS 27001:2005 (E)
Control
A.8.2.1 Responsabilidades de la Gerencia La Gerencia exigirá que los empleados, contratistas y usuarios de terceros apliquen la
seguridad de acuerdo con las políticas y procedimientos establecidos por la
organización.
Control
Concientizacion, educación y entrenamiento de Todo el personal de la organización y, cuando sea pertinente, los contratistas y
A.8.2.2 seguridad de la información usuarios de terceros, deberán recibir el entrenamiento de concientizacion adecuado y
actualizaciones periódicas de políticas y procedimientos de la organización, según
corresponda a sus funciones de trabajo.
Control
A.8.2.3 Proceso disciplinario Habrá un proceso disciplinario formal para los empleados que hayan cometido una
violación de seguridad.
Control
A.8.3.1 Responsabilidades de terminación Deberán definirse y asignarse claramente las responsabilidades para efectuar la
terminación del empleo o cambio de empleo.
Control
A.8.3.2 Devolución de activos Todos los empleados, contratistas y usuarios de terceros deberán devolver todos los
activos de la organización en su poder al terminar su empleo, contrato o convenio.
Control
A.8.3.3 Retiro de derechos de acceso Los derechos de acceso de todos los empleados, contratistas y usuarios de terceros a
la información y a las instalaciones de procesamiento de información deberán retirarse
al terminar su empleo, contrato o convenio, o modificarse según el cambio.
Control
A.9.1.1 Perímetro de seguridad físico Perímetros de seguridad (barreras tales como muros, puertas controladas por tarjeta o
recepcionistas) deberán utilizarse para proteger las áreas que contienen información y
las instalaciones de procesamiento de información.
Control
A.9.1.2 Controles de ingreso físico Las áreas seguras deberán protegerse mediante controles de ingreso adecuados para
asegurar que sólo se permita el acceso del personal autorizado.
Control
A.9.1.3 Aseguramiento de oficinas, cuartos e instalaciones
Deberá diseñarse y aplicarse seguridad física para las oficinas, cuartos e instalaciones.
Control
Protección contra amenazas exteriores y
A.9.1.4 ambientales Deberá diseñarse y aplicarse protección física contra daños por incendio, inundación,
terremoto, explosión, desorden civil, y otras formas de desastres naturales o artificiales.
Control
A.9.1.5 Trabajo en áreas aseguradas Las áreas seguras deberán protegerse mediante controles de ingreso adecuados para
asegurar que sólo se permita el acceso del personal autorizado.
Control
Los puntos de acceso tales como las áreas de entrega y carga y otros puntos donde
A.9.1.6 Acceso público, áreas de entrega y carga personas no autorizadas pueden ingresar a los locales deberán controlarse y, de ser
posible, aislarse de las instalaciones de procesamiento de información para evitar el
acceso no autorizado.
Control
A.9.2.1 Ubicación y protección del equipo El equipo deberá ubicarse y protegerse para reducir los riesgos de amenazas y
peligros ambientales, y las oportunidades de acceso no autorizado.
Control
A.9.2.2 Servicios de soporte El equipo deberá estar protegido contra cortes de energía y otros trastornos
ocasionados por fallas en los servicios de soporte.
Control
A.9.2.3 Seguridad del cableado El cableado de energía y telecomunicaciones que conduzca datos o soporte los
servicios de información deberá estar protegido de intercepción o daño.
Control
A.9.2.4 Mantenimiento del equipo El equipo deberá mantenerse correctamente para asegurar su continua disponibilidad e
integridad.
Control
A.9.2.5 Seguridad del equipo fuera de las instalaciones Deberá aplicarse seguridad al equipo fuera de las instalaciones, teniendo en cuenta los
diversos riesgos de trabajar fuera de las instalaciones de la organización.
Control
A.9.2.6 Eliminación o reutilización segura del equipo Todos los artículos de equipo que contengan medios de almacenamiento deberán
revisarse para asegurar la remoción o sobre escritura apropiada de cualquier
información sensible y “software” autorizado antes de su eliminación.
Control
A.9.2.7 Remoción de propiedad No se sacará equipo, información o “software” fuera de las instalaciones sin previa
autorización.
Control
A.10.1.1 Procedimientos operativos documentados Los procedimientos operativos deberán documentarse, mantenerse y ponerse a
disposición de todos los usuarios que los necesiten.
Control
A.10.1.2 Gestión de los cambios Se controlarán los cambios en las instalaciones y sistemas de procesamiento de
información.
Control
A.10.1.3 Separación de deberes Los deberes y áreas de responsabilidad deberán separarse para reducir las
oportunidades de modificación no autorizada o inadvertida o mal uso de los activos de
la organización.
Control
Separación de instalaciones de desarrollo, prueba
A.10.1.4 y operaciones Las instalaciones de desarrollo, prueba y operaciones deberán separarse para
reducirlos riesgos de acceso o cambios no autorizados al sistema operativo.
Control
A.10.2.1 Entrega de servicios Se deberá asegurar que los controles de seguridad, definiciones de servicio y niveles
de entrega incluidos en el convenio de servicios por terceros, sean implementados,
operados y mantenidos por el tercero.
Control
A.10.2.2 Monitoreo y revisión de servicios de terceros Los servicios, informes y registros suministrados por terceros deberán monitorearse y
revisarse periódicamente, y efectuarse auditorias regularmente.
Control
Deberá gestionarse los cambios en la provisión de servicios, incluyendo el
A.10.2.3 Gestión de cambios en terceros mantenimiento y mejora de las políticas, procedimientos y controles de seguridad de
información existentes, tomando en cuenta la criticabilidad de los sistemas y procesos
de negocios involucrados y la reevaluación de los riesgos.
Control
A.10.3.1 Gestión de la capacidad El uso de los recursos debe monitorearse y refinarse, y deben hacerse proyecciones de
las necesidades de capacidad futuras para asegurar el desempeño requerido del
sistema.
Control
A.10.3.2 Aceptación de sistemas Deberán establecerse criterios de aceptación de nuevos sistemas de información,
actualizaciones y nuevas versiones, y realizarse pruebas adecuadas de los sistemas
durante el desarrollo y antes de la aceptación.
Control
A.10.4.1 Controles contra código malicioso Deberá implementarse controles de detección, prevención y recuperación para
protegerse contra código malicioso así como procedimientos adecuados de
concientización de usuarios.
Control
Cuando el uso de código móvil está autorizado, la configuración deberá asegurar que
A.10.4.2 Controles contra código móvil el código móvil autorizado opere según una política de seguridad claramente definida, y
se impedirá la ejecución de código móvil no autorizado.
A.10.5 Respaldo
ISO/IEC 2005 – All rights reserved 24
ISO/IEC FDIS 27001:2005 (E)
Objetivo: Mantener la integridad y disponibilidad de la información y de las instalaciones de procesamiento de información
Control
A.10.5.1 Respaldo de la información Deberán hacerse copias de respaldo de la información y el “software”, y probarse
periódicamente según la política de respaldo convenida.
Control
A.10.6.1 Controles de redes Las redes deberán manejarse y controlarse debidamente, a fin de protegerse de
amenazas, y mantener la seguridad de los sistemas y aplicaciones que usan la red,
incluyendo la información en tránsito.
Control
A.10.6.2 Seguridad de los servicios de red Las características de seguridad, niveles de servicio, y requisitos de gestión de todos
los servicios de red deberán identificarse e incluirse en cualquier convenio de servicios
de red, ya sea que los servicios se provean internamente o del exterior.
Control
A.10.7.1 Manejo de medios removibles
Deberá haber procedimientos para el manejo de medios removibles.
Control
A.10.7.2 Eliminación de medios Los medios deberán eliminarse de modo seguro y sin riesgo de accidente cuando no
se les necesite más, usando procedimientos formales.
Control
A.10.7.3 Procedimientos de manipulación de información Deberán establecerse procedimientos para la manipulación y almacenamiento de
información, a fin de protegerla de la divulgación no autorizada o del mal uso.
Control
A.10.7.4 Seguridad de la documentación del sistema
Deberá protegerse la documentación del sistema contra el acceso no autorizado
Control
Políticas y procedimientos de intercambio de
A.10.8.1 información Deberán existir políticas, procedimientos y controles formales de intercambio de
información para protegerlo mediante el uso de todo tipo de facilidades de
comunicación.
Control
Convenios de intercambio
A.10.8.2 Deberán establecerse convenios para el intercambio de información y “software” entre
la organización y organismos externos.
Control
Medios físicos en tránsito
A.10.8.3 Los medios que contengan información deberán protegerse contra el acceso no
autorizado, el mal uso o corrupción durante su transporte más allá de los límites físicos
de una organización.
Control
Sistemas de información de negocios
A.10.8.5 Deberán prepararse e implementarse políticas y procedimientos para proteger la
información relacionada con la interconexión de los sistemas de información de
negocios.
Control
A.10.9.1 Comercio electrónico La información involucrada en el comercio electrónico que circula por redes públicas,
deberá protegerse de la actividad fraudulenta, objeción de contrato y de la divulgación
y modificación no autorizadas.
Control
A.10.9.2 Transacciones en línea La información involucrada en las transacciones en línea deberá protegerse para
impedir su transmisión incompleta, desviación, alteración no autorizada del mensaje,
divulgación no autorizada, y duplicación o reproducción no autorizadas del mensaje.
Control
A.10.9.3 Información disponible públicamente Deberá protegerse la integridad de la información colocada en un sistema de
disponibilidad pública para impedir su modificación no autorizada.
A.10.10 Monitoreo
Objetivo: Detectar actividades de procesamiento de información no autorizadas
Control
Los registros de auditoria que graban las actividades, excepciones, y eventos de
A.10.10.1 Registros de auditoria seguridad de la información de los usuarios deberán existir y mantenerse durante un
período convenido para asistir futuras investigaciones y en el monitoreo de control de
acceso.
Control
A.10.10.2 Monitoreo del uso del sistema Deberán establecerse procedimientos para monitorear el uso de las instalaciones de
procesamiento de información, y los resultados de las actividades de monitoreo
deberán revisarse regularmente.
Control
A.10.10.3 Protección de la información de registro Las instalaciones de registro y la información de registro deberán protegerse contra las
alteraciones y el acceso no autorizado.
Control
A.10.10.4 Registros de Administrador y operador Se deberán registrar las actividades del administrador del sistema y del operador del
sistema.
Control
A.10.10.5 Registro de fallas
Las fallas deberán registrarse, analizarse y deberán tomarse las medidas adecuadas.
Control
A.10.10.6 Sincronización de reloj Los relojes de todos los sistemas de procesamiento de información pertinentes dentro
de una organización o dominio de seguridad, deberán sincronizarse con una fuente de
tiempo exacto convenida.
Control
A.11.1.1 Política de control del acceso Se deberá establecer, documentar, y revisar una política de control del acceso basada
en los requisitos de negocios y de seguridad para el acceso.
Control
A.11.2.1 Inscripción de usuarios Deberá haber un procedimiento formal de inscripción y des-inscripción de usuarios
para otorgar y revocar el acceso a todos los sistemas y servicios de información.
Control
A.11.2.2 Gestión de privilegios
Deberá restringirse y controlarse la asignación y uso de privilegios.
Control
A.11.2.3 Manejo de contraseña de usuarios La asignación de contraseñas deberá controlarse mediante un proceso de manejo
formal.
Control
A.11.2.4 Revisión de derechos de acceso de usuarios La gerencia deberá revisar los derechos de acceso de usuarios a intervalos regulares
utilizando un procedimiento formal.
Control
A.11.3.1 Uso de contraseñas Se deberá exigir a los usuarios que sigan buenas prácticas de seguridad en la
selección y uso de las contraseñas.
Control
A.11.3.2 Equipo de usuario no atendido.
Los usuarios deberán asegurar que el equipo no atendido tenga protección adecuada.
Control
A.11.3.3 Política de escritorio limpio y pantalla limpia Deberá adoptarse una política de escritorio limpio de papeles y medios de
almacenamiento removibles, y una política de pantalla limpia para instalaciones de
procesamiento de información.
Control
A.11.4.1 Política sobre uso de servicios de redes A los usuarios sólo deberá dárseles acceso a los servicios que están específicamente
autorizados para usar.
Control
Autenticación de usuarios para conexiones
A.11.4.2 remotas Deberán usarse métodos de autenticación apropiados para controlar el acceso de
usuarios remotos.
Control
A.11.4.3 Identificación de equipo en redes
La identificación automática de equipo deberá considerarse como un medio de
Control
Protección de puertos de diagnóstico y
A.11.4.4 configuración remotos. Deberá controlarse el acceso físico y lógico a los puertos de diagnóstico y
configuración.
Control
A.11.4.5 Separación en las redes En las redes deberán separarse los grupos de servicios de información, usuarios y
sistemas de información.
Control
En redes compartidas, especialmente aquellas que se extienden más allá de los límites
A.11.4.6 Control de conexión a redes de la organización, deberá restringirse la capacidad de los usuarios para conectarse a
la red, conforme a la política de control de acceso y a los requisitos de las aplicaciones
de negocios (ver 11.1).
Control
A.11.4.7 Controles de ruteo de redes Deberá implementarse el control de ruteo de redes para asegurar que las conexiones y
los flujos de información de computadores no violen la política de control de acceso de
las aplicaciones de negocios.
Control
A.11.5.1 Procedimientos seguros de inicio de sesión El acceso a los sistemas operativos deberá controlarse mediante un procedimiento
seguro de inicio de sesión.
Control
A.11.5.2 Identificación y autenticación de usuario Todos los usuarios deberán tener un código de idorganización único para uso personal
solamente, y deberá seleccionarse una técnica de autenticación apropiada para
fundamentar la idorganización reclamada por un usuario.
Control
A.11.5.3 Sistema de manejo de contraseñas Los sistemas de manejo de contraseñas deberán ser interactivos y deberán asegurar
contraseñas de calidad.
Control
A.11.5.4 Uso de utilitarios de sistema El uso de programas utilitarios que podrían ser capaces de cancelar los controles de
sistema y de aplicación deberá restringirse y controlarse estrictamente.
Control
A.11.5.5 Expiración de sesión
Las sesiones inactivas deberán cerrarse después de un período de inactividad definido.
Control
A.11.5.6 Limitación del tiempo de conexión Deberá usarse restricciones del tiempo de conexión para proveer seguridad adicional a
las aplicaciones de alto riesgo.
Control
A.11.6.1 Restricción del acceso a la información El acceso por los usuarios a las funciones del sistema de información y aplicaciones
deberá restringirse según la política de control de acceso definida.
ISO/IEC 2005 – All rights reserved 28
ISO/IEC FDIS 27001:2005 (E)
Control
A.11.6.2 Aislamiento de sistemas sensibles
Los sistemas sensibles deberán tener un ambiente de computación dedicado (aislado).
Control
A.11.7.1 Computación y comunicaciones móviles Deberá existir una política formal y adoptarse medidas de seguridad adecuadas para
protegerse contra los riesgos de usar facilidades móviles de computación y
comunicación.
Control
A.11.7.2 Teletrabajo Deberá prepararse e implementarse una política, planes y procedimientos operativos
para las actividades de teletrabajo.
Control
A.12.1.1 Análisis y especificación de requisitos de seguridad Los enunciados de requisitos de negocios para nuevos sistemas de información, o para
mejoras de sistemas de información existentes, deberán especificar los requisitos para
controles de seguridad.
Control
A.12.2.1 Validación de datos de entrada Los datos de entrada para aplicaciones deberán validarse para asegurar que estos
datos son correctos y adecuados.
Control
A.12.2.2 Control de procesamiento interno Deberán incorporarse comprobaciones de validación en las aplicaciones, para detectar
cualquier corrupción de información debido a errores de proceso o actos deliberados.
Control
A.12.2.3 Integridad del mensaje Deberán identificarse los requerimientos para asegurar la autenticidad y proteger la
integridad del mensaje en las aplicaciones, así como identificarse e implementarse los
controles apropiados.
Control
A.12.2.4 Validación de datos de salida Los datos de salida de las aplicaciones deberán validarse para asegurar que el
procesamiento de la información almacenada es correcto y adecuado a las
circunstancias.
Control
A.12.3.1 Política sobre el uso de controles criptográficos Deberá prepararse e implementarse una política sobre el uso de controles
criptográficos para protección de la información.
Control
A.12.3.2 Administración de claves Deberá efectuarse la administración de claves para apoyar el uso de técnicas
criptográficas en la organización.
Control
A.12.4.1 Control del “software” operativo Deberán existir procedimientos para controlar la instalación de “software” en los
sistemas operativos.
Control
A.12.4.2 Protección de datos de prueba del sistema Los datos de prueba deberán seleccionarse cuidadosamente, y ser protegidos y
controlados.
Control
A.12.4.3 Control del acceso a código fuente de programas
Deberá restringirse el acceso al código fuente de programas.
Control
A.12.5.1 Procedimientos de control de cambios La implementación de cambios deberá controlarse mediante el uso de procedimientos
formales de control de cambios
Control
Revisión técnica de aplicaciones después de Cuando se cambien los sistemas operativos, deberán revisarse y probarse las
A.12.5.2 cambios en el sistema operativo aplicaciones de negocios críticas para asegurar que no existe impacto negativo en las
operaciones o seguridad de la organización.
Control
A.12.5.3 Restricciones a cambios en paquetes de “software” Deberá desalentarse las modificaciones a los paquetes de “software”, limitarse a los
cambios necesarios, y todos los cambios deberán controlarse estrictamente.
Control
A.12.5.4 Filtraciones de información
Deberá evitarse las ocasiones de filtración de información.
Control
A.12.5.5 Desarrollo de programas por terceros La organización deberá supervisar y monitorear el desarrollo de programas por
terceros.
Control
A.12.6.1 Control de vulnerabilidades técnicas Deberá obtenerse información oportuna sobre las vulnerabilidades técnicas de los
sistemas de información en uso, evaluarse la exposición de la organización a esas
vulnerabilidades, y tomarse medidas adecuadas para resolver el riesgo relacionado.
Control
Reportes de eventos de seguridad de la
A.13.1.1 información Los eventos de seguridad de la información deberán reportarse por medio de los
canales de gerencia apropiados tan pronto como sea posible.
Control
A.13.1.2 Reportes de debilidades de seguridad Los eventos de seguridad de la información deberán reportarse por medio de los
canales de gerencia apropiados tan pronto como sea posible.
Control
A.13.2.1 Responsabilidades y procedimientos Deberán establecerse responsabilidades y procedimientos de gerencia para asegurar
la respuesta rápida, efectiva y ordenada a los incidentes de seguridad de la
información.
Control
Aprendiendo de los incidentes de seguridad de la
A.13.2.2 información Deberán existir mecanismos en ejecución que permitan cuantificar y monitorear los
tipos, volúmenes, y costos de los incidentes de seguridad de la información.
Control
Cuando la acción de seguimiento contra una persona o organización después de un
A.13.2.3 Recolección de evidencia incidente de seguridad de la información involucre medidas legales (ya sea civiles o
penales), deberá recolectarse, retenerse y presentarse evidencia de conformidad con
las reglas de prueba establecidas en la legislación pertinente.
Control
Incluir seguridad de la información en el proceso de Deberá desarrollarse y mantenerse un proceso gestionado de continuidad del negocio
A.14.1.1 gestión de la continuidad de negocios en toda la organización, que se encargue de los requerimientos de seguridad de la
información necesarios para la continuidad del negocio de la organización.
Control
A.14.1.2 Continuidad de negocios y evaluación de riesgos Deberá identificarse los eventos que pueden causar interrupciones a los procesos de
negocios, junto con la probabilidad e impacto de tales interrupciones y sus
consecuencias para la seguridad de la información.
Control
Desarrollo e implementación de planes de
A.14.1.3 continuidad incluyendo seguridad de la Deberá prepararse e implementarse planes para mantener o restaurar las operaciones
información. y asegurar la disponibilidad de información al nivel requerido y en las escalas de tiempo
requeridas luego de la interrupción o falla de procesos de negocios críticos.
Control
Marco de planeamiento de la continuidad de los
A.14.1.4 negocios Deberá mantenerse un solo marco de planes de continuidad de negocios para
asegurar que todos los planes sean concordantes, para enfocar de modo uniforme los
requerimientos de seguridad de la información, y para identificar prioridades de prueba
Control
Prueba, mantenimiento y reevaluación de planes
A.14.1.5 de continuidad de los negocios Los planes de continuidad de los negocios deberán probarse y actualizarse
regularmente para asegurar que estén al día y sean efectivos.
A.15 Cumplimiento
Control
A.15.1.1 Identificación de la legislación aplicable Deberá definirse, documentarse y mantenerse al día explícitamente todos los requisitos
estatutarios, de regulación y contractuales pertinentes y el enfoque de la organización
para cumplirlos, para cada sistema de información en la organización.
Control
Deberá implementarse procedimientos apropiados para asegurar el cumplimiento de
A.15.1.2 Derechos de propiedad intelectual (DPI) los requisitos legislativos, de regulación y contractuales sobre el uso del material
respecto al cual puedan existir derechos de propiedad intelectual y sobre el uso de
productos de “software” propietario.
Control
A.15.1.3 Protección de los registros de la organización Los registros importantes deberán protegerse de pérdida, destrucción y falsificación, de
conformidad con los requisitos estatutarios, de regulación, contractuales y de negocios.
Control
Protección de datos y privacidad de la información La protección y privacidad de los datos deberá asegurarse como sea necesario
A.15.1.4 personal mediante la legislación y reglamentos pertinentes y, si corresponde, mediante las
cláusulas contractuales.
Control
Prevención del mal uso de las instalaciones de
A.15.1.5 procesamiento de información A los usuarios se les deberá disuadir de utilizar las instalaciones de procesamiento de
información para fines no autorizados.
Control
A.15.1.6 Reglamentación de los controles criptográficos Los controles criptográficos deberán usarse cumpliendo con todos los convenios, leyes,
y reglamentos pertinentes.
Control
Cumplimiento de las políticas y normas de Los gerentes deberán asegurar que todos los procedimientos de seguridad dentro de
A.15.2.1 seguridad sus áreas de responsabilidad se efectúan correctamente para lograr el cumplimiento de
las políticas y normas de seguridad.
Control
A.15.2.2 Comprobación del cumplimiento técnico Deberá comprobarse regularmente el cumplimiento de las normas de implementación
de seguridad en los sistemas de información.
Control
Controles de auditoria de sistemas de Los requerimientos y actividades de auditoria que involucren comprobaciones de los
A.15.3.1 información sistemas operativos deberán planearse y acordarse cuidadosamente para minimizar el
riesgo de perturbaciones a los procesos de negocios.
Control
Protección de las herramientas de auditoria
A.15.3.2 de sistemas de información Deberá protegerse el acceso a las herramientas de auditoria de sistemas de
información para impedir cualquier posible mal uso o compromiso.
Anexo B
(informativo)
Diseño e implementación de la seguridad Una vez efectuada la evaluación de riesgos, se seleccionan controles para el
Los participantes deben incorporar la seguridad como elemento esencial tratamiento de riesgos como parte de la fase Planear (ver 4.2.1). A
de los sistemas y redes de información. continuación la fase Hacer (ver 4.2.2 y 5.2) cubre la implementación y el uso
operativo de estos controles
Gestión de la seguridad La gestión del riesgo es un proceso que incluye la prevención, detección y
Los participantes deben adoptar un enfoque total de gestión de la respuesta a los incidentes, mantenimiento permanente, revisión y auditoria.
seguridad Todos estos aspectos se abarcan en las fases Planear, Hacer, Comprobar y
Actuar.
Reevaluación La reevaluación de la seguridad de la información es parte de la fase
Los participantes deben revisar y reevaluar la seguridad de los sistemas Comprobar (ver 4.2.3 y 6 a 7.3), en la cual deben efectuarse revisiones
y redes de información, y hacer las modificaciones adecuadas a las regulares para verificar la efectividad del sistema de gestión de seguridad de la
políticas, prácticas, medidas y procedimientos de seguridad. información, y el mejoramiento de la seguridad es parte de la fase Actuar (ver
4.2.4 y 8.1 a 8.3).
Anexo C
(informativo)
La Tabla C.1 muestra la correspondencia entre ISO 9001:2000, ISO 14001:2004 y la presente Norma
Internacional.
Tabla C.1 - Correspondencia entre ISO 9001:2000, ISO 14001:2004 y la presente Norma
Compatibilidad con otros sistemas de gestión 0.3 Relación con ISO 9004
4.2.3 Monitorear y revisar el SGSI 8.2.3 Monitoreo y medición de procesos 4.5.1 Monitoreo y medición
6.3 Infraestructura
Anexo C Correspondencia entre ISO Anexo A Correspondencia entre ISO Anexo B Correspondencia entre ISO
9001:2000, ISO 14001:2004 y la presente 9001:2000 e ISO 14001:1996 14001:2004 e ISO 9001:2000
Norma Internacional
Bibliografía
Publicaciones de Normas
[3] ISO/IEC TR 13335-3:1998, Information technology — Guidelines for the management of IT Security —
Part 3: Techniques for the management of IT security
[4] ISO/IEC TR 13335-4:2000, Information technology — Guidelines for the management of IT Security —
Part 4: Selection of safeguards
[5] ISO 14001:2004, Environmental management systems — Requirements with guidance for use
[7] ISO 19011:2002, Guidelines for quality and/or environmental management systems auditing
[8] ISO/IEC Guide 62:1996, General requirements for bodies operating assessment and
certification/registration of quality systems
[9] ISO/IEC Guide 73:2002, Risk management — Vocabulary — Guidelines for use in standards
Otras publicaciones
[1] OECD, Guidelines for the Security of Information Systems and Networks — Towards a Culture of
Security. Paris: OECD, July 2002. www.oecd.org
[2] NIST SP 800-30, Risk Management Guide for Information Technology Systems
[3] Deming W.E., Out of the Crisis, Cambridge, Mass: MIT, Center for Advanced Engineering Study, 1986