Norma ISO 27001-2005 Español

BORRADOR
FINAL NORMA ISO/IEC

INTERNACIONAL FDIS
27001
ISO/IEC JTC 1
Secretaría: ANSI Tecnología de la Información

Inicio de la votación:
Técnicas de Seguridad
30 de junio del 2005 Sistemas de Gestión de Seguridad de la Información
Fin de la votación: Requerimientos
30 de agosto del 2005
Consulte las notas administrativas que aparecen en la página iii
SE INVITA A LOS DESTINATARIOS DE ESTE

BORRADOR A CURSAR JUNTO CON SUS
COMENTARIOS, NOTIFICACIÓN DE CUALQUIER
DERECHO DE PATENTE PERTINENTE DEL
CUAL TENGAN CONOCIMIENTO,
Y A BRINDAR DOCUMENTACIÓN PROBATORIA. Número de Referencia
ADEMÁS DE HABERSE EVALUADO COMO
ACEPTABLES PARA FINES INDUSTRIALES, ISO/IEC FDIS 27001:2005 (E)
TECNOLÓGICOS, COMERCIALES Y
ESPECÍFICOS DEL USUARIO, ES POSIBLE QUE
EN DETERMINADA OCASIÓN LAS NORMAS
INTERNACIONALES PRELIMINARES SE
CONSIDEREN, DEBIDO A SU POTENCIAL, ©ISO/IEC 2005
COMO NORMAS DE HECHO QUE PUEDEN SER
ALUDIDAS EN REGULACIONES NACIONALES.
ISO/IEC FDIS 27001:2005 (E)
Descargo de responsabilidad de PDF
Este archivo en PDF puede contener tipos de letras incrustados. De acuerdo con la política de licencia de
Adobe, este archivo puede imprimirse o visualizarse pero no se deberá editar, a menos que los tipos de
letras que están incrustados tengan la debida licencia y estén instalados en la computadora que ejecuta la
edición. Al descargar este archivo, las partes aceptan la responsabilidad de no infringir la política de
licencia de Adobe. La Secretaría Central de la ISO no asume ninguna responsabilidad a este respecto.
Adobe es una marca de fábrica de Adobe Systems Incorporated.
Los detalles de los productos de software utilizados para crear este archivo en PDF se consignan en la
Información General relacionada con el archivo; los parámetros de creación en PDF fueron optimizados
para la impresión. Se han tomado las previsiones del caso para garantizar que el archivo pueda ser usado
adecuadamente por los organismos miembros de la ISO. En el caso poco probable que se presentara algún
problema, informe a la Secretaría Central a la dirección que se indica líneas abajo.
Aviso de derechos de Autor
Este documento de la ISO es una Norma Internacional Preliminar y está protegido por derechos de autor de
la ISO. Salvo lo permitan las leyes aplicables del país del usuario, este borrador de la ISO ni cualquier
extracto del mismo se pueden reproducir, almacenar en un sistema de recuperación de datos, o transmitir de
cualquier modo o por cualquier medio, sea electrónico, por fotocopia, registro u otros métodos, sin contar
con una autorización previa por escrito.
Las solicitudes para autorizar la reproducción deben dirigirse a la ISO a la dirección indicada a
continuación o al organismo miembro de la ISO en el país del solicitante.
ISO copyright office

Case postale 56 • CH-1211 Geneva 20
Tel.: +41 22 749 01 11
Fax: +41 22 749 09 47
e-mail: copyright@iso.org
Web: www.iso.org
La reproducción puede estar sujeta al pago de regalías o un convenio de licencia.
Los infractores serán objeto de acciones legales.
ISO/IEC 2005 – All rights reserved 2

Contenido página
Prólogo...........................................................................................................................................................................4
0 Introducción .................................................................................................................................................................5
0.1 Generalidades...............................................................................................................................................................5
0.2 Enfoque de Proceso......................................................................................................................................................5
0.3 Compatibilidad con otros Sistemas de Gestión.........................................................................................................6
1 Alcance .........................................................................................................................................................................7
1.1 Generalidades...............................................................................................................................................................7
1.2 Aplicación ....................................................................................................................................................................7
2 Referencias Normativas..............................................................................................................................................7
3 Términos y Definiciones..............................................................................................................................................8
4 Sistema de Gestión de Seguridad de la Información................................................................................................9
4.1 Requisitos Generales....................................................................................................................................................9
4.2 Establecimiento y Administración del SGSI............................................................................................................10
4.2.1 Establecimiento del SGSI...........................................................................................................................................10
4.2.2 Implementar y Operar el SGSI .................................................................................................................................12
4.2.3 Monitorear y Revisar el SGSI....................................................................................................................................12
4.2.4 Mantener y Mejorar el SGSI......................................................................................................................................13
4.3 Requisitos de Documentación.....................................................................................................................................13
4.3.1 Generalidades...............................................................................................................................................................13
4.3.2 Control de Documentos...............................................................................................................................................14
4.3.3 Control de Registros....................................................................................................................................................15
5 Responsabilidad de la Dirección................................................................................................................................ 15
5.1 Compromiso de la Dirección.......................................................................................................................................15
5.2 Administración de Recursos.......................................................................................................................................15
5.2.1 Provisión de Recursos..................................................................................................................................................15
5.2.2 Entrenamiento, Concientización y Competencia......................................................................................................16
6 Auditorias Internas del SGSI.....................................................................................................................................16
7 Revisión del SGSI por la Dirección...........................................................................................................................17
7.1 Generalidades..............................................................................................................................................................17
7.2 Entradas de la Revisión..............................................................................................................................................17
7.3 Salidas de la Revisión.................................................................................................................................................17
8 Mejoramiento del SGSI ............................................................................................................................................18
8.1 Mejora Continua........................................................................................................................................................18
8.2 Acción Correctiva......................................................................................................................................................18
8.3 Acción Preventiva .....................................................................................................................................................18
Anexo A (normativo) Objetivos de Control y Controles...................................................................................................19
Anexo B (informativo) Los principios de la OCDE y esta Norma Internacional...........................................................33
Anexo C (informativo) Correspondencia entre ISO 9001:2000, ISO 14001:2004 y esta Norma Internacional..........34
Bibliografía............................................................................................................................................................................35

Prólogo
La ISO (la Organización Internacional de Normalización) y la IEC (Comisión Electrotécnica Internacional)
conforman el sistema especializado para normalización mundial. Los organismos nacionales que son miembros
de ISO o de IEC participan en el desarrollo de Normas Internacionales a través de comités técnicos establecidos
por la respectiva organización para ocuparse de campos específicos de una actividad técnica. Los comités
técnicos de la ISO y la IEC colaboran en campos de interés mutuo. Otros organizaciones internacionales,
gubernamentales y no gubernamentales, en coordinación con la ISO e IEC, también participan también en el
trabajo. En tal sentido, la ISO y la IEC han formado un comité técnico conjunto, ISO/IEC JTC 1, en el campo de
la tecnología de la información.
Las Normas Internacionales se redactan de conformidad con las reglas que se imparten en las Directivas ISO/IEC,
Parte 2.
La tarea principal del comité técnico conjunto es preparar Normas Internacionales. Las Normas Internacionales
Preliminares que adopta el comité técnico conjunto se remiten a los organismos nacionales para su votación.
Para que una Norma Internacional pueda publicarse se requiere la aprobación de al menos el 75% de los
organismos nacionales que votan.
Se presta especial atención a la posibilidad de que algunos de los elementos de este documento puedan ser
objeto de derechos de patente. En consecuencia, no se adjudicará responsabilidad alguna a la ISO y la IEC por
identificar todos o cualquiera de esos derechos de patente.
La norma ISO/IEC 27001 fue preparada por el Comité Técnico Conjunto ISO/IEC JTC 1, Information technology
(Tecnología de la Información), Subcomité SC 27, IT Security techniques (Técnicas de seguridad de tecnología de
la información – TI)

0 Introducción
0.1 Generalidades
Esta Norma Internacional ha sido preparada para proporcionar un modelo que permita establecer, implementar,
operar, monitorear, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). La
adopción de un SGSI debe ser una decisión estratégica para la organización. El diseño e implementación del
SGSI de una organización está influenciado por sus necesidades y objetivos, requisitos de seguridad, los procesos
empleados y el tamaño y estructura de la organización, los cuales, al igual que sus sistemas de soporte se prevee
que cambien con el tiempo. Se espera que la escala de implementación de un SGSI se establezca de acuerdo a
las necesidades de la organización, es decir, una situación sencilla requiere una solución de SGSI sencilla.
La presente Norma Internacional puede utilizarse para evaluar el cumplimiento por las partes interesadas internas
y externas.
0.2 Enfoque de Proceso

Esta Norma Internacional promueve la adopción de un enfoque del proceso para establecer, implementar, operar,
monitorear, revisar, mantener y mejorar el SGSI de una organización. Una organización necesita identificar y
administrar muchas actividades a fin de funcionar eficazmente. Cualquier actividad que utilice recursos y se
administre con el fin de permitir la transformación de entradas en salidas, puede considerarse como un proceso.
Con frecuencia la salida de un proceso forma directamente la entrada al proceso siguiente. A la aplicación de un
sistema de procesos dentro de una organización conjuntamente con la identificación e interacciones de estos
procesos, y su administración, se le puede denominar como un “enfoque de proceso”. El enfoque de proceso para
gestión de seguridad de la información presentado en esta Norma Internacional, alienta a que sus usuarios
resalten la importancia de:
a) la comprensión de los requisitos de seguridad de la información de una organización y la necesidad de

establecer políticas y objetivos de seguridad de la información;
b) implementar y operar controles para manejar los riesgos de seguridad de la información de una organización
dentro del contexto de riesgos totales de negocios de la misma;
c) monitorear y revisar el desempeño y efectividad del SGSI; y
d) mejoramiento continuo basado en la medición de los objetivos.
Esta Norma Internacional adopta el modelo de proceso “Planear-Hacer-Comprobar-Actuar” (PHCA), el cual se

aplica para estructurar todos los procesos de SGSI. La Figura 1 ilustra cómo un SGSI toma como entrada los
requisitos y expectativas de seguridad de la información de las partes interesadas, y a través de las acciones y
procesos necesarios produce resultados de seguridad de la información que satisfacen esos requisitos y
expectativas. La Figura 1 ilustra también los enlaces en los procesos presentados en las Cláusulas 4, 5, 6, 7 y 8.
La adopción del modelo PHCA reflejará también los principios establecidos en la OECD (siglas en inglés de
“Organización de Cooperación y Desarrollo Económico” (Pautas (2002)1) que gobiernan la seguridad de los
sistemas y redes informáticos. Esta Norma Internacional provee un modelo robusto para implementar los
principios de las pautas que gobiernan la evaluación de riesgos, el diseño e implementación de la seguridad, y la
gestión y la reevaluación de la seguridad.

EJEMPLO 1
Se podría establecer como requisito que las violaciones de seguridad de la información no causen daño financiero
grave a una organización y/o que no causen una situación bochornosa para la organización.
EJEMPLO 2
Podríamos tomar como expectativa que si ocurre un incidente grave – tal vez que hagan “hacking” al sitio web de
negocios electrónicos de una empresa – deberán existir personas con entrenamiento suficiente en los
procedimientos adecuados para minimizar el impacto.
Figura 1 – PHCA aplicado a los procesos de SGSI
Establecer la política, objetivos, procesos y procedimientos del SGSI pertinentes

Planear para gestionar el riesgo y mejorar la seguridad de la información, a fin de
(establecer el SGSI) entregar resultados conforme a las políticas y objetivos generales de la
organización.
Hacer
Implementar y operar la política, controles, procesos y procedimientos del SGSI.
(implementar y operar el SGSI)
Comprobar Evaluar y, donde corresponda, medir el desempeño del proceso según la

política, objetivos y experiencia práctica del SGSI e informar los resultados a la
(monitorear y revisar el SGSI) Gerencia para su examen.
Actuar Tomar medidas correctivas y preventivas, basado en los resultados de la

auditoria interna del SGSI y el examen de la gerencia u otra información
(mantener y mejorar el SGSI) pertinente, para lograr el mejoramiento continuo del SGSI.
0.3 Compatibilidad con otros Sistemas de Gestión

Esta Norma Internacional está coordinada con ISO 9001:2000 e ISO 14001:2004 a fin de apoyar la implementación
y operación uniforme e integral con normas de gestión relacionadas. Un sistema de gestión adecuadamente
diseñado puede satisfacer así los requisitos de todas estas normas. La Tabla C.1 muestra la relación entre las
cláusulas de esta Norma Internacional, ISO 9001:2000 e ISO 14001:2004.
Esta Norma Internacional está diseñada para permitir que una organización coordine o integre su SGSI con los
requisitos de sistemas de gestión relacionados.

BORRADOR FINAL DE NORMA INTERNACIONAL
Tecnología de la Información
Técnicas de Seguridad
Sistemas de Gestión de Seguridad de la Información
Requisitos
IMPORTANTE — Esta publicación no pretende incluir todas las provisiones necesarias de un contrato. Los usuarios son los
responsables de su correcta aplicación. El cumplimiento de una Norma Internacional no confiere exoneración de las
obligaciones legales.
1 Alcance
1.1 Generalidades
Esta Norma Internacional puede aplicarse a todos los tipos de organizaciónes (empresas comerciales, agencias
gubernamentales, organizaciones no comerciales). Esta Norma Internacional especifica los requisitos para
implementar, operar, monitorear, revisar, mantener y mejorar un SGSI documentado dentro del contexto de riesgos
totales de negocios de una organización. Especifica requisitos para la implementación de controles de seguridad
adaptados a las necesidades de organizaciónes individuales o partes de las mismas.
NOTA 1: Las referencias a ‘negocios” en esta Norma Internacional deben interpretarse en un sentido amplio, léase actividades
que son esenciales para fines de la existencia de la organización.
NOTA 2: La norma ISO/IEC 17799 proporciona orientación para la implementación que puede utilizarse al diseñar los controles.
1.2 Aplicación
Los requisitos establecidos en esta Norma Internacional son genéricos y están destinados para su aplicación en
todas las organizaciónes, sin tener en cuenta su tipo, tamaño y naturaleza. Excluir cualquiera de los requisitos
especificados en las Cláusulas 4, 5, 6, 7, y 8 no es aceptable cuando una organización reclama cumplir con esta
Norma Internacional. Cualquier exclusión de controles comprobadamente necesarios para satisfacer los criterios
de aceptación de riesgos, tiene que ser justificado y debe presentarse evidencia de que los riesgos que se
encuentran relacionados han sido aceptados por personas evidentemente responsables. Cuando se excluya
cualquier control, la pretensión de cumplimiento de esta Norma Internacional no es aceptable salvo que tales
exclusiones no afecten la capacidad y/o responsabilidad de la organización para proveer seguridad de la
información que cumpla con los requisitos de seguridad determinados por la evaluación de riesgos y los requisitos
de regulación aplicables.
NOTA: Si una organización ya tiene un sistema de gestión de proceso de negocios operativo (por ejemplo, relacionado con ISO
9001 o ISO 14001), en la mayoría de los casos es preferible que satisfaga los requisitos de esta Norma Internacional dentro de
dicho sistema de gestión.
2 Referencias normativas
Los siguientes documentos de referencia son indispensables para la aplicación del presente documento. En las
referencias que contienen fechas, sólo se aplica la edición citada. Para referencias sin fecha, se aplica la última
edición del documento de referencia (incluyendo cualquier enmienda).
ISO/IEC 17799:2005, Tecnología de la Información — Técnicas de Seguridad — Código de práctica para la

Gestión de Seguridad de la Información.

3 Términos y definiciones
Para los fines del presente documento, se aplican los siguientes términos y definiciones:
3.1
activo
cualquier cosa que tenga valor para la organización.
[ISO/IEC 13335-1:2004]
3.2
disponibilidad
propiedad que puede ser accesible y utilizable a pedido de un agente autorizado.
[ISO/IEC 13335-1:2004]
3.3
confidencialidad
propiedad de la información que no se revela ni se encuentra a disposición de individuos, organizaciónes o
procesos no autorizados.
[ISO/IEC 13335-1:2004]
3.4
seguridad de la información
preservación de la confidencialidad, integridad y disponibilidad de la información; otras características también
pueden estar involucradas, tales como la autenticidad, responsabilidad, aceptabilidad y confiabilidad.
[ISO/IEC 17799:2005]
3.5
evento de seguridad de la información
ocurrencia identificada de una situación de sistema, servicio o red que indica una posible violación de la política de
seguridad de la información o falla de salvaguardas, o una situación previamente desconocida que puede ser
relevante para la seguridad.
[ISO/IEC TR 18044:2004]
3.6
Incidente de seguridad de la información
un evento o serie de eventos de seguridad de la información indeseables o inesperados que tienen una
probabilidad importante de comprometer las operaciones de negocios y amenazar la seguridad de la información.
[ISO/IEC TR 18044:2004]
3.7
Sistema de gestión de seguridad de la información : SGSI
la parte del sistema total de gestión, basada en un enfoque de riesgo de negocios, para establecer, implementar,
operar, monitorear, revisar, mantener y mejorar la seguridad de la información.
NOTA: El sistema de gestión incluye estructura, políticas, actividades de planeamiento, responsabilidades, prácticas,
procedimientos, procesos y recursos de organización.
3.8
integridad
la propiedad de salvaguardar la exactitud y completitud de los activos.
[ISO/IEC 13335-1:2004]
3.9
riesgo residual
el riesgo remanente después del tratamiento de riesgos
[ISO/IEC Guide 73:2002]

3.10
aceptación de riesgo
decisión de aceptar un riesgo
3.11
análisis de riesgos
uso sistemático de información para identificar fuentes y calcular los riesgos
3.12
evaluación de riesgos
proceso total de análisis y examen de riesgos
3.13
examen de riesgos
proceso de comparar los riesgos calculados con los criterios de riesgo establecidos, determinando la importancia
de los riesgos.
3.14
gestión de los riesgos
actividades coordinadas para dirigir y controlar una organización con respecto a los riesgos.
3.15
tratamiento de los riesgos
proceso de selección e implementación de medidas para modificar los riesgos
NOTA: En esta Norma Internacional el término ‘control’ se usa como sinónimo de ‘medida’.
3.16
declaración de aplicabilidad
declaración documentada que describe los objetivos de control y controles que son pertinentes y aplicables para el
SGSI de la organización.
NOTA: Los objetivos de control y los controles se basan en los resultados y conclusiones de los procesos de evaluación y
tratamiento de riesgos, requisitos legales o de regulación, obligaciones contractuales y en los requisitos de seguridad de la
información para el negocio de la organización.
4 Sistema de gestión de seguridad de la información
4.1 Requisitos generales
La organización deberá establecer, implementar, operar, monitorear, revisar, mantener y mejorar un SGSI
documentado en el contexto de las actividades totales de negocios de la organización y los riesgos que enfrentan.
Para los fines de la presente Norma Internacional, el proceso utilizado se basa en el modelo de PHCA (Planear-
Hacer-Comprobar-Actuar) mostrados en la Figura 1.

4.2 Establecimiento y administración del SGSI
4.2.1 Establecimiento del SGSI
La organización deberá realizar lo siguiente:
a) Definir el alcance y límites del SGSI en función de las características del negocio, la organización, su ubicación,
activos, tecnología, e incluyendo detalles y justificación de cualquier exclusión del alcance (ver 1.2).
b) Definir una política de SGSI en función de las características del negocio, la organización, su ubicación, activos
y tecnología que:
1) incluya un marco de referencia para fijar objetivos y establezca un sentido de orientación y principios
generales de acción con respecto a la seguridad de la información;
2) tome en cuenta los requisitos del negocio así como los requisitos legales o de regulación, y las
obligaciones de seguridad contractuales;
3) esté en línea con el contexto de gestión de riesgos estratégica de la organización en el que tendrá lugar el
establecimiento y mantenimiento del SGSI;
4) establezca criterios con los cuales se evalúen los riesgos (ver 4.2.1c);
5) ha sido aprobada por la Gerencia.
NOTA: Para los fines de esta Norma Internacional, la política del SGSI es considerada como un superconjunto de la política
de seguridad de la información. Estas políticas pueden describirse en un solo documento.
c) Definir el enfoque de evaluación de riesgos de la organización.
1) identificar una metodología de evaluación de riesgos que sea adecuada para el SGSI y para los requisitos
de seguridad de la información del negocio, legales y de regulación identificados.
2) preparar criterios de aceptación de riesgos e identificar los niveles de riesgo aceptables (ver 5.1f).
La metodología de evaluación de riesgos seleccionada deberá asegurar que las evaluaciones de riesgos
produzcan resultados comparables y reproducibles.
NOTA: Existen diversas metodologías de evaluación de riesgos. En ISO/IEC TR 13335-3, Tecnología de la información -
Pautas para la Gestión de Seguridad de TI - Técnicas para la Gestión de Seguridad de TI, se discuten ejemplos de
metodologías de evaluación de riesgos.
d) Identificar los riesgos.

1
1) Identificar los activos dentro del alcance del SGSI y los propietarios de esos activos.
2) Identificar las amenazas a esos activos.
3) Identificar las vulnerabilidades que podrían ser explotadas por estas amenazas.
4) Identificar los impactos que las pérdidas de confidencialidad, integridad y disponibilidad pueden tener sobre
los activos.
1
La palabra ‘propietario’ identifica al individuo o entidad que tiene responsabilidad aprobada por gerencia para controlar la
producción, desarrollo, mantenimiento, uso y seguridad de los activos. La palabra ‘propietario’ no se refiere a la persona que
realmente tiene derechos de propiedad sobre el activo.
e) Analizar y evaluar los riesgos.
1) Evaluar el impacto de negocios en la organización que podría resultar de una falla de seguridad, tomando
en cuenta las consecuencias de una pérdida de confidencialidad, integridad o disponibilidad de los activos.
2) Evaluar la probabilidad realista de que ocurra tal falla de seguridad en vista de las amenazas y
vulnerabilidades existentes, así como los impactos relacionados con estos activos, y los controles que se
estén implementando.
3) Estimar los niveles de riesgos.
4) Determinar si el riesgo es aceptable o requiere tratamiento utilizando los criterios de aceptación de riesgos
establecidos en 4.2.1c(2).
f) Identificar y evaluar opciones de tratamiento de riesgos.
Las acciones posibles incluyen:
1) aplicar controles adecuados;
2) aceptar adrede y objetivamente los riesgos, siempre y cuando satisfagan las políticas de la organización y
los criterios de aceptación de riesgos (ver 4.2.1c)2);
3) evitar riesgos;
4) transferir los riesgos de negocios relacionados a otros, por ejemplo: aseguradores, proveedores.
g) Seleccionar objetivos de control y controles para el tratamiento de los riesgos.
Los objetivos de control y controles deberán seleccionarse e implementarse para cumplir con los requisitos
identificados en el proceso de evaluación de riesgos y tratamiento de riesgos. Esta selección deberá tomar en
cuenta los criterios de aceptación de riesgos (ver 4.2.1c)) así como los requisitos legales, de regulación y
contractuales.
Los objetivos de control y los controles del Anexo A deberán seleccionarse como parte de este proceso, según
sea apropiado para cubrir estos requisitos.
Los objetivos de control y controles indicados en el Anexo A no son exhaustivos, y también pueden
seleccionarse objetivos de control y controles adicionales.
NOTA: El Anexo A contiene una amplia lista de objetivos de control y controles, que se ha encontrado son comúnmente
pertinentes en las organizaciónes. A los usuarios de esta Norma Internacional se les refiere al Anexo A como punto de
partida para la selección de controles, a fin de asegurar que no se pasen por alto opciones de control importantes.
h) Obtener la aprobación de gerencia para los riesgos residuales propuestos.
i) Obtener autorización de gerencia para implementar y operar el SGSI.
j) Preparar una Declaración de Aplicabilidad.
Se debe preparar una Declaración de Aplicabilidad que incluya lo siguiente:
1) los objetivos de control y los controles, seleccionados en 4.2.1g y los motivos para seleccionarlos;
2) los objetivos de control y controles actualmente implementados (ver 4.2.1.e)2); y
3) la exclusión de cualquier objetivo de control y de controles del Anexo A y la justificación de esa exclusión.

NOTA: La Declaración de Aplicabilidad proporciona un resumen de las decisiones referentes al tratamiento de los riesgos.
Justificar las exclusiones permite una comprobación cruzada de que no se han omitido controles inadvertidamente.
4.2.2 Implementar y operar el SGSI
La organización deberá efectuar lo siguiente:
a) Formular un plan de tratamiento de riesgos que identifique la acción, recursos, responsabilidades y prioridades
de la gerencia para manejar los riesgos de seguridad de la información (ver 5).
b) Implementar el plan de tratamiento de riesgos a fin de alcanzar los objetivos de control identificados, lo cual
incluye considerar la financiación y la asignación de funciones y responsabilidades.
c) Implementar los controles seleccionados en 4.2.1g) para cumplir con los objetivos de control.
d) Definir cómo medir la efectividad de los controles o grupos de controles seleccionados y especificar cómo
deben utilizarse estas mediciones para evaluar la eficacia del control para producir resultados comparativos y
reproducibles (ver 4.2.3c).
NOTA: La medición de la efectividad de los controles permite a gerentes y supervisores determinar cuán bien los controles
cumplen los objetivos del control.
e) Implementar programas de entrenamiento y concientización (ver 5.2.2).
f) Administrar las operaciones del SGSI.
g) Administrar recursos para el SGSI (ver 5.2).
h) Implementar procedimientos y otros controles capaces de permitir la rápida detección y respuesta a incidentes
de seguridad (ver 4.2.3).
4.2.3 Monitorear y revisar el SGSI
La organización deberá hacer lo siguiente:
a) Ejecutar el monitoreo y revisar los procedimientos y otros controles para:
1) detectar rápidamente errores en los resultados del procesamiento;
2) identificar rápidamente los intentos fallidos y los intentos exitosos de violaciones de seguridad así como los
incidentes de seguridad;
3) permitir que la gerencia determine si las actividades de seguridad delegadas al personal o implementadas
por tecnología de la información están desempeñándose según lo esperado;
4) ayudar a detectar eventos de seguridad y de esa manera prevenir incidentes de seguridad mediante el uso
de indicadores; y
5) determinar si las medidas tomadas para resolver una violación de seguridad fueron efectivas.
b) Efectuar revisiones periódicas de la eficacia del SGSI (incluyendo el cumplimiento de la política y objetivos del
SGSI, y revisión de los controles de seguridad), tomando en cuenta los resultados de las auditorias de
seguridad, incidentes de seguridad, mediciones de la efectividad, sugerencias y retroalimentación de todas las
partes interesadas.
c) Medir la efectividad de los controles para verificar que los requisitos de seguridad se han cumplido.

d) Revisar las evaluaciones de riesgos a intervalos planeados y revisar el nivel de riesgo residual y riesgo
aceptable identificado, tomando en cuenta los cambios en:
1) la organización;
2) la tecnología;
3) los objetivos y procesos de negocios;
4) las amenazas identificadas;
5) la efectividad de los controles implementados; y
6) los eventos externos, tales como cambios en el ambiente legal o de regulación, cambios en las
obligaciones contractuales, y cambios en el clima social.
e) Realizar auditorias internas del SGSI a intervalos planeados (ver 6).
NOTA: Las auditorias internas, a veces llamadas auditorias de parte, son efectuadas por la organización misma o a nombre de
ella con fines internos.
f) Efectuar un examen de gerencia del SGSI en forma periódica para asegurar que el alcance sigue siendo
adecuado y que se identifiquen mejoras en el proceso del SGSI (ver 7.1).
g) Actualizar los planes de seguridad para tomar en cuenta los resultados de las actividades de monitoreo y
revisión.
h) Registrar las acciones y eventos que podrían impactar la efectividad o desempeño del SGSI (ver 4.3.3).
4.2.4 Mantener y mejorar el SGSI
La organización deberá efectuar periódicamente lo siguiente:
a) Implementar las mejoras identificadas en el SGSI.
b) Tomar las medidas correctivas y preventivas apropiadas conforme a 8.2 y 8.3. Aplicar las lecciones
aprendidas de las experiencias de seguridad de otras organizaciones y las de la misma organización.
c) Comunicar las acciones y mejoras a todas las partes interesadas con un nivel de detalle apropiado a las
circunstancias y, según sea pertinente, acordar cómo proceder.
d) Asegurar que las mejoras alcancen los objetivos previstos.
4.3 Requisitos de documentación
4.3.1 Generalidades
La documentación deberá incluir los registros de las decisiones de gerencia, asegurar que las acciones sean
derivadas de las decisiones y políticas de gerencia, y que los resultados registrados sean reproducibles.
Es importante poder demostrar que los controles seleccionados se relacionan con los resultados del proceso de
evaluación y tratamiento de riesgos, y con la política y objetivos del SGSI.

La documentación del SGSI deberá incluir:
a) las declaraciones documentadas de la política y objetivos del SGSI (ver 4.2.1b);
b) los alcances del SGSI (ver 4.2.1a));
c) los procedimientos y controles que apoyan el SGSI;
d) la descripción de la metodología de evaluación de los riesgos (ver 4.2.1c);
e) el informe de evaluación de riesgos (ver 4.2.1c a 4.2.1g);
f) el plan de tratamiento de riesgos (ver 4.2.2b);
g) procedimientos documentados que la organización necesita para asegurar el planeamiento, operación y control
efectivos de sus procesos de seguridad de la información y describir cómo medir la efectividad de los controles
(ver 4.2.3c);
h) los registros requeridos por esta Norma Internacional (ver 4.3.3); y
i) la Declaración de Aplicabilidad.
NOTA 1: Cuando la frase “procedimiento documentado” aparece en esta Norma Internacional, significa que el procedimiento
está establecido, documentado, implementado y mantenido.
NOTA 2: La extensión de la documentación del SGSI puede diferir de una organización a otra, debido a:
- el tamaño de la organización y el tipo de sus actividades; y
- el alcance y complejidad de los requisitos de seguridad y del sistema que se administra.
NOTA 3: Los documentos y registros pueden estar en cualquier formato o tipo de medio.
4.3.2 Control de documentos
Los documentos requeridos por el SGSI deberán estar protegidos y controlados. Se deberá establecer un
procedimiento documentado para definir las acciones de gerencia necesarias para:
a) aprobar la corrección de los documentos antes de emitirlos;
b) revisar y actualizar los documentos según sea necesario y re-aprobar los documentos;
c) asegurar que se identifique los cambios y el estado actual de revisión de los documentos;
d) asegurar que las versiones pertinentes de documentos aplicables estén disponibles en los puntos de uso;
e) asegurar que los documentos permanezcan legibles y fácilmente identificables;
f) asegurar que los documentos estén disponibles para quienes los necesitan, y que se transfieran, guarden y
finalmente se eliminen según los procedimientos aplicables a su clasificación;
g) asegurar que se identifiquen los documentos de origen externo;
h) asegurar que se controle la distribución de documentos;
i) impedir el uso indebido de los documentos obsoletos; y
j) aplicarles una identificación adecuada si se les retiene por cualquier motivo.

4.3.3 Control de registros
Se deberá establecer y mantener registros para proveer evidencia de cumplimiento de los requisitos y de operación
efectiva del SGSI, los mismos que deberán estar protegidos y controlados.
El SGSI deberá tomar en cuenta cualquier requisito legal o de regulación pertinente así como las obligaciones
contractuales. Los registros deberán permanecer legibles, fácilmente identificables y recuperables. Se deberá
documentar e implementar controles para la identificación, almacenamiento, protección, recuperación, tiempo de
retención y eliminación de registros.
Se deberá mantener registros del desempeño del proceso según lo indicado en 4.2 y de todas las ocurrencias de
incidentes de seguridad importantes relativos al SGSI.
EJEMPLO
Ejemplos de registros son un libro de visitantes, informes de auditoria y formularios llenados de autorización de acceso.
5 Responsabilidad de la Dirección
5.1 Compromiso de la Dirección
La Gerencia deberá proveer evidencia de su compromiso con el establecimiento, implementación, operación,

monitoreo, revisión, mantenimiento y mejora del SGSI mediante lo siguiente:
a) estableciendo una política de SGSI;
b) asegurando que se establezcan objetivos y planes de SGSI;
c) estableciendo funciones y responsabilidades de seguridad de la información;
d) comunicando a la organización la importancia de alcanzar los objetivos de seguridad de la información y

cumpliendo con la política de seguridad de la información, sus responsabilidades según la ley y la necesidad
del mejoramiento continuo;
e) proporcionando recursos suficientes para establecer, implementar, operar, monitorear, revisar, mantener y
mejorar el SGSI (ver 5.2.1);
f) decidiendo criterios de aceptación de riesgos y de niveles de riesgo aceptables;
g) asegurando que se efectúen las auditorias internas del SGSI (ver 6); y
h) efectuando exámenes de gerencia del SGSI (ver 7).
5.2 Administración de recursos
5.2.1 Provisión de recursos
La organización deberá determinar y proveer los recursos necesarios para:
a) establecer, implementar, operar, monitorear, revisar, mantener y mejorar un SGSI;
b) asegurar que los procedimientos de seguridad de la información apoyen los requerimientos de negocios;

c) identificar y satisfacer los requisitos legales, de regulación y las obligaciones de seguridad contractuales;
d) mantener la seguridad adecuada mediante la aplicación correcta de todos los controles implementados;
e) realizar revisiones cuando sea necesario, y reaccionar debidamente a los resultados de estas revisiones; y
f) donde sea requerido, mejorar la efectividad del SGSI.
5.2.2 Entrenamiento, concientización y competencia
La organización deberá asegurar que todo el personal al que se le ha asignado responsabilidades definidas en el
SGSI sea competente para desempeñar las tareas requeridas, mediante lo siguiente:
a) determinando las competencias necesarias para el personal que ejecuta trabajo relativo al SGSI;
b) proporcionando entrenamiento o tomando otras medidas (por ejemplo, empleando personal competente) para
satisfacer estas necesidades;
c) evaluando la efectividad de las medidas tomadas; y
d) manteniendo registros de la educación, entrenamiento, especialidades, experiencia y calificaciones (ver 4.3.3).
La organización también deberá asegurar que todo el personal pertinente está conciente de la relevancia e
importancia de sus actividades de seguridad de la información, y cómo contribuyen ellos al logro de los objetivos
de SGSI.
6 Auditorias internas de SGSI

La organización deberá efectuar auditorias internas de SGSI a intervalos planeados para determinar si los objetivos
de control, controles, procesos y procedimientos de su SGSI:
a) cumplen con los requisitos de esta Norma Internacional y la legislación o reglamentos pertinentes;
b) satisfacen los requisitos de seguridad de la información identificados;
c) están implementados y mantenidos efectivamente; y
d) se desempeñan según lo esperado.
Se deberá planear un programa de auditoria, tomando en consideración el estado e importancia de los procesos y
áreas a ser auditados, así como los resultados de las auditorias previas. Deberán definirse los criterios, alcances,
frecuencia y métodos de auditoria. La selección de los auditores y la ejecución de las auditorias deberá asegurar
la objetividad e imparcialidad del proceso de auditoria. Los auditores no deberán auditar su propio trabajo.
Las responsabilidades y requisitos para planear y ejecutar auditorias, y para informar los resultados y mantener
registros (ver 4.3.3) deberán definirse en un procedimiento documentado.
La gerencia responsable del área auditada deberá asegurar que se tomen medidas sin demora indebida para
eliminar los incumplimientos detectados y sus causas. Las actividades de seguimiento deberán incluir la
verificación de las medidas tomadas y el informe de los resultados de la verificación (ver 8).
NOTA: ISO 19011:2002, Pautas para la auditoria de sistemas de gestión de calidad y/o ambiental, puede dar orientación útil
para efectuar las auditorias internas del SGSI.

7 Revisión del SGSI por la Dirección

7.1 Generalidades
La Gerencia deberá revisar el SGSI de la organización a intervalos planeados (al menos una vez al año) para
asegurar que continúa siendo apropiado, adecuado y efectivo. Esta revisión deberá incluir la evaluación de
oportunidades de mejora y la necesidad de cambios en el SGSI, incluyendo la política y los objetivos de seguridad
de la información. Los resultados de las revisiones deberán documentarse claramente y deberá mantenerse
registros (ver 4.3.3).
7.2 Entradas de la revisión
La entrada para una revisión de gerencia deberá incluir:
a) los resultados de las auditorias y revisiones del SGSI;
b) la retroalimentación de las partes interesadas;
c) las técnicas, productos o procedimientos, que podrían usarse en la organización para mejorar el desempeño y
efectividad del SGSI;
d) situación de las medidas preventivas y correctivas;
e) las vulnerabilidades o amenazas que no se enfocaron adecuadamente en la evaluación de riesgos previa;
f) los resultados de las mediciones de efectividad;
g) las medidas de seguimiento de revisiones de gerencia anteriores;
h) cualquier cambio que pudiera afectar al SGSI; y
i) recomendaciones de mejoras.
7.3 Salidas de la revisión
El resultado de la revisión de gerencia deberá incluir cualquier decisión y acción relativas a lo siguiente:
a) Mejoramiento de la efectividad del SGSI.
b) Actualización de la evaluación de riesgos y del plan de tratamiento de riesgos.
c) Modificación de los procedimientos y controles de seguridad de la información, según sea necesario, para
responder a eventos internos o externos que puedan impactar el SGSI, incluyendo cambios en:
1) los requerimientos del negocio;
2) los requisitos de seguridad;
3) procesos de negocios que afectan los requerimientos actuales del negocio;
4) requisitos de regulación o legales;
5) obligaciones contractuales; y
6) criterios de niveles de riesgo y/o de aceptación de riesgos.

d) Necesidades de recursos.
e) Mejoramiento de la medición de efectividad de los controles.
8 Mejoramiento del SGSI

8.1 Mejora continua
La organización deberá mejorar continuamente la efectividad del SGSI mediante el uso de la política de seguridad
de la información, los objetivos de seguridad de la información, resultados de auditoria, análisis de eventos
monitoreados, acciones correctivas y preventivas y la revisión de gerencia (ver 7).
8.2 Acción correctiva
La organización deberá tomar acción para eliminar la causa de los incumplimientos de los requisitos del SGSI a fin
de evitar su repetición. El procedimiento documentado de acción correctiva deberá definir los requisitos para:
a) identificar incumplimientos;
b) determinar la causa de los incumplimientos;
c) evaluar la necesidad de acciones para asegurar que no se repitan los incumplimientos;
d) determinar e implementar la acción correctiva necesaria;
e) registrar los resultados de la acción tomada (ver 4.3.3); y
f) revisar la acción correctiva tomada.
8.3 Acción preventiva
La organización deberá determinar acciones para eliminar la causa de incumplimientos potenciales de los
requisitos del SGSI a fin de evitar su ocurrencia. Las acciones preventivas tomadas deberán ser adecuadas al
impacto de los problemas potenciales. El procedimiento documentado de acción preventiva deberá definir los
requisitos para:
a) identificar los incumplimientos potenciales y sus causas;
b) evaluar la necesidad de acción para evitar la ocurrencia de incumplimientos;
c) determinar e implementar la acción preventiva necesaria;
d) registrar los resultados de la acción tomada (ver 4.3.3); y
e) revisar la acción preventiva tomada.
La organización deberá identificar los riesgos cambiados y los requerimientos de acción preventiva, enfocando la
atención en los riesgos que han cambiado significativamente. La prioridad de las acciones preventivas deberá
determinarse basado en los resultados de la evaluación de riesgos.
NOTA: La acción para evitar incumplimientos a menudo es más eficaz en costo que la acción correctiva.

Anexo A
(normativo)
Objetivos de control y controles

Los objetivos de control y los controles indicados en la Tabla A.1 se derivan directamente de aquellos indicados en las
Cláusulas 5 a 15 de ISO/IEC 17799:2005 y están en línea con ellos. Las listas de estas tablas no son exhaustivas y una
organización puede considerar que son necesarios objetivos de control y controles adicionales.
Los objetivos de control y los controles de estas tablas deberán seleccionarse como parte del proceso de SGSI especificado en
4.2.1. Las Cláusulas 5 a 15 de ISO/IEC 17799:2005 proporcionan asesoría y orientación de implementación sobre
las mejores prácticas para apoyar los controles especificados en A.5 a A.15.
Tabla A.1 - Objetivos de control y controles
A.5 Política de seguridad
A.5.1 Política de seguridad de la información

Objetivo: Proveer dirección y soporte de la dirección para la seguridad de la información conforme a los requisitos del negoci0o, las leyes y reglamentos
pertinentes.
Control
Documento de política de seguridad de la
A.5.1.1 información El documento de política de seguridad de la información deberá ser aprobado por
Gerencia, y publicado y comunicado a todos los empleados y terceros pertinentes.
Control
Revisión de la política de seguridad de la La política de seguridad de la información deberá revisarse a intervalos planeados o si
A.5.1.2 información ocurren cambios significativos, para asegurar la continuidad de su propiedad, adecuación
y efectividad.
A.6 Organización de la seguridad de la información
A.6.1 Organización interna

Objetivo: Gestionar la seguridad de la información dentro de la organización.
Control
Compromiso de la Gerencia con la seguridad de la La Gerencia deberá apoyar activamente la seguridad dentro de la organización
A.6.1.1 información mediante una dirección clara, compromiso demostrado, delegación explícita, y
reconocimiento de las responsabilidades de seguridad de la información.
Control
A.6.1.2 Coordinación de seguridad de la información Las actividades de seguridad de la información deberán coordinarse con los
representantes de diferentes partes de la organización que tengan funciones y trabajos
pertinentes.
Control
Aplicación de responsabilidades de seguridad de la
A.6.1.3 información Todas las responsabilidades de seguridad de la información deben definirse
claramente.

Control
Proceso de autorización para instalaciones de
A.6.1.4 procesamiento de información. Deberá definirse e implementarse un proceso de autorización de gerencia para nuevas
instalaciones de procesamiento de la información.
Control
A.6.1.5 Convenios de confidencialidad Los requerimientos de convenios de confidencialidad o de no divulgación que reflejen
las necesidades de la organización para protección de la información deberán ser
identificados y revisados periódicamente.
Control
A.6.1.6 Contacto con las autoridades
Deberán mantenerse contactos apropiados con las autoridades pertinentes.
Control
A.6.1.7 Contacto con los grupos de interés especial Deberán mantenerse contactos apropiados con los grupos de interés especial u otros
foros especializados de seguridad y asociaciones profesionales.
Control
Revisión independiente de la seguridad de la El enfoque de la organización a la gestión de la seguridad de la información (objetivos

A.6.1.8 información de control, controles, políticas, procesos, y procedimientos de seguridad de la
información) deberá revisarse independientemente a intervalos planeados, o cuando
ocurran cambios significativos en la implementación de la seguridad.
A.6.2 Terceros
Objetivo: Mantener la seguridad de la información y de las instalaciones de procesamiento de información de la organización, que son accesadas,
procesadas, comunicadas a terceros, o administradas por terceros.
Control
Identificación de los riesgos relacionados con Deberán identificarse los riesgos para la información e instalaciones de procesamiento
A.6.2.1 terceros. de información de la organización, provenientes de procesos de negocios que
involucran a terceros, e implementarse controles adecuados antes de conceder
acceso.
Control
A.6.2.2 Enfocar la seguridad en el trato con los clientes Deberán enfocarse todos los requisitos de seguridad identificados antes de darles a los
clientes acceso a la información o activos de la organización.
Control
Los convenios con terceros que involucren acceder, procesar, comunicar o administrar
A.6.2.3 Enfocar la seguridad en los convenios con terceros. la información o instalaciones de procesamiento de información de la organización, o
agregar productos o servicios a dichas instalaciones, deberán abarcar todos los
requisitos de seguridad pertinentes.
A.7 Gestión de activos
A.7.1 Responsabilidad por los activos

Objetivo: Alcanzar y mantener una protección adecuada de los activos de la organización.
Control
A.7.1.1 Inventario de activos Todos los activos deberán identificarse claramente y efectuarse y mantenerse un
inventario de todos los activos importantes.

Control
A.7.1.2 Propiedad de activos Toda la información y activos relacionados con instalaciones de procesamiento de
información deberán tener un ‘dueño’2 que sea un miembro designado de la
organización.
Control
A.7.1.3 Uso aceptable de los activos Deberán identificarse, documentarse e implementarse reglas para el uso aceptable de
la información y de los activos relacionados con las instalaciones de procesamiento de
información.
A.7.2 Clasificación de la información

Objetivo: Asegurar que la información reciba el nivel de protección adecuado.
Control
A.7.2.1 Pautas de clasificación La información deberá clasificarse en función de su valor, requisitos legales,
sensibilidad y criticabilidad para la organización.
Control
A.7.2.2 Rotulación y manipulación de la información Deberá prepararse e implementarse un conjunto de procedimientos adecuados para la
rotulación y manipulación de la información, de acuerdo al esquema de clasificación
adoptado por la organización.
A.8 Seguridad de los recursos humanos
A.8.1 Antes del empleo

Objetivo: Asegurar que los empleados, contratistas y usuarios de terceros entiendan sus responsabilidades y sean adecuados para las funciones en las
que se les ha considerado, así como reducir el riesgo de robo, estafa o mal uso de las instalaciones
Control
A.8.1.1 Funciones y responsabilidades Las funciones y responsabilidades de seguridad de los empleados, contratistas y
usuarios de terceros deberán definirse y documentarse de acuerdo a la política de
seguridad de información de la organización.
Control
Deberá efectuarse la verificación de antecedentes de todos los candidatos a empleo,
A.8.1.2 Tamizaje contratistas, y usuarios de terceros, conforme a las leyes, reglamentos y ética
pertinentes, y en proporción a los requisitos del negocio, la clasificación de la
información a ser accedida, y a los riesgos percibidos.
Control
Como parte de su obligación contractual, los empleados, contratistas y usuarios de
A.8.1.3 Términos y condiciones de empleo terceros deberán aceptar y firmar los términos y condiciones de su contrato de empleo,
el cual deberá indicar sus responsabilidades de seguridad de la información así como
las de la organización.
A.8.2 Durante el empleo

Objetivo: Asegurar que todos los empleados, contratistas y usuarios de terceros conozcan las amenazas y problemas de seguridad de la información, así
como sus responsabilidades y obligaciones, y estén capacitados para apoyar la política de seguridad de la organización en el curso de su trabajo normal, y
reducir el riesgo de error humano.
2
Explicación: la palabra ‘dueño’ identifica a un individuo o entidad que tiene responsabilidad aprobada por gerencia para
controlar la producción, desarrollo, mantenimiento, uso y seguridad de los activos. La palabra ‘dueño’ no se refiere a la
persona que realmente tiene derechos de propiedad sobre el activo.
Control
A.8.2.1 Responsabilidades de la Gerencia La Gerencia exigirá que los empleados, contratistas y usuarios de terceros apliquen la
seguridad de acuerdo con las políticas y procedimientos establecidos por la
organización.
Control
Concientizacion, educación y entrenamiento de Todo el personal de la organización y, cuando sea pertinente, los contratistas y
A.8.2.2 seguridad de la información usuarios de terceros, deberán recibir el entrenamiento de concientizacion adecuado y
actualizaciones periódicas de políticas y procedimientos de la organización, según
corresponda a sus funciones de trabajo.
Control
A.8.2.3 Proceso disciplinario Habrá un proceso disciplinario formal para los empleados que hayan cometido una
violación de seguridad.
A.8.3 Terminación o cambio de empleo

Objetivo: Asegurar que los empleados, contratistas y usuarios de terceros salgan de una organización o cambien de empleo en forma ordenada.
Control
A.8.3.1 Responsabilidades de terminación Deberán definirse y asignarse claramente las responsabilidades para efectuar la
terminación del empleo o cambio de empleo.
Control
A.8.3.2 Devolución de activos Todos los empleados, contratistas y usuarios de terceros deberán devolver todos los
activos de la organización en su poder al terminar su empleo, contrato o convenio.
Control
A.8.3.3 Retiro de derechos de acceso Los derechos de acceso de todos los empleados, contratistas y usuarios de terceros a
la información y a las instalaciones de procesamiento de información deberán retirarse
al terminar su empleo, contrato o convenio, o modificarse según el cambio.
A.9 Seguridad física y ambiental
A.9.1 Áreas aseguradas

Objetivo: Impedir el acceso físico no autorizado, daños e interferencias en los locales y la información de la organización.
Control
A.9.1.1 Perímetro de seguridad físico Perímetros de seguridad (barreras tales como muros, puertas controladas por tarjeta o
recepcionistas) deberán utilizarse para proteger las áreas que contienen información y
las instalaciones de procesamiento de información.
Control
A.9.1.2 Controles de ingreso físico Las áreas seguras deberán protegerse mediante controles de ingreso adecuados para
asegurar que sólo se permita el acceso del personal autorizado.
Control
A.9.1.3 Aseguramiento de oficinas, cuartos e instalaciones
Deberá diseñarse y aplicarse seguridad física para las oficinas, cuartos e instalaciones.
Control
Protección contra amenazas exteriores y
A.9.1.4 ambientales Deberá diseñarse y aplicarse protección física contra daños por incendio, inundación,
terremoto, explosión, desorden civil, y otras formas de desastres naturales o artificiales.

Control
A.9.1.5 Trabajo en áreas aseguradas Las áreas seguras deberán protegerse mediante controles de ingreso adecuados para
asegurar que sólo se permita el acceso del personal autorizado.
Control
Los puntos de acceso tales como las áreas de entrega y carga y otros puntos donde
A.9.1.6 Acceso público, áreas de entrega y carga personas no autorizadas pueden ingresar a los locales deberán controlarse y, de ser
posible, aislarse de las instalaciones de procesamiento de información para evitar el
acceso no autorizado.
A.9.2 Seguridad del equipo

Objetivo: Impedir la pérdida, daño, robo o compromiso de activos así como interrupción de las actividades de la organización.
Control
A.9.2.1 Ubicación y protección del equipo El equipo deberá ubicarse y protegerse para reducir los riesgos de amenazas y
peligros ambientales, y las oportunidades de acceso no autorizado.
Control
A.9.2.2 Servicios de soporte El equipo deberá estar protegido contra cortes de energía y otros trastornos
ocasionados por fallas en los servicios de soporte.
Control
A.9.2.3 Seguridad del cableado El cableado de energía y telecomunicaciones que conduzca datos o soporte los
servicios de información deberá estar protegido de intercepción o daño.
Control
A.9.2.4 Mantenimiento del equipo El equipo deberá mantenerse correctamente para asegurar su continua disponibilidad e
integridad.
Control
A.9.2.5 Seguridad del equipo fuera de las instalaciones Deberá aplicarse seguridad al equipo fuera de las instalaciones, teniendo en cuenta los
diversos riesgos de trabajar fuera de las instalaciones de la organización.
Control
A.9.2.6 Eliminación o reutilización segura del equipo Todos los artículos de equipo que contengan medios de almacenamiento deberán
revisarse para asegurar la remoción o sobre escritura apropiada de cualquier
información sensible y “software” autorizado antes de su eliminación.
Control
A.9.2.7 Remoción de propiedad No se sacará equipo, información o “software” fuera de las instalaciones sin previa
autorización.
A.10 Gestión de comunicaciones y operaciones
A.10.1 Procedimientos y responsabilidades operativas

Objetivo: Asegurar la correcta y segura operación de los recursos de procesamiento de información.
Control
A.10.1.1 Procedimientos operativos documentados Los procedimientos operativos deberán documentarse, mantenerse y ponerse a
disposición de todos los usuarios que los necesiten.
Control
A.10.1.2 Gestión de los cambios Se controlarán los cambios en las instalaciones y sistemas de procesamiento de
información.

Control
A.10.1.3 Separación de deberes Los deberes y áreas de responsabilidad deberán separarse para reducir las
oportunidades de modificación no autorizada o inadvertida o mal uso de los activos de
la organización.
Control
Separación de instalaciones de desarrollo, prueba
A.10.1.4 y operaciones Las instalaciones de desarrollo, prueba y operaciones deberán separarse para
reducirlos riesgos de acceso o cambios no autorizados al sistema operativo.
A.10.2 Gestión de servicios de terceros

Objetivo: Implementar y mantener el nivel adecuado de seguridad de información y servicios en línea con los convenios de servicios por terceros.
Control
A.10.2.1 Entrega de servicios Se deberá asegurar que los controles de seguridad, definiciones de servicio y niveles
de entrega incluidos en el convenio de servicios por terceros, sean implementados,
operados y mantenidos por el tercero.
Control
A.10.2.2 Monitoreo y revisión de servicios de terceros Los servicios, informes y registros suministrados por terceros deberán monitorearse y
revisarse periódicamente, y efectuarse auditorias regularmente.
Control
Deberá gestionarse los cambios en la provisión de servicios, incluyendo el
A.10.2.3 Gestión de cambios en terceros mantenimiento y mejora de las políticas, procedimientos y controles de seguridad de
información existentes, tomando en cuenta la criticabilidad de los sistemas y procesos
de negocios involucrados y la reevaluación de los riesgos.
A.10.3 Planeamiento y aceptación de sistemas

Objetivo: Minimizar el riesgo de fallas de sistemas.
Control
A.10.3.1 Gestión de la capacidad El uso de los recursos debe monitorearse y refinarse, y deben hacerse proyecciones de
las necesidades de capacidad futuras para asegurar el desempeño requerido del
sistema.
Control
A.10.3.2 Aceptación de sistemas Deberán establecerse criterios de aceptación de nuevos sistemas de información,
actualizaciones y nuevas versiones, y realizarse pruebas adecuadas de los sistemas
durante el desarrollo y antes de la aceptación.
A.10.4 Protección contra código malicioso y código móvil

Objetivo: Proteger la integridad del software y la información.
Control
A.10.4.1 Controles contra código malicioso Deberá implementarse controles de detección, prevención y recuperación para
protegerse contra código malicioso así como procedimientos adecuados de
concientización de usuarios.
Control
Cuando el uso de código móvil está autorizado, la configuración deberá asegurar que
A.10.4.2 Controles contra código móvil el código móvil autorizado opere según una política de seguridad claramente definida, y
se impedirá la ejecución de código móvil no autorizado.
A.10.5 Respaldo
Objetivo: Mantener la integridad y disponibilidad de la información y de las instalaciones de procesamiento de información
Control
A.10.5.1 Respaldo de la información Deberán hacerse copias de respaldo de la información y el “software”, y probarse
periódicamente según la política de respaldo convenida.
A.10.6 Gestión de seguridad de redes

Objetivo: Asegurar la protección de la información en redes y la protección de la infraestructura de soporte.
Control
A.10.6.1 Controles de redes Las redes deberán manejarse y controlarse debidamente, a fin de protegerse de
amenazas, y mantener la seguridad de los sistemas y aplicaciones que usan la red,
incluyendo la información en tránsito.
Control
A.10.6.2 Seguridad de los servicios de red Las características de seguridad, niveles de servicio, y requisitos de gestión de todos
los servicios de red deberán identificarse e incluirse en cualquier convenio de servicios
de red, ya sea que los servicios se provean internamente o del exterior.
A.10.7 Manipulación de medios

Objetivo: Impedir la divulgación, modificación, remoción o destrucción no autorizadas de activos, y la interrupción de las actividades de negocios.
Control
A.10.7.1 Manejo de medios removibles
Deberá haber procedimientos para el manejo de medios removibles.
Control
A.10.7.2 Eliminación de medios Los medios deberán eliminarse de modo seguro y sin riesgo de accidente cuando no
se les necesite más, usando procedimientos formales.
Control
A.10.7.3 Procedimientos de manipulación de información Deberán establecerse procedimientos para la manipulación y almacenamiento de
información, a fin de protegerla de la divulgación no autorizada o del mal uso.
Control
A.10.7.4 Seguridad de la documentación del sistema
Deberá protegerse la documentación del sistema contra el acceso no autorizado
A.10.8 Intercambio de información

Objetivo: Mantener la seguridad de la información y “software” que se intercambian dentro de una organización y con cualquier organización exterior.
Control
Políticas y procedimientos de intercambio de
A.10.8.1 información Deberán existir políticas, procedimientos y controles formales de intercambio de
información para protegerlo mediante el uso de todo tipo de facilidades de
comunicación.
Control
Convenios de intercambio
A.10.8.2 Deberán establecerse convenios para el intercambio de información y “software” entre
la organización y organismos externos.
Control
Medios físicos en tránsito
A.10.8.3 Los medios que contengan información deberán protegerse contra el acceso no
autorizado, el mal uso o corrupción durante su transporte más allá de los límites físicos
de una organización.
A.10.8.4 Mensajería electrónica Control

La información contenida en la mensajería electrónica deberá protegerse debidamente.
Control
Sistemas de información de negocios
A.10.8.5 Deberán prepararse e implementarse políticas y procedimientos para proteger la
información relacionada con la interconexión de los sistemas de información de
negocios.
A.10.9 Servicios de comercio electrónico

Objetivo: Verificar la seguridad de los servicios de comercio electrónico y su uso seguro.
Control
A.10.9.1 Comercio electrónico La información involucrada en el comercio electrónico que circula por redes públicas,
deberá protegerse de la actividad fraudulenta, objeción de contrato y de la divulgación
y modificación no autorizadas.
Control
A.10.9.2 Transacciones en línea La información involucrada en las transacciones en línea deberá protegerse para
impedir su transmisión incompleta, desviación, alteración no autorizada del mensaje,
divulgación no autorizada, y duplicación o reproducción no autorizadas del mensaje.
Control
A.10.9.3 Información disponible públicamente Deberá protegerse la integridad de la información colocada en un sistema de
disponibilidad pública para impedir su modificación no autorizada.
A.10.10 Monitoreo
Objetivo: Detectar actividades de procesamiento de información no autorizadas
Control
Los registros de auditoria que graban las actividades, excepciones, y eventos de
A.10.10.1 Registros de auditoria seguridad de la información de los usuarios deberán existir y mantenerse durante un
período convenido para asistir futuras investigaciones y en el monitoreo de control de
acceso.
Control
A.10.10.2 Monitoreo del uso del sistema Deberán establecerse procedimientos para monitorear el uso de las instalaciones de
procesamiento de información, y los resultados de las actividades de monitoreo
deberán revisarse regularmente.
Control
A.10.10.3 Protección de la información de registro Las instalaciones de registro y la información de registro deberán protegerse contra las
alteraciones y el acceso no autorizado.
Control
A.10.10.4 Registros de Administrador y operador Se deberán registrar las actividades del administrador del sistema y del operador del
sistema.
Control
A.10.10.5 Registro de fallas
Las fallas deberán registrarse, analizarse y deberán tomarse las medidas adecuadas.
Control
A.10.10.6 Sincronización de reloj Los relojes de todos los sistemas de procesamiento de información pertinentes dentro
de una organización o dominio de seguridad, deberán sincronizarse con una fuente de
tiempo exacto convenida.
A.11 Control de acceso

A.11.1 Requisito de negocios para el control de acceso

Objetivo: Controlar el acceso a la información
Control
A.11.1.1 Política de control del acceso Se deberá establecer, documentar, y revisar una política de control del acceso basada
en los requisitos de negocios y de seguridad para el acceso.
A.11.2 Gestión del acceso de usuarios

Objetivo: Asegurar el acceso de usuarios autorizados e impedir el acceso no autorizado a los sistemas de información.
Control
A.11.2.1 Inscripción de usuarios Deberá haber un procedimiento formal de inscripción y des-inscripción de usuarios
para otorgar y revocar el acceso a todos los sistemas y servicios de información.
Control
A.11.2.2 Gestión de privilegios
Deberá restringirse y controlarse la asignación y uso de privilegios.
Control
A.11.2.3 Manejo de contraseña de usuarios La asignación de contraseñas deberá controlarse mediante un proceso de manejo
formal.
Control
A.11.2.4 Revisión de derechos de acceso de usuarios La gerencia deberá revisar los derechos de acceso de usuarios a intervalos regulares
utilizando un procedimiento formal.
A.11.3 Responsabilidades de los usuarios

Objetivo: Impedir el acceso de usuario no autorizado, así como el compromiso o robo de información o de instalaciones de procesamiento de información.
Control
A.11.3.1 Uso de contraseñas Se deberá exigir a los usuarios que sigan buenas prácticas de seguridad en la
selección y uso de las contraseñas.
Control
A.11.3.2 Equipo de usuario no atendido.
Los usuarios deberán asegurar que el equipo no atendido tenga protección adecuada.
Control
A.11.3.3 Política de escritorio limpio y pantalla limpia Deberá adoptarse una política de escritorio limpio de papeles y medios de
almacenamiento removibles, y una política de pantalla limpia para instalaciones de
procesamiento de información.
A.11.4 Control del acceso a redes

Objetivo: Prevenir el acceso no autorizado a los servicios de redes.
Control
A.11.4.1 Política sobre uso de servicios de redes A los usuarios sólo deberá dárseles acceso a los servicios que están específicamente
autorizados para usar.
Control
Autenticación de usuarios para conexiones
A.11.4.2 remotas Deberán usarse métodos de autenticación apropiados para controlar el acceso de
usuarios remotos.
Control
A.11.4.3 Identificación de equipo en redes
La identificación automática de equipo deberá considerarse como un medio de

autenticar las conexiones desde lugares y equipo específicos.
Control
Protección de puertos de diagnóstico y
A.11.4.4 configuración remotos. Deberá controlarse el acceso físico y lógico a los puertos de diagnóstico y
configuración.
Control
A.11.4.5 Separación en las redes En las redes deberán separarse los grupos de servicios de información, usuarios y
sistemas de información.
Control
En redes compartidas, especialmente aquellas que se extienden más allá de los límites
A.11.4.6 Control de conexión a redes de la organización, deberá restringirse la capacidad de los usuarios para conectarse a
la red, conforme a la política de control de acceso y a los requisitos de las aplicaciones
de negocios (ver 11.1).
Control
A.11.4.7 Controles de ruteo de redes Deberá implementarse el control de ruteo de redes para asegurar que las conexiones y
los flujos de información de computadores no violen la política de control de acceso de
las aplicaciones de negocios.
A.11.5 Control de acceso al sistema operativo

Objetivo: Impedir el acceso no autorizado a los sistemas operativos
Control
A.11.5.1 Procedimientos seguros de inicio de sesión El acceso a los sistemas operativos deberá controlarse mediante un procedimiento
seguro de inicio de sesión.
Control
A.11.5.2 Identificación y autenticación de usuario Todos los usuarios deberán tener un código de idorganización único para uso personal
solamente, y deberá seleccionarse una técnica de autenticación apropiada para
fundamentar la idorganización reclamada por un usuario.
Control
A.11.5.3 Sistema de manejo de contraseñas Los sistemas de manejo de contraseñas deberán ser interactivos y deberán asegurar
contraseñas de calidad.
Control
A.11.5.4 Uso de utilitarios de sistema El uso de programas utilitarios que podrían ser capaces de cancelar los controles de
sistema y de aplicación deberá restringirse y controlarse estrictamente.
Control
A.11.5.5 Expiración de sesión
Las sesiones inactivas deberán cerrarse después de un período de inactividad definido.
Control
A.11.5.6 Limitación del tiempo de conexión Deberá usarse restricciones del tiempo de conexión para proveer seguridad adicional a
las aplicaciones de alto riesgo.
A.11.6 Control del acceso a aplicación e información

Objetivo: Impedir el acceso no autorizado a la información contenida en los sistemas de aplicaciones
Control
A.11.6.1 Restricción del acceso a la información El acceso por los usuarios a las funciones del sistema de información y aplicaciones
deberá restringirse según la política de control de acceso definida.
Control
A.11.6.2 Aislamiento de sistemas sensibles
Los sistemas sensibles deberán tener un ambiente de computación dedicado (aislado).
A.11.7 Computación móvil y teletrabajo

Objetivo: Asegura la seguridad de la información cuando se utilice computación móvil y actividades de teletrabajo
Control
A.11.7.1 Computación y comunicaciones móviles Deberá existir una política formal y adoptarse medidas de seguridad adecuadas para
protegerse contra los riesgos de usar facilidades móviles de computación y
comunicación.
Control
A.11.7.2 Teletrabajo Deberá prepararse e implementarse una política, planes y procedimientos operativos
para las actividades de teletrabajo.
A.12 Adquisición, desarrollo y mantenimiento de sistemas de información
A.12.1 Requisitos de seguridad para sistemas de información

Objetivo: Exigir que la seguridad sea parte integral de los sistemas de información
Control
A.12.1.1 Análisis y especificación de requisitos de seguridad Los enunciados de requisitos de negocios para nuevos sistemas de información, o para
mejoras de sistemas de información existentes, deberán especificar los requisitos para
controles de seguridad.
A.12.2 Procesamiento correcto en aplicaciones

Objetivo: Prevenir errores, pérdidas, modificación no autorizada o mal uso de la información en aplicaciones
Control
A.12.2.1 Validación de datos de entrada Los datos de entrada para aplicaciones deberán validarse para asegurar que estos
datos son correctos y adecuados.
Control
A.12.2.2 Control de procesamiento interno Deberán incorporarse comprobaciones de validación en las aplicaciones, para detectar
cualquier corrupción de información debido a errores de proceso o actos deliberados.
Control
A.12.2.3 Integridad del mensaje Deberán identificarse los requerimientos para asegurar la autenticidad y proteger la
integridad del mensaje en las aplicaciones, así como identificarse e implementarse los
controles apropiados.
Control
A.12.2.4 Validación de datos de salida Los datos de salida de las aplicaciones deberán validarse para asegurar que el
procesamiento de la información almacenada es correcto y adecuado a las
circunstancias.
A.12.3 Controles criptográficos

Objetivo: Proteger la confidencialidad, autenticidad o integridad de la información por medios criptográficos.
Control
A.12.3.1 Política sobre el uso de controles criptográficos Deberá prepararse e implementarse una política sobre el uso de controles
criptográficos para protección de la información.

Control
A.12.3.2 Administración de claves Deberá efectuarse la administración de claves para apoyar el uso de técnicas
criptográficas en la organización.
A.12.4 Seguridad de archivos del sistema

Objetivo: Establecer la seguridad de los archivos del sistema
Control
A.12.4.1 Control del “software” operativo Deberán existir procedimientos para controlar la instalación de “software” en los
sistemas operativos.
Control
A.12.4.2 Protección de datos de prueba del sistema Los datos de prueba deberán seleccionarse cuidadosamente, y ser protegidos y
controlados.
Control
A.12.4.3 Control del acceso a código fuente de programas
Deberá restringirse el acceso al código fuente de programas.
A.12.5 Seguridad en los procesos de desarrollo y soporte

Objetivo: Mantener la seguridad del “software” e información del sistema de aplicaciones
Control
A.12.5.1 Procedimientos de control de cambios La implementación de cambios deberá controlarse mediante el uso de procedimientos
formales de control de cambios
Control
Revisión técnica de aplicaciones después de Cuando se cambien los sistemas operativos, deberán revisarse y probarse las
A.12.5.2 cambios en el sistema operativo aplicaciones de negocios críticas para asegurar que no existe impacto negativo en las
operaciones o seguridad de la organización.
Control
A.12.5.3 Restricciones a cambios en paquetes de “software” Deberá desalentarse las modificaciones a los paquetes de “software”, limitarse a los
cambios necesarios, y todos los cambios deberán controlarse estrictamente.
Control
A.12.5.4 Filtraciones de información
Deberá evitarse las ocasiones de filtración de información.
Control
A.12.5.5 Desarrollo de programas por terceros La organización deberá supervisar y monitorear el desarrollo de programas por
terceros.
A.12.6 Gestión de vulnerabilidades técnicas

Objetivo: Reducir los riesgos resultantes de la explotación de vulnerabilidades técnicas publicadas.
Control
A.12.6.1 Control de vulnerabilidades técnicas Deberá obtenerse información oportuna sobre las vulnerabilidades técnicas de los
sistemas de información en uso, evaluarse la exposición de la organización a esas
vulnerabilidades, y tomarse medidas adecuadas para resolver el riesgo relacionado.
A.13 Gestión de incidentes de seguridad de la información
A.13.1 Reportes de eventos y debilidades de seguridad de la información

Objetivo: Asegurar que los eventos y debilidades de la seguridad de la información asociadas con los sistemas de información sean comunicados de tal

manera que se tomen las acciones correctivas oportunamente.
Control
Reportes de eventos de seguridad de la
A.13.1.1 información Los eventos de seguridad de la información deberán reportarse por medio de los
canales de gerencia apropiados tan pronto como sea posible.
Control
A.13.1.2 Reportes de debilidades de seguridad Los eventos de seguridad de la información deberán reportarse por medio de los
canales de gerencia apropiados tan pronto como sea posible.
A.13.2 Gestión de incidentes y mejoras de seguridad de la información

Objetivo: Verificar que se aplique un enfoque uniforme y efectivo a la gestión de la seguridad de la información.
Control
A.13.2.1 Responsabilidades y procedimientos Deberán establecerse responsabilidades y procedimientos de gerencia para asegurar
la respuesta rápida, efectiva y ordenada a los incidentes de seguridad de la
información.
Control
Aprendiendo de los incidentes de seguridad de la
A.13.2.2 información Deberán existir mecanismos en ejecución que permitan cuantificar y monitorear los
tipos, volúmenes, y costos de los incidentes de seguridad de la información.
Control
Cuando la acción de seguimiento contra una persona o organización después de un
A.13.2.3 Recolección de evidencia incidente de seguridad de la información involucre medidas legales (ya sea civiles o
penales), deberá recolectarse, retenerse y presentarse evidencia de conformidad con
las reglas de prueba establecidas en la legislación pertinente.
A.14 Gestión de la continuidad de negocios
A.14.1 Aspectos de seguridad de la información en la gestión de la continuidad de negocios

Objetivo: Contrarrestar las interrupciones de las actividades de negocios y proteger los procesos de negocio críticos de los efectos de fallas o desastres
mayores de los sistemas de información, y asegurar su oportuna reanudación.
Control
Incluir seguridad de la información en el proceso de Deberá desarrollarse y mantenerse un proceso gestionado de continuidad del negocio
A.14.1.1 gestión de la continuidad de negocios en toda la organización, que se encargue de los requerimientos de seguridad de la
información necesarios para la continuidad del negocio de la organización.
Control
A.14.1.2 Continuidad de negocios y evaluación de riesgos Deberá identificarse los eventos que pueden causar interrupciones a los procesos de
negocios, junto con la probabilidad e impacto de tales interrupciones y sus
consecuencias para la seguridad de la información.
Control
Desarrollo e implementación de planes de
A.14.1.3 continuidad incluyendo seguridad de la Deberá prepararse e implementarse planes para mantener o restaurar las operaciones
información. y asegurar la disponibilidad de información al nivel requerido y en las escalas de tiempo
requeridas luego de la interrupción o falla de procesos de negocios críticos.
Control
Marco de planeamiento de la continuidad de los
A.14.1.4 negocios Deberá mantenerse un solo marco de planes de continuidad de negocios para
asegurar que todos los planes sean concordantes, para enfocar de modo uniforme los
requerimientos de seguridad de la información, y para identificar prioridades de prueba

y mantenimiento.
Control
Prueba, mantenimiento y reevaluación de planes
A.14.1.5 de continuidad de los negocios Los planes de continuidad de los negocios deberán probarse y actualizarse
regularmente para asegurar que estén al día y sean efectivos.
A.15 Cumplimiento
A.15.1 Cumplimiento de requisitos legales

Objetivo: Evitar violaciones de cualquier ley u obligación estatutaria, de regulación o contractual, y de cualquier requisito de seguridad.
Control
A.15.1.1 Identificación de la legislación aplicable Deberá definirse, documentarse y mantenerse al día explícitamente todos los requisitos
estatutarios, de regulación y contractuales pertinentes y el enfoque de la organización
para cumplirlos, para cada sistema de información en la organización.
Control
Deberá implementarse procedimientos apropiados para asegurar el cumplimiento de
A.15.1.2 Derechos de propiedad intelectual (DPI) los requisitos legislativos, de regulación y contractuales sobre el uso del material
respecto al cual puedan existir derechos de propiedad intelectual y sobre el uso de
productos de “software” propietario.
Control
A.15.1.3 Protección de los registros de la organización Los registros importantes deberán protegerse de pérdida, destrucción y falsificación, de
conformidad con los requisitos estatutarios, de regulación, contractuales y de negocios.
Control
Protección de datos y privacidad de la información La protección y privacidad de los datos deberá asegurarse como sea necesario
A.15.1.4 personal mediante la legislación y reglamentos pertinentes y, si corresponde, mediante las
cláusulas contractuales.
Control
Prevención del mal uso de las instalaciones de
A.15.1.5 procesamiento de información A los usuarios se les deberá disuadir de utilizar las instalaciones de procesamiento de
información para fines no autorizados.
Control
A.15.1.6 Reglamentación de los controles criptográficos Los controles criptográficos deberán usarse cumpliendo con todos los convenios, leyes,
y reglamentos pertinentes.
A.15.2 Cumplimiento de las políticas y normas de seguridad, y cumplimiento técnico

Objetivo: Asegurar que los sistemas cumplan con las políticas y normas de seguridad de la organización
Control
Cumplimiento de las políticas y normas de Los gerentes deberán asegurar que todos los procedimientos de seguridad dentro de
A.15.2.1 seguridad sus áreas de responsabilidad se efectúan correctamente para lograr el cumplimiento de
las políticas y normas de seguridad.
Control
A.15.2.2 Comprobación del cumplimiento técnico Deberá comprobarse regularmente el cumplimiento de las normas de implementación
de seguridad en los sistemas de información.

A.15.3 Consideraciones de auditoria de sistemas de información

Objetivo: Maximizar la efectividad del proceso de auditoria de sistemas de información y minimizar la interferencia de dicho proceso.
Control
Controles de auditoria de sistemas de Los requerimientos y actividades de auditoria que involucren comprobaciones de los
A.15.3.1 información sistemas operativos deberán planearse y acordarse cuidadosamente para minimizar el
riesgo de perturbaciones a los procesos de negocios.
Control
Protección de las herramientas de auditoria
A.15.3.2 de sistemas de información Deberá protegerse el acceso a las herramientas de auditoria de sistemas de
información para impedir cualquier posible mal uso o compromiso.

Anexo B
(informativo)
Los principios de la OCDE y esta Norma Internacional

Los principios suministrados en las Pautas de la OCDE (Organización de Cooperación y Desarrollo Económico)
para la Seguridad de Sistemas y Redes de Información (1) se aplican a todos los niveles de política y operativos
que gobiernan la seguridad de los sistemas y redes de información. Esta Norma Internacional proporciona un
marco de referencia de sistema de gestión de seguridad de la información para implementar algunos de los
principios de la OCDE, utilizando el modelo de PHCA y los procesos descritos en las Cláusulas 4, 5, 6 y 8, según
se indica en la Tabla B.1.
Tabla B.1 - Principios de la OCDE y el modelo PHCA
Principio de la OCDE Proceso de SGSI y Fase PHCA correspondientes

Concientización Esta actividad es parte de la fase Hacer (ver 4.2.2 y 5.2.2).
Los participantes deben tener conciencia de la necesidad de seguridad
en los sistemas y redes de información y de lo que pueden hacer para
mejorarla.
Responsabilidad Esta actividad es parte de la fase Hacer (ver 4.2.2 y 5.1).
Todos los participantes son responsables de la seguridad de los
sistemas y redes de información
Respuesta Esto es en parte una actividad de monitoreo de la fase Comprobar (ver 4.2.3 y
Los participantes deben actuar de manera oportuna y cooperativa para 6 a 7.3, y una actividad de respuesta de la fase Actuar (ver 4.2.4 y 8.1 a 8.3).
prevenir, detectar y responder a los incidentes de seguridad. Esto puede ser cubierto también por algunos aspectos de las fases de Planear
y Comprobar.
Evaluación de riesgos Esta actividad es parte de la fase Planear (ver 4.2.1) y la reevaluación de
Los participantes deben efectuar evaluaciones de riesgos riesgos es parte de la fase Comprobar (ver 4.2.3 y 6 a 7.3).
Diseño e implementación de la seguridad Una vez efectuada la evaluación de riesgos, se seleccionan controles para el
Los participantes deben incorporar la seguridad como elemento esencial tratamiento de riesgos como parte de la fase Planear (ver 4.2.1). A
de los sistemas y redes de información. continuación la fase Hacer (ver 4.2.2 y 5.2) cubre la implementación y el uso
operativo de estos controles
Gestión de la seguridad La gestión del riesgo es un proceso que incluye la prevención, detección y
Los participantes deben adoptar un enfoque total de gestión de la respuesta a los incidentes, mantenimiento permanente, revisión y auditoria.
seguridad Todos estos aspectos se abarcan en las fases Planear, Hacer, Comprobar y
Actuar.
Reevaluación La reevaluación de la seguridad de la información es parte de la fase
Los participantes deben revisar y reevaluar la seguridad de los sistemas Comprobar (ver 4.2.3 y 6 a 7.3), en la cual deben efectuarse revisiones
y redes de información, y hacer las modificaciones adecuadas a las regulares para verificar la efectividad del sistema de gestión de seguridad de la
políticas, prácticas, medidas y procedimientos de seguridad. información, y el mejoramiento de la seguridad es parte de la fase Actuar (ver
4.2.4 y 8.1 a 8.3).

Anexo C
(informativo)
Correspondencia entre ISO 9001:2000, ISO 14001:2004 y la presente

Norma Internacional
La Tabla C.1 muestra la correspondencia entre ISO 9001:2000, ISO 14001:2004 y la presente Norma
Internacional.
Tabla C.1 - Correspondencia entre ISO 9001:2000, ISO 14001:2004 y la presente Norma
Esta Norma Internacional ISO 9001:2000 ISO 14001:2004

Introducción 0 Introducción Introducción
Generalidades 0.1 Generalidades
Enfoque de proceso 0.2 Enfoque de proceso
Compatibilidad con otros sistemas de gestión 0.3 Relación con ISO 9004
0.4 Compatibilidad con otros sistemas de gestión

1 Alcance 1 Alcance 1 Alcance
1.1 Generalidades 1.1 Generalidades
1.2 Aplicación 1.2 Aplicación

2 Referencias normativas 2 Referencia normativa 2 Referencia normativa
3 Términos y definiciones 3 Términos y definiciones 3 Términos y definiciones

4 Sistema de gestión de seguridad de la 4 Sistema de gestión de la calidad 4 Requisitos de EMS
información
4.1 Requisitos generales 4.1 Requisitos generales 4.1 Requisitos generales
4.2 Establecer y gestionar el SGSI
4.2.1 Establecer el SGSI
4.2.2 Implementar y operar el SGSI 4.4 Implementación y operación
4.2.3 Monitorear y revisar el SGSI 8.2.3 Monitoreo y medición de procesos 4.5.1 Monitoreo y medición
4.2.4 Mantener y mejorar el SGSI 8.2.4 Monitoreo y medición del producto
4.3 Requisitos de documentación 4.2 Requisitos de documentación
4.3.1 Generalidades 4.2.1 Generalidades
4.2.2 Manual de calidad
4.3.2 Control de documentos 4.2.3 Control de documentos 4.4.5 Control de documentos
4.3.3 Control de registros 4.2.4 Control de registros 4.5.4 Control de registros

Esta Norma Internacional ISO 9001:2000 ISO 14001:2004

5 Responsabilidad de la gerencia 5 Responsabilidad de la gerencia
5.1 Compromiso de la gerencia 5.1 Compromiso de la gerencia
5.2 Enfoque de cliente
5.3 Política de calidad 4.2 Política ambiental
5.4 Planeamiento 4.3 Planeamiento
5.5 Responsabilidad, autoridad y comunicación

5.2 Gestión de recursos 6 Gestión de recursos
5.2.1 Provisión de recursos 6.1 Provisión de recursos
6.2 Recursos humanos
5.2.2 Entrenamiento, concientización y 6.2.2 Competencia, concientización y 4.4.2 Competencia, entrenamiento y

competencia entrenamiento concientización
6.3 Infraestructura
6.4 Ambiente de trabajo

6 Auditorias internas del SGSI 8.2.2 auditoria interna 4.5.5 auditoria interna
7 Examen de gerencia del SGSI 5.6 Examen de gerencia 4.6 Examen de gerencia
7.1 Generalidades 5.6.1 Generalidades
7.2 Entrada de revisión 5.6.2 Entrada de revisión
7.3 Resultado de revisión 5.6.3 Resultado de revisión
8 Mejoramiento del SGSI 8.5 Mejoramiento
8.1 Mejoramiento continuo 8.5.2 Mejoramiento continuo

4.5.3 Incumplimiento, medida correctiva y
8.2 Medida correctiva 8.5.3 Medidas correctivas medida preventiva
8.3 Medida preventiva 8.5.3 Medidas preventivas
Anexo A Objetivos de control y controles Anexo A Orientación para el uso de esta
Norma Internacional
Anexo B Principios de la OCDE y la presente
Norma Internacional
Anexo C Correspondencia entre ISO Anexo A Correspondencia entre ISO Anexo B Correspondencia entre ISO
9001:2000, ISO 14001:2004 y la presente 9001:2000 e ISO 14001:1996 14001:2004 e ISO 9001:2000
Norma Internacional

Bibliografía
Publicaciones de Normas
[1] ISO 9001:2000, Quality management systems — Requirements
[2] ISO/IEC 13335-1:2004, Information technology — Security techniques — Management of information

and communications technology security — Part 1: Concepts and models for information and
communications technology security management
[3] ISO/IEC TR 13335-3:1998, Information technology — Guidelines for the management of IT Security —
Part 3: Techniques for the management of IT security
[4] ISO/IEC TR 13335-4:2000, Information technology — Guidelines for the management of IT Security —
Part 4: Selection of safeguards
[5] ISO 14001:2004, Environmental management systems — Requirements with guidance for use
[6] ISO/IEC TR 18044:2004, Information technology — Security techniques — Information security

incident management
[7] ISO 19011:2002, Guidelines for quality and/or environmental management systems auditing
[8] ISO/IEC Guide 62:1996, General requirements for bodies operating assessment and
certification/registration of quality systems
[9] ISO/IEC Guide 73:2002, Risk management — Vocabulary — Guidelines for use in standards
Otras publicaciones
[1] OECD, Guidelines for the Security of Information Systems and Networks — Towards a Culture of
Security. Paris: OECD, July 2002. www.oecd.org
[2] NIST SP 800-30, Risk Management Guide for Information Technology Systems
[3] Deming W.E., Out of the Crisis, Cambridge, Mass: MIT, Center for Advanced Engineering Study, 1986

Norma ISO 27001-2005 Español

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Norma ISO 27001-2005 Español

Cargado por

Copyright:

Formatos disponibles

BORRADOR

FINAL NORMA ISO/IEC

Secretaría: ANSI Tecnología de la Información

Consulte las notas administrativas que aparecen en la página iii

SE INVITA A LOS DESTINATARIOS DE ESTE

Descargo de responsabilidad de PDF

Adobe es una marca de fábrica de Adobe Systems Incorporated.

Aviso de derechos de Autor

ISO copyright office

La reproducción puede estar sujeta al pago de regalías o un convenio de licencia.

Los infractores serán objeto de acciones legales.

ISO/IEC 2005 – All rights reserved 2

ISO/IEC 2005 – All rights reserved 3

ISO/IEC 2005 – All rights reserved 4

0.2 Enfoque de Proceso

a) la comprensión de los requisitos de seguridad de la información de una organización y la necesidad de

c) monitorear y revisar el desempeño y efectividad del SGSI; y

d) mejoramiento continuo basado en la medición de los objetivos.

Esta Norma Internacional adopta el modelo de proceso “Planear-Hacer-Comprobar-Actuar” (PHCA), el cual se

ISO/IEC 2005 – All rights reserved 5

Figura 1 – PHCA aplicado a los procesos de SGSI

Establecer la política, objetivos, procesos y procedimientos del SGSI pertinentes

Comprobar Evaluar y, donde corresponda, medir el desempeño del proceso según la

Actuar Tomar medidas correctivas y preventivas, basado en los resultados de la

0.3 Compatibilidad con otros Sistemas de Gestión

ISO/IEC 2005 – All rights reserved 6

ISO/IEC 17799:2005, Tecnología de la Información — Técnicas de Seguridad — Código de práctica para la

ISO/IEC 2005 – All rights reserved 7

ISO/IEC 2005 – All rights reserved 8

4 Sistema de gestión de seguridad de la información

4.1 Requisitos generales

ISO/IEC 2005 – All rights reserved 9

4.2.1 Establecimiento del SGSI

La organización deberá realizar lo siguiente:

5) ha sido aprobada por la Gerencia.

c) Definir el enfoque de evaluación de riesgos de la organización.

d) Identificar los riesgos.

2) Identificar las amenazas a esos activos.

3) Estimar los niveles de riesgos.

f) Identificar y evaluar opciones de tratamiento de riesgos.

Las acciones posibles incluyen:

1) aplicar controles adecuados;

g) Seleccionar objetivos de control y controles para el tratamiento de los riesgos.

h) Obtener la aprobación de gerencia para los riesgos residuales propuestos.

i) Obtener autorización de gerencia para implementar y operar el SGSI.

j) Preparar una Declaración de Aplicabilidad.

Se debe preparar una Declaración de Aplicabilidad que incluya lo siguiente:

2) los objetivos de control y controles actualmente implementados (ver 4.2.1.e)2); y

ISO/IEC 2005 – All rights reserved 11

4.2.2 Implementar y operar el SGSI

La organización deberá efectuar lo siguiente:

e) Implementar programas de entrenamiento y concientización (ver 5.2.2).

f) Administrar las operaciones del SGSI.

g) Administrar recursos para el SGSI (ver 5.2).

4.2.3 Monitorear y revisar el SGSI

La organización deberá hacer lo siguiente:

a) Ejecutar el monitoreo y revisar los procedimientos y otros controles para:

1) detectar rápidamente errores en los resultados del procesamiento;

ISO/IEC 2005 – All rights reserved 12

3) los objetivos y procesos de negocios;

4) las amenazas identificadas;

5) la efectividad de los controles implementados; y

e) Realizar auditorias internas del SGSI a intervalos planeados (ver 6).

4.2.4 Mantener y mejorar el SGSI