Documentos de Académico
Documentos de Profesional
Documentos de Cultura
.
n os
ciò ic
uc èm
INTRODUCCIÓN
0.1 GENERALIDADES
od ad
pr ac
Esta Norma Internacional ha sido elaborada para suministrar requisitos para el
establecimiento, implementación, mantenimiento y mejora continua de un sistema de
gestión de la seguridad de la información. La adopción de un sistema de gestión de
re os
seguridad de la información es una decisión estratégica para una organización. El
establecimiento e implementación del sistema de gestión de la seguridad de la
información de una organización están influenciados por las necesidades y objetivos de la
su sit
organización, los requisitos de seguridad, los procesos organizacionales empleados, y el
tamaño y estructura de la organización. Se espera que todos estos factores de influencia
da pò
La presente Norma Internacional puede ser usada por partes internas y externas para
evaluar la capacidad de la organización para cumplir los requisitos de seguridad la propia
organización.
.
El orden en que se presentan los requisitos en esta Norma Internacional no refleja su
n os
importancia ni el orden en el que se van a implementar. Los elementos de la lista se
enumeran solamente para propósitos de referencia.
ciò ic
La ISO/IEC 27000 describe la visión general y el vocabulario de sistemas de gestión de la
uc èm
seguridad de la información, y referencia la familia de normas de sistemas de gestión de
la seguridad de la información (incluidas las ISO/IEC 27003[2], ISO/IEC 27004[3] y
ISO/IEC 27005[4]), con los términos y definiciones relacionadas.
od ad
pr ac
0.2 COMPATIBILIDAD CON OTRAS NORMAS DE SISTEMAS DE GESTIÓN
Esta Norma Internacional aplica la estructura de alto nivel, títulos idénticos de apartados,
re os
texto idéntico, términos comunes y definiciones esenciales definidas en el Anexo SL de
las Directivas ISO/IEC, Parte 1, Suplemento ISO consolidado, y por tanto, mantiene la
compatibilidad con otras normas de sistemas de gestión que han adoptado el Anexo SL.
su sit
Este enfoque común definido en el Anexo SL será útil para aquellas organizaciones que
da pò
Esta Norma Internacional especifica los requisitos para establecer, implementar, mantener
Pr co
2. REFERENCIAS NORMATIVAS
3. TÉRMINOS Y DEFINICIONES
.
n os
Para los propósitos de este documento se aplican los términos y definiciones presentados
en la norma ISO/IEC 27000.
ciò ic
4 CONTEXTO DE LA ORGANIZACIÓN
uc èm
4.1 CONOCIMIENTO DE LA ORGANIZACIÓN Y DE SU CONTEXTO
od ad
La organización debe determinar las cuestiones externas e internas que son pertinentes
para su propósito y que afectan su capacidad para lograr los resultados previstos de su
pr ac
sistema de gestión de la seguridad de la información.
NOTA La determinación de estas cuestiones hace referencia a establecer el contexto externo e interno de la
re os
organización, considerado en el apartado 5.3 de la ISO 31000:2009[5].
su sit
4.2 COMPRENSIÓN DE LAS NECESIDADES Y EXPECTATIVAS DE LAS PARTES
INTERESADAS
da pò
NOTA Los requisitos de las partes interesadas pueden incluir los requisitos legales y de reglamentación, y las
obligaciones contractuales.
ial
SEGURIDAD DE LA INFORMACIÓN
c) las interfaces y dependencias entre las actividades realizadas por la organización, y las
que realizan otras organizaciones.
PROYECTO DE
NORMA TÉCNICA COLOMBIANA NTC DE 294-13
.
n os
4.4 SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
ciò ic
La organización debe establecer, implementar, mantener y mejorar continuamente un
uc èm
sistema de gestión de la seguridad de la información, de acuerdo con los requisitos de
esta Norma Internacional.
od ad
5 LIDERAZGO
pr ac
5.1 LIDERAZGO Y COMPROMISO
resultados previstos;
5.2 POLÍTICA
PROYECTO DE
NORMA TÉCNICA COLOMBIANA NTC DE 294-13
.
referencia para el establecimiento de los objetivos de la seguridad de la información;
n os
c) incluya el compromiso de cumplir los requisitos aplicables relacionados con la
ciò ic
seguridad de la información; y
uc èm
d) incluya el compromiso de mejora continua del sistema de gestión de la seguridad de la
información.
od ad
La política de la seguridad de la información debe:
pr ac
e) estar disponible como información documentada;
La alta dirección debe asegurarse de que las responsabilidades y autoridades para los
ibi pro
de la información.
ter
NOTA La alta dirección también puede asignar responsabilidades y autoridades para informar sobre el
desempeño del sistema de gestión de la seguridad de la información dentro de la organización.
Ma
6 PLANIFICACIÓN
6.1.1 Generalidades
.
n os
c) lograr la mejora continua.
ciò ic
La organización debe planificar:
uc èm
d) las acciones para tratar estos riesgos y oportunidades; y
e) la manera de:
od ad
1) integrar e implementar estas acciones en sus procesos del sistema de gestión
pr ac
de la seguridad de la información,
re os
2) evaluar la eficacia de estas acciones.
su sit
6.1.2 Evaluación de riesgos de la seguridad de la información
da pò
.
n os
3) determinar los niveles de riesgo;
ciò ic
c) evalúe los riesgos de seguridad de la información:
uc èm
1) comparar los resultados del análisis de riesgos con los criterios de riesgo
establecidos en 6.1.2 a) y
od ad
2) priorizar los riesgos analizados para el tratamiento de riesgos.
pr ac
La organización debe conservar información documentada acerca del proceso de
evaluación de riesgos de la seguridad de la información.
re os
6.1.3 Tratamiento de riesgos de la seguridad de la información
su sit
La organización debe definir y aplicar un proceso de tratamiento de riesgos de la
seguridad de la información para:
da pò
b) determinar todos los controles que sean necesarios para implementar las opciones
escogidas para el tratamiento de riesgos de la seguridad de la información;
oh n
Pr co
NOTA Las organizaciones pueden diseñar los controles necesarios, o identificarlos de cualquier fuente.
c) comparar los controles determinados en 6.1.3 b) con los del Anexo A, y verificar que no
ial
NOTA 1 El Anexo A contiene una lista amplia de objetivos de control y controles. Se invita a los usuarios de
ter
esta Norma Internacional a consultar el Anexo A, para asegurar que no se pasen por alto los controles
necesarios.
Ma
NOTA 2 Los objetivos de control están incluidos implícitamente en los controles escogidos. Los objetivos de
control y los controles enumerados en el Anexo A no son exhaustivos, y pueden ser necesarios objetivos de
control y controles adicionales.
f) obtener, de parte de los dueños de los riesgos, la aprobación del plan de tratamiento de
riesgos de la seguridad de la información, y la aceptación de los riesgos residuales de la
seguridad de la información.
.
tratamiento de riesgos de la seguridad de la información.
n os
NOTA El proceso de evaluación y tratamiento de riesgos de la seguridad de la información que se presenta en
ciò ic
esta Norma Internacional se alinea con los principios y directrices genéricas suministradas en la ISO 31000[5].
uc èm
6.2 OBJETIVOS DE SEGURIDAD DE LA INFORMACIÓN Y PLANES PARA
LOGRARLOS
od ad
La organización debe establecer los objetivos de seguridad de la información en las
funciones y niveles pertinentes.
pr ac
Los objetivos de seguridad de la información deben:
re os
a) ser coherentes con la política de seguridad de la información;
su sit
b) ser medibles (si es posible);
da pò
d) ser comunicados; y
seguridad de la información.
f) lo que se va a hacer;
Ma
i) cuándo se finalizará; y
7 SOPORTE
PROYECTO DE
NORMA TÉCNICA COLOMBIANA NTC DE 294-13
7.1 RECURSOS
.
n os
7.2 COMPETENCIA
ciò ic
La organización debe:
uc èm
a) determinar la competencia necesaria de las personas que realizan, bajo su control, un
trabajo que afecta su desempeño de la seguridad de la información, y
od ad
b) asegurarse de que estas personas sean competentes, basándose en la educación,
pr ac
formación o experiencia adecuadas;
c) cuando sea aplicable, tomar acciones para adquirir la competencia necesaria y evaluar
re os
la eficacia de las acciones tomadas; y
Las personas que realizan el trabajo bajo el control de la organización deben tomar
oh n
conciencia de:
Pr co
seguridad de la información.
7.4 COMUNICACIÓN
a) el contenido de la comunicación;
b) cuándo comunicar;
PROYECTO DE
NORMA TÉCNICA COLOMBIANA NTC DE 294-13
c) a quién comunicar;
.
e) los procesos para llevar a cabo la comunicación.
n os
ciò ic
7.5 INFORMACIÓN DOCUMENTADA
uc èm
7.5.1 Generalidades
od ad
a) la información documentada requerida por esta Norma Internacional; y
pr ac
b) la información documentada que la organización ha determinado que es necesaria para
la eficacia del sistema de gestión de la seguridad de la información.
re os
NOTA El alcance de la información documentada para un sistema de gestión de la seguridad de la
información puede ser diferente de una organización a otra, debido a:
su sit
a) el tamaño de la organización y a su tipo de actividades, procesos, productos y
da pò
servicios,
b) el formato (por ejemplo, idioma, versión del software, gráficos) y sus medios de soporte
Ma
.
actividades, según sea aplicable:
n os
c) distribución, acceso, recuperación y uso;
ciò ic
d) almacenamiento y preservación, incluida la preservación de la legibilidad;
uc èm
e) control de cambios (por ejemplo, control de versión); y
od ad
f) retención y disposición.
pr ac
La información documentada de origen externo, que la organización ha determinado que
es necesaria para la planificación y operación del sistema de gestión de la seguridad de la
información, se debe identificar y controlar, según sea adecuado.
re os
NOTA El acceso implica una decisión concerniente al permiso solamente para consultar la información
documentada, o el permiso y la autoridad para consultar y modificar la información documentada, etc.
su sit
da pò
8 OPERACIÓN
ibi pro
cumplir los requisitos y para implementar las acciones determinadas en el apartado 6.1.
La organización también debe implementar planes para lograr los objetivos de la
Pr co
tener la confianza en que los procesos se han llevado a cabo según lo planificado.
ter
sea necesario.
.
8.3 TRATAMIENTO DE RIESGOS DE LA SEGURIDAD DE LA INFORMACIÓN
n os
La organización debe implementar el plan de tratamiento de riesgos de la seguridad de la
ciò ic
información.
uc èm
La organización debe conservar información documentada de los resultados del
tratamiento de riesgos de la seguridad de la información.
od ad
9 EVALUACIÓN DEL DESEMPEÑO
pr ac
9.1 SEGUIMIENTO, MEDICIÓN, ANÁLISIS Y EVALUACIÓN
re os
La organización debe evaluar el desempeño de la seguridad de la información y la
eficacia del sistema de gestión de la seguridad de la información.
su sit
La organización debe determinar:
da pò
a) a qué es necesario hacer seguimiento y qué es necesario medir, incluidos los procesos
y controles de la seguridad de la información;
ibi pro
b) los métodos de seguimiento, medición, análisis y evaluación, según sea aplicable, para
asegurar resultados válidos;
oh n
NOTA Para ser considerados válidos, los métodos seleccionados deberían producir resultados comparables y
Pr co
reproducibles.
a) es conforme con:
.
n os
2) los requisitos de esta Norma Internacional;
ciò ic
b) está implementado y mantenido eficazmente.
uc èm
La organización debe:
od ad
incluyan la frecuencia, los métodos, las responsabilidades, los requisitos de planificación,
y la elaboración de informes. Los programas de auditoría deben tener en cuenta la
pr ac
importancia de los procesos involucrados y los resultados de las auditorías previas;
y
ibi pro
b) los cambios en las cuestiones externas e internas que sean pertinentes al sistema de
gestión de la seguridad de la información;
3) resultados de la auditoría; y
.
n os
e) resultados de la evaluación de riesgos y estado del plan de tratamiento de riesgos; y
ciò ic
f) las oportunidades de mejora continua.
uc èm
Los elementos de salida de la revisión por la dirección deben incluir las decisiones
relacionadas con las oportunidades de mejora continua y cualquier necesidad de cambio
en el sistema de gestión de la seguridad de la información.
od ad
La organización debe conservar información documentada como evidencia de los
pr ac
resultados de las revisiones por la dirección.
10 re os
MEJORA
1) la revisión de la no conformidad
ter
Las acciones correctivas deben ser apropiadas a los efectos de las no conformidades
encontradas.
PROYECTO DE
NORMA TÉCNICA COLOMBIANA NTC DE 294-13
.
g) los resultados de cualquier acción correctiva.
n os
ciò ic
10.2 MEJORA CONTINUA
uc èm
La organización debe mejorar continuamente la idoneidad, adecuación y eficacia del
sistema de gestión de la seguridad de la información.
od ad
pr ac
re os
su sit
da pò
ibi pro
oh n
Pr co
ial
ter
Ma
PROYECTO DE
NORMA TÉCNICA COLOMBIANA NTC DE 294-13
Anexo A
(Normativo)
Objetivos de control y controles de referencia
.
Los objetivos de control y controles enumerados en la Tabla A.1 se obtienen directamente
n os
de la ISO/IEC 27002:2013[1], apartados 5 a 18 y están alineados con ella, y se deben
usar en contexto con el apartado 6.1.3.
ciò ic
Tabla A.1. Objetivos de control y controles
uc èm
A.5 Políticas de la seguridad de la información
od ad
A.5.1 Orientación de la dirección para la gestión de seguridad de la información
pr ac
Objetivo: Brindar orientación y soporte, por parte de la dirección, para la seguridad de la
información de acuerdo con los requisitos del negocio y con las leyes y reglamentos
pertinentes.
A.5.1.1
re os Políticas para la seguridad Control
su sit
de la información Se debe definir un
conjunto de políticas para
la seguridad de la
da pò
comunicada a los
empleados y partes
externas pertinentes.
oh n
Pr co
información se deben
revisar a intervalos
ter
planificados, o si ocurren
cambios significativos,
para asegurar su
Ma
idoneidad, adecuación y
eficacia continuas.
.
seguridad de la
n os
información.
ciò ic
A.6.1.2 Separación de deberes Control
Las tareas y áreas de
uc èm
responsabilidad en
conflicto se deben separar
para reducir las
od ad
posibilidades de
modificación no
pr ac
autorizada o no
intencional, o el uso
indebido de los activos de
re os la organización.
su sit
A.6.1.3 Contacto con las Control
autoridades Se deben mantener
da pò
pertinentes.
profesionales
especializadas en
ter
seguridad.
Ma
.
de seguridad de soporte,
n os
para gestionar los riesgos
introducidos por el uso de
ciò ic
dispositivos móviles.
uc èm
A.6.2.2 Teletrabajo Control
Se deben implementar
una política y unas
od ad
medidas de seguridad de
soporte, para proteger la
pr ac
información a la que se
tiene acceso, que es
procesada o almacenada
re os en los lugares en los que
se realiza teletrabajo.
su sit
A.7 SEGURIDAD DE LOS RECURSOS HUMANOS
da pò
.
la seguridad de la información de acuerdo
n os
con las políticas y procedimientos
establecidos de la organización.
ciò ic
A.7.2.2 Toma de conciencia, Control
educación y formación en Todos los empleados de la organización,
uc èm
la seguridad de la y en donde sea pertinente, los
información contratistas, deben recibir la educación y
la formación en toma de conciencia
od ad
apropiada, y actualizaciones regulares
sobre las políticas y procedimientos
pr ac
pertinentes para su cargo.
Objetivo:
Proteger los intereses de la organización como parte del proceso de cambio o terminación
oh n
de empleo.
Pr co
.
A.8.1.2 Propiedad de los activos Control
n os
Los activos mantenidos en el inventario
deben ser propios.
ciò ic
uc èm
A.8.1.3 Uso aceptable de los Control
activos Se deben identificar, documentar e
implementar reglas para el uso aceptable
od ad
de información y de activos asociados con
información e instalaciones de
pr ac
procesamiento de información.
a modificación no autorizada.
ter
.
Objetivo: Prevenir la divulgación, la modificación, el retiro o la destrucción de información
n os
almacenada en medios de soporte.
ciò ic
A.8.3.1 Gestión de medios de Control
soporte removibles Se deben implementar procedimientos
uc èm
para la gestión de medios de soporte
removibles, de acuerdo con el esquema
de clasificación adoptado por la
od ad
organización.
pr ac
A.8.3.2 Disposición de los medios Control
de soporte Se debe disponer en forma segura de los
re os medios de soporte cuando ya no se
requieran, utilizando procedimientos
formales.
su sit
A.8.3.3 Transferencia de medios Control
de soporte físicos Los medios que contienen información se
deben proteger contra acceso no
da pò
información.
Objetivo:
PROYECTO DE
NORMA TÉCNICA COLOMBIANA NTC DE 294-13
.
de registro y de cancelación del registro,
n os
para posibilitar la asignación de los
derechos de acceso.
ciò ic
A.9.2 Suministro de acceso de Control
uc èm
usuarios Se debe implementar un proceso de
suministro de acceso formal de usuarios
para asignar o cancelar los derechos de
od ad
acceso a todo tipo de usuarios para todos
los sistemas y servicios.
pr ac
A.9.2.3 Gestión de derechos de Control
acceso privilegiado Se debe restringir y controlar la
re os asignación y uso de derechos de acceso
privilegiado.
su sit
A.9.2.4 Gestión de información Control
de autenticación secreta La asignación de información de
da pò
formal.
intervalos regulares.
Objetivo: Hacer que los usuarios rindan cuentas por la salvaguarda de su información de
autenticación.
.
A.9.4 Control de acceso a sistemas y aplicaciones
n os
Objetivo: Prevenir el uso no autorizado de sistemas y de aplicaciones.
ciò ic
A.9.4.1 Restricción de acceso a Control
uc èm
información El acceso a la información y a las
funciones de los sistemas de las
aplicaciones se debe restringir de acuerdo
od ad
con la política de control de acceso.
pr ac
A.9.4.2 Procedimiento de Control
conexión segura Cuando lo requiere la política de control
re os de acceso, el acceso a sistemas y
aplicaciones se debe controlar mediante
un proceso de conexión segura.
su sit
A.9.4.3 Sistema de gestión de Control
contraseñas Los sistemas de gestión de contraseñas
da pò
A.10 CRIPTOGRAFÍA
Ma
información.
.
de vida de claves criptográficas, durante
n os
todo su ciclo de vida.
ciò ic
A.11 SEGURIDAD FÍSICA Y AMBIENTAL
uc èm
A.11.1 Áreas seguras
od ad
información y a las instalaciones de procesamiento de información de la organización.
pr ac
A.11.1.1 Perímetro de seguridad Control
física Se deben definir y usar perímetros de
re os seguridad, y usarlos para proteger áreas
que contengan información confidencial o
crítica, e instalaciones de manejo de
su sit
información.
da pò
el acceso no autorizado.
A.11.2 Equipos
Objetivo: Prevenir la pérdida, daño, robo o compromiso de activos, y la interrupción de las
operaciones de la organización.
.
n os
A.11.2.1 Ubicación y protección de Control
ciò ic
los equipos Los equipos deben estar ubicados y
protegidos para reducir los riesgos de
uc èm
amenazas y peligros ambientales, y las
posibilidades de acceso no autorizado.
od ad
A.11.2.2 Servicios públicos de Control
soporte Los equipos se deben proteger de fallas
pr ac
de potencia y otras interrupciones
causadas por fallas en los servicios
re os públicos de soporte.
previa.
ter
.
equipo sin supervisión tenga la protección
n os
apropiada.
ciò ic
A.11.2.9 Política de escritorio Control
uc èm
limpio y pantalla limpia Se debe adoptar una política de escritorio
limpio para los papeles y medios de
almacenamiento removibles, y una
od ad
política de pantalla limpia para las
instalaciones de procesamiento de
pr ac
información.
.
información estén protegidas contra códigos maliciosos.
n os
ciò ic
A.12.2.1 Controles contra códigos Control
maliciosos Se deben implementar controles de
uc èm
detección, de prevención y de
recuperación, combinados con la toma de
conciencia apropiada de los usuarios,
od ad
para proteger contra códigos maliciosos.
pr ac
A.12.3 Copias de respaldo
Objetivo: re os
Proteger contra la pérdida de datos.
su sit
A.12.3.1 Copias de respaldo de la Control
información Se deben hacer copias de respaldo de la
da pò
.
seguridad se deben sincronizar con una
n os
única fuente de referencia de tiempo.
ciò ic
A.12.5 Control de software operacional
uc èm
Objetivo:
Asegurarse de la integridad de los sistemas operacionales.
od ad
A.12.5.1 Instalación de software Control
en sistemas operativos Se deben implementar procedimientos
pr ac
para controlar la instalación de software
en sistemas operativos.
re os
A.12.6 Gestión de la vulnerabilidad técnica
su sit
Objetivo: Prevenir el aprovechamiento de las vulnerabilidades técnicas.
da pò
A.13
SEGURIDAD DE LAS COMUNICACIONES
.
A.13.1 Gestión de seguridad de redes
n os
Objetivo: Asegurar la protección de la información en las redes, y sus instalaciones de
procesamiento de información de soporte.
ciò ic
uc èm
A.13.1.1 Controles de redes Control
Las redes se deben gestionar y controlar
para proteger la información en sistemas
od ad
y aplicaciones.
pr ac
A.13.1.2 Seguridad de los Control
servicios de red Se deben identificar los mecanismos de
re os seguridad, los niveles de servicio y los
requisitos de gestión de todos los
servicios de red, e incluirlos en los
su sit
acuerdos de servicio de red, ya sea que
los servicios se presten internamente o se
contraten externamente.
da pò
ibi pro
.
electrónicos.
n os
A.13.2.4 Acuerdos de Control
ciò ic
confidencialidad o de no Se deben identificar, revisar regularmente
divulgación y documentar los requisitos para los
uc èm
acuerdos de confidencialidad o no
divulgación que reflejen las necesidades
de la organización para la protección de la
od ad
información.
pr ac
A.14 Adquisición, desarrollo y mantenimiento de sistemas
re os
A.14.1 Requisitos de seguridad de los sistemas de información
su sit
Objetivo: Garantizar* que la seguridad de la información sea una parte integral de los
sistemas de información durante todo el ciclo de vida. Esto incluye también los requisitos
para sistemas de información que prestan servicios sobre redes públicas.
da pò
ibi pro
de información existentes.
ial
.
dentro del ciclo de vida de desarrollo de los sistemas de información.
n os
A.14.2.1 Política de desarrollo Control
ciò ic
seguro Se deben establecer y aplicar reglas para
el desarrollo de software y de sistemas, a
uc èm
los desarrollos dentro de la organización.
od ad
de cambios en sistemas ciclo de vida de desarrollo se deben
Control controlar mediante el uso de
pr ac
procedimientos formales de control de
cambios.
A.14.2.3
re os Revisión técnica de
aplicaciones después de
Control
Cuando se cambian las plataformas de
su sit
cambios en la plataforma operación, se deben revisar las
de operaciones aplicaciones críticas del negocio, y poner
a prueba para asegurar que no haya
da pò
.
seguimiento de la actividad de desarrollo
n os
de sistemas subcontratada.
ciò ic
A.14.2.8 Ensayos de seguridad de Control
sistemas Durante el desarrollo se deben llevar a
uc èm
cabo ensayos de funcionalidad de la
seguridad.
od ad
A.14.2.9 Ensayo de aceptación de Control
sistemas Para los sistemas de información nuevos,
pr ac
actualizaciones y nuevas versiones, se
deben establecer programas de ensayo y
criterios relacionados.
re os
A.14.3 Datos de ensayo
su sit
Objetivo: Asegurar la protección de los datos usados para ensayos.
da pò
los proveedores.
ter
.
tecnología de información Los acuerdos con proveedores deben
n os
y comunicación incluir requisitos para tratar los riesgos de
seguridad de la información asociados
ciò ic
con la cadena de suministro de productos
y servicios de tecnología de información y
uc èm
comunicación.
od ad
Objetivo:
pr ac
Mantener el nivel acordado de seguridad de la información y de prestación del servicio en
línea con los acuerdos con los proveedores.
A.15.2.1
re os Seguimiento y revisión de Control
los servicios de los Las organizaciones deben hacer
su sit
proveedores seguimiento, revisar y auditar con
regularidad la prestación de servicios de
los proveedores.
da pò
ibi pro
.
seguridad de la Los eventos de seguridad de la
n os
información información se deben informar a través de
los canales de gestión apropiados, tan
ciò ic
pronto como sea posible.
uc èm
A.16.1.3 Informe de debilidades de Control
seguridad de la Se debe exigir a todos los empleados y
información contratistas que usan los servicios y
od ad
sistemas de información de la
organización, que observen e informen
pr ac
cualquier debilidad de seguridad de la
información observada o sospechada en
los sistemas o servicios.
re os
su sit
A.16.1.4 Evaluación de eventos de Control
seguridad de la Los eventos de seguridad de la
información y decisiones información se deben evaluar y se debe
da pò
.
A.17.1.1 Planificación de la Control
n os
continuidad de la La organización debe determinar sus
seguridad de la requisitos para la seguridad de la
ciò ic
información información y la continuidad de la gestión
de seguridad de la información en
uc èm
situaciones adversas, por ejemplo,
durante una crisis o desastre.
od ad
A.17.1.2 Implementación de la Control
continuidad de la La organización debe establecer,
pr ac
seguridad de la documentar, implementar y mantener
información procesos, procedimientos y controles para
asegurar el nivel de continuidad requerido
re os para la seguridad de la información
durante una situación adversa.
su sit
A.17.1.3 Verificación, revisión y Control
da pò
A.17.2 Redundancias
Pr co
A.18 Cumplimiento
.
estatutarios, de reglamentación y
n os
contractuales pertinentes, y el enfoque de
la organización para cumplir estos
ciò ic
requisitos, para cada sistema de
información y para la organización.
uc èm
A.18.1.2 Derechos de propiedad Control
od ad
intelectual Se deben implementar procedimientos
apropiados para asegurar el cumplimiento
pr ac
de los requisitos legislativos, de
reglamentación y contractuales
relacionados con los derechos de
re os propiedad intelectual y el uso de
productos de software patentados.
su sit
A.18.1.3 Protección de registros Control
Los registros se deben proteger contra
da pò
legislación y la reglamentación
pertinentes, cuando sea aplicable.
ter
.
planificados o cuando ocurran cambios
n os
significativos.
A.18.2.2 Cumplimiento con las Control
ciò ic
políticas y normas de Los directores deben revisar con
seguridad regularidad el cumplimiento del
uc èm
procesamiento y procedimientos de
información dentro de su área de
responsabilidad, con las políticas y
od ad
normas de seguridad apropiadas, y
cualquier otro requisito de seguridad.
pr ac
A.18.2.3 Revisión del Control
cumplimiento técnico Los sistemas de información se deben
re os revisar con regularidad para determinar el
cumplimiento con las políticas y normas
su sit
de seguridad de la información.
da pò
ibi pro
oh n
Pr co
ial
ter
Ma
PROYECTO DE
NORMA TÉCNICA COLOMBIANA NTC DE 294-13
Bibliografía
.
n os
[2] ISO/IEC 27003:2010, Information technology — Security techniques — Information
security management system implementation guidance
ciò ic
[3] ISO/IEC 27004:2009, Information technology — Security techniques — Information
uc èm
security management — Measurement
od ad
security risk management
pr ac
[5] ISO 31000:2009, Risk management — Principles and guidelines