INSTITUTO URUGUAYO UNIT-ISO/lEC

DE NORMAS TÉCNICAS 27001:2013

Adopción UNIT
Octubre 2013

Edición
2013-10-15

Tecnología de la información- Técnicas

de seguridad - Sistemas de Gestión de la
seguridad de la información - Requisitos

(ISO/lEC 27001:2013, IDT)

/nformation techno/ogy. Security techniques. Management Systems

information security. Requirements

Technologies de /'information. Techniques de sécurité. Systémes de

gestion de sécurité de l'information. exigences

Número de referencia
UNIT-180/IEC 27001:2013
 El INSTITUTO URUGUAYO DE NORMAS TÉCNICAS
ha adoptado en Octubre de 2013
la Norma Internacional ISO/lEC 27001:2013

como Norma:

UNIT-ISOnEC 27001:2013; Tecnología de la información.

Técnicas de seguridad. Sistemas de Gestión de la seguridad de
la información. Requisitos

El texto de esta norma UNIT-150/IEC corresponde a la traducción

idéntica de la Norma Internacional sin modificaciones.

Esta norma anula y sustituye a UNIT-ISO/lEC 27001 :2005.

A los efectos de la aplicación de esta Norma UNIT-ISO las

referencias normativas de la Norma ISO original se ajustan a las
indicadas en la siguiente tabla:

Referencia orl inaiiSO Se a lica

ISO/lEC 27000 UNIT-ISO/lEC 27000

En la siguiente tabla se indica la correspondencia entre la

Bibliografía de la norma ISO/lEC y documentos editados por UNIT

Bibliografía ISO/lEC Documentos UNIT

ISO lEC 27002:2013 UNIT ISO lEC 27002:2013
(en preparación)
ISO lEC 27003 UNIT ISO lEC 27003
ISO lEC 27004 UNIT ISO lEC 27004
ISO lEC 27005 UNIT ISO lEC 27005
ISO 31000:2009 UNIT-ISO 31000:2009
(en preparación)

NORMA UNIT-ISOnEC: Norma UNIT, que recoge en forma íntegra el texto de la Norma lntemacionaiiSO/IEC correspondiente
y en la que las modificaciones nacionales, cuando las hay, aparecen en la carátula en NOTAS UNIT a pie de página o en
anexos nacionales.

A los efectos de la aplicación de las normas UNIT-ISO/IEC, deberé cons.iderarse el contenido de la Norma Internacional,
conjuntamente con las modificaciones nacionales.

DOCUMENTO PROTEGIDO POR DER S tlE AUTOR (COPYRIGHT)

© UNIT 2013 ©ISO 2013
Todos los derechos reservados. Ninguna parte de esta publicación puede sene11roducida o utilizada en cualquier forma o
por medio alguno, electrónico o mecénico, incluyendo fotbeopiasr m1Ci'Ofilr11;.etc:~ s¡¡, el permiso escrito del Instituto Uruguayo
de Normas Técnicas (UNIT) en su calidad de representant$ $Xc.lRSo/I:J~~~~}~O· en Uruguay, o por la propia ISO.

UNIT ISO copyright office

Plaza Independencia 812 piso 2 CP 11100, Montevideo Case postale 56 CH-1211 Geneva 20
Tel.+ 598 2901 2048 Fax+ 598 2902 1681 Tel.+ 41 22 749 0111 Fax+ 41 22 749 09 47
unit-iso@unit.org.uy www.unit.orq.uy copyrjght@iso.org- www.iso.org

ii
Índice

Prefacio ..................•......•.....•.......................•..........................................................•...•..................v

O Introducción ..............................................................................................................................vi

0.1 Generalidades ..........................................................•.......•.......•...•........•.....••.......••..•......•......vi

0.2 Compatibilidad con otras normas del sistema de gestión .................................................. vi

1. OBJET0 ......•....•..........•.•..........................................................•..............................................2

2. REFERENCIAS NORMATIVAS .............................................................................................. 2

3. TÉRMINOS Y DEFINICIONES ................................................................................................ 2

4. CONTEXTO DE LA ORGANIZACIÓN ....................................................................•......•......... 2

4.1 Comprender la organización y su contexto ..................................................................... 2

4.2 Comprender las necesidades y expectativas de las partes interesadas ............••.......... 2

4.3 Determinar el alcance del sistema de gestión de la seguridad de la información .•....... 2

4.4 Sistema de gestión de la seguridad de la información .......•............................................ 2

5. LIDERAZG0 .................•.•........................................................................................................ 2

5.1 Liderazgo y compromiso ................................................................................................... 2

5.2 Política ................................................................................................................................3

5.3 Roles, responsabilidades y autoridades organizacionales ............................................. 3

6. PLANIFICACIÓN .....................................................................................................................4

6.1 Acciones para hacer frente a los riesgos y oportunidades ............................................. 4

6.2 Objetivos de seguridad de la inforni~'ció.n.·y·planificación para alcanzarlos .................. 6

,/;,~{~,··,:,····: !:f(~i::;\
7. SOPORTE ..................................¡..,':~'"'' ..... ''iil'¡i""'~:....~ ........................................................... 6

7.1
~· _,,.....
!... ...
Recursos ............................... ~';,~ ;·~·~·~r··
:; ~ '" :l····:·~l.J:
. ~ ~ ~
........................................................... 6
7.2 Competencia ......................... \.;:·;,,'•;•?·-~'···········.~:~·~';·./............................................................ 6
7.3 Toma de conciencia .............. J::~:~~~~·;;;;:~•·Mj.'.:~····;·;;::::J ............................................................ 7
'íj :n,
"•";.¡..' <fl!JJ
J.~<~ ¡·"'¡;'
.',~.~1"
~'"\;~(11
'!.,H ~'"í""tl'~r¡._
!í~"'<<o "W>¿i~·· ~.A\ i
~

7.4 Comunicación ........................~;·:;~:;:~:~~~~~·~:~~~~~g:;:~::::·:! ............................................................ 7

7.5 Información documentada ................................................................................................. 7

8. OPERACIÓN ...........................................................................................................................8

8.1 Planificación y control operacional .................................................................................. 8

¡¡¡
8.2 Evaluación de riesgos de seguridad de la información .................................................. 8

8.3 Tratamiento de riesgos de seguridad de la información ................................................. 9

9. EVALUACIÓN DEL DESEMPEÑO ......................................................................................... 9

9.1 Seguimiento, medición, análisis y evaluación ................................................................. 9

9.2 Auditoría interna .................................................................................................................9

9.3 Revisión por la dirección ................................................................................................. 10

10. MEJORA ............................................................................................................................10

10.1 No conformidades y acciones correctivas ..................................................................... 10

10.2 Mejora continua ................................................................................................................ 11

ANEXO A ..................................................................................................................................... 12

BIBLIOGRAFÍA ............................................................................................................................ 32

INFORME CORRESPONDIENTE A LA NORMA UNIT-ISO/lEC 27001 :2013 .............................. 33

iv
 Prefacio

ISO (Organización Internacional de Normalización) e lEC (Comisión Electrotécnica Internacional)

constituyen el sistema especializado para la normalización a nivel mundial. Los organismos
nacionales miembros de ISO o de lEC participan en el desarrollo de Normas Internacionales a
través de los comités técnicos establecidos por las organizaciones respectivas para realizar
acuerdos en los campos específicos de la actividad técnica. Los comités técnicos de ISO e lEC
colaboran en los campos de interés mutuos. Otras organizaciones internacionales,
gubernamentales y no gubernamentales, en colaboración con ISO e lEC, también toman parte en
estos trabajos. En el campo de la tecnología de la información, ISO e lEC han establecido un
comité técnico conjunto, ISO/lEC JTC 1.

Las Normas Internacionales se redactan de acuerdo con las reglas establecidas en la Parte 2 de
las Directivas ISO/lEC.

La tarea principal de los comités técnicos es elaborar Normas Internacionales. Los proyectos de
Normas Internacionales adoptados por los comités técnicos se envían a los organismos miembros
para su votación. La publicación como Norma Internacional requiere la aprobación de al menos el
75% de los organismos miembros con derecho a voto.

Se llama la atención sobre la posibilidad de que algunos elementos de este documento pueden
estar sujetos a derechos de patente. ISO e lEC no se hacen responsables por la identificación de
cualquiera o de todos los derechos de patente.
ISO/lEC 27001 fue preparada por el Comité Técnico Conjunto ISO/lEC JTC 1, Tecnología de la
información, Subcomité SC 27, Técnicas de seguridad.

Esta segunda edición sustituye y reemplaza la primer edición (ISO/lEC 27001 :2005), que ha sido
técnicamente revisada.

V
O Introducción

0.1 Generalidades

Esta Norma ha sido preparada para proporcionar requisitos a fin de establecer, implantar,
mantener y mejorar continuamente un sistema de gestión de la seguridad de la información. La
adopción de un sistema de gestión de la seguridad de la información es una decisión estratégica
para una organización. El establecimiento y la implantación de un sistema de gestión de la
seguridad de la información de una organización son influenciados por las necesidades y los
objetivos de la organización, los requisitos de seguridad, los procesos organizacionales utilizados
y el tamaño y la estructura de la organización. Se espera que todos estos factores influyentes
cambien con el tiempo.

El sistema de gestión de la seguridad de la información preserva la confidencialidad, la integridad

y la disponibilidad de la información, mediante la aplicación de un proceso de gestión de riesgos y
proporciona confianza a las partes interesadas que los riesgos son gestionados adecuadamente.

Es importante que el sistema de gestión de la seguridad de la información sea parte de y se

encuentre integrado con los procesos de la organización y con la estructura general de gestión, y
que la seguridad de la información sea considerada en el diseño de los procesos y en los sistemas
y controles de información. Se espera que la implantación de un sistema de gestión de la
seguridad de la información se pueda ampliar de acuerdo con las necesidades de la organización.

Esta Norma puede ser utilizada por partes internas y externas para evaluar la capacidad de la
organización de satisfacer los requisitos propios de seguridad de la información de la
organización.

El orden en el que se presentan los requisitos en esta Norma no refleja su importancia ni implica el
orden en que se van a implantar. Los elementos de la lista son enumerados únicamente para fines
de referencia.

La Norma ISO/lEC 27000 describe la visión general y el vocabulario de los sistemas de gestión de
seguridad de la información, haciendo referencia a la familia de normas de los sistemas de gestión
de seguridad de la información (incluyendo a las Normas ISO/lEC 27003, ISO/lEC 27004 e
ISO/lEC 27005), con términos y definiciones relacionados.

0.2 Compatibilidad con otras normas del ~i~t~.rn~.de gestión

Esta Norma aplica la estructura de ~lt?;ni.v~I ••. Jos Útuló~. de sub-apartados idénticos, los textos
idénticos, los términos comunes, y las d~fi9Jqib~e~ pásisas definidas en el Anexo SL de la Parte 1
de las Directivas ISO/lEC del SUP!.e!Tlento,:icgp~p.!ida~.o\ de ISO, y por lo tanto mantiene la
compatibilidad con otras normas de slstemas.detg'estión que han adoptado el Anexo SL.

Este enfoque común definido en el AnexO SL va a ser útil para aquellas organizaciones que elijan
operar un único sistema de gestión cumpla con los requisitos de dos o más normas del
sistema de gestión. '

vi
 UNIT-ISO/lEC 27001 :2013

TECNOLOGÍA DE LA INFORMACIÓN - TÉCNICAS DE SEGURIDAD - SISTEMAS DE

GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - REQUISITOS

1- OBJETO
Esta Norma especifica los requisitos para establecer, implantar, mantener y mejorar
continuamente un sistema de gestión de la seguridad de la información en el contexto de la
organización. Esta Norma también incluye los requisitos para la evaluación y el tratamiento de
riesgos de seguridad de la información adaptados a las necesidades de la organización. Los
requisitos establecidos en esta Norma son genéricos y se pretende que sean aplicables a todas
las organizaciones, sin importar su tipo, tamaño o naturaleza. No es aceptable la exclusión de
cualquiera de los requisitos especificados en los Capítulos 4 al 1O cuando una organización
declara conformidad con la presente Norma.

2- REFERENCIAS NORMATIVAS
Los siguientes documentos, en su totalidad o en parte, están referenciados normativamente en
este documento y son indispensables para su aplicación. Para las referencias fechadas, sólo se
aplica la edición citada. Para las referencias sin fecha, se aplica la última edición del documento
referenciado (incluyendo cualquier modificación).

ISO/lEC 27000, Tecnología de la información - Técnicas de seguridad- Sistemas de gestión de

la seguridad de la información - Visión geperq_tY,Vocabulario.
/;;~~:>'y~i ',; j" · · : :~(~~;~:~\
,í , ,,) ''"'• ,:¡ ¡¡.,¡;¡
ril ~>··
,,,
. ., ') ~ 04' .,,~z

3- l¡aRM'N t?;(~~QEF,l~ICIONES
~ '""~ : ""·) ~·a· . ·.:._,$¿~ ·....,· '
Para el propósito de este documentoY;:son l;ap)Je~~les,;iqs términos y definiciones dados en la
Norma ISO/lEC 27000. \ ., ' .. " ' ' /

-~iü ~;:::.Yi~': L,~. ,;:~::·:~- L\f.' i:.(2í ~

4- coNTE:X:;roto'et~A-toRGANizAclóN
:_;,;,<:",JJ.":M>"'";·::.\·..:":...:..x:.~·:.!l.M.~<.<:"V•l•::o;.;;.<""''W..OM::::.,.:'?:.'.'Wj

4.1 Comprender la organización y su contexto

La organización debe determinar los asuntos externos e internos que son relevantes para su
propósito y que afectan su capacidad de lograr el (los) resultado (s) deseado (s) de su sistema de
gestión de la seguridad de la información.
UNIT-150/IEC 27001 :2013

NOTA: La determinación de estos asuntos se refiere a establecer el contexto interno y externo de la organización,
considerado en el apartado 5.3 de la Norma ISO 31000, Gestión de riesgos- Principios y directrices.

4.2 Comprender las necesidades y expectativas de las partes interesadas

La organización debe determinar:

a) Las partes interesadas que son relevantes para el sistema de gestión de la seguridad de la
información;

b) Los requisitos de estas partes interesadas respecto de la seguridad de la información.

NOTA: Los requisitos de las partes interesadas pueden incluir requisitos legales y reglamentarios y obligaciones
contractuales.

4.3 Determinar el alcance del sistema de gestión de la seguridad de la información

La organización debe determinar los límites y la aplicabilidad del sistema de gestión de la
seguridad de la información para establecer su alcance.

Al determinar este alcance, la organización debe considerar:

a) los problemas externos e internos mencionados en 4.1;

b) los requisitos mencionados en 4.2; y

e) las interfases y dependencias entre actividades desempeñadas por la organización y

aquellas que son desempeñadas por otras organizaciones.

El alcance debe estar disponible como información documentada.

4.4 Sistema de gestión de la seguridad de la información

La organización debe establecer, implantar, mantener y mejorar continuamente su sistema de
gestión de la seguridad de la información, de acuerdo con los requisitos de esta Norma.

5- LIDERAZGO

5.1 Liderazgo y compromiso

La alta dirección debe demostrar su lider¡;!ZQP;Y::c9mpromiso con respecto al sistema de gestión de
la seguridad de la información: //~.;;>'' " ··· <:,?,,~\~
} ;~.~~/ ~-F(í;,::.~·· r~. ¿ -~~~~- \.
a) asegurando que la política de,f~~guf!~~j Cl'e91a irí!?frlación y los objetivos de seguridad de
la información se encuentran;e~tableRidp§f.Y.~or:t,;cpmpatibles con la dirección estratégica
de la organización; · , . '' ¡., :t , ·: · ·
~'" ,' ,-:· .; ~

b) asegurando la integración de los}equisitos d~l sistema de gestión de la seguridad de la

información en los procesos d~Ti;l'Q~gªoi~ª9\óriiO:;~.....i
l i~~l,il), 118 l;ii!St t\íPP!i:l. l
e) asegurando que los recursos heJé~áW6s':"í5~?g~'eLsristema de gestión de la seguridad de la
información se encuentren disponibles;

d) comunicando la importancia de la gestión efectiva de la seguridad de la información y de

cumplir con los requisitos del sistema de gestión de la seguridad de la información;

e) asegurando que el sistema de gestión de la seguridad de la información alcance sus

resultados previstos;

2
 UNIT-ISOIIEC 27001 :2013

f) dirigiendo y apoyando a que las personas contribuyan con la efectividad del sistema de
gestión de la seguridad de la información;

g) promoviendo la mejora continua; y

h) apoyando otros roles de gestión relevantes para demostrar su liderazgo, como compete a
sus áreas de responsabilidad.

5.2 Política
La alta dirección debe establecer una política de seguridad de la información que:

a) sea adecuada al propósito de la organización;

b) incluya los objetivos de seguridad de la información (ver 6.2) o proporcione el marco para
establecer los objetivos de seguridad de la información;

e) incluya un compromiso para cumplir con los requisitos aplicables relacionados con la
seguridad de la información; e

d) incluya un compromiso de mejora continua del sistema de gestión de la seguridad de la

información.

La política de seguridad de información debe:

e) estar disponible como información documentada;

f) ser comunicada dentro de la organización; y

g) estar a disposición de las partes interesadas, según corresponda.

5.3 Roles, responsabilidades y autoridades organizacionales

La alta dirección debe asegurar que las responsabilidades y autoridades de los roles relevantes
para la seguridad de la información estén asignadas y comunicadas.

La alta dirección debe asignar la responsabilidad y autoridad para:

a) garantizar que el sistema de gestión de la seguridad de la información cumple con los
requisitos de esta Norma; e

b) informar a la alta dirección sobre el .9~s:e.mp~ñodel sistema de gestión de la seguridad de

la información. f . ::) · '' ::.~. \,
./ /i:' &1~~~-:~r~l· K~ ~~ . ~~{~~ \
~OTA: La alta ~~rección tambi~n puede ~sig~·a~:~s~,9.~S,~J?ill\liides y.;~~fori?~des para informar sobre el desempeño del
s1stema de gest1on de la segundad de la ~nfor¡¡n~clón,dentro. org~n1zac1on.
: ""'"} ~ l,l ¡¡

\\(;,,, ; "lj

3
UNIT-ISO/lEC 27001 :2013

6- PLANIFICACIÓN

6.1 Acciones para hacer frente a los riesgos y oportunidades

6.1.1 Generalidades
Al planificar el sistema de gestión de la seguridad de la información, la organización debe
considerar los aspectos mencionados en 4.1 y los requisitos referidos en 4.2 y determinar los
riesgos y oportunidades que necesitan ser gestionados para:
a) asegurar que el sistema de gestión de la seguridad de la información puede alcanzar los
resultados previstos;
b) prevenir, o reducir los efectos no deseados; y

e) lograr la mejora continua.

La organización debe planificar:

d) las acciones para gestionar estos riesgos y oportunidades; y

e) cómo:
1) integrar e implantar las acciones a sus procesos del sistema de gestión de la
seguridad de la información; y
2) evaluar la efectividad de estas acciones.

6.1.2 Evaluación de riesgos de seguridad de la información

La organización debe definir y aplicar un proceso de evaluación de riesgos de seguridad de la
información que:

a) establezca y mantenga los criterios de riesgos de seguridad de la información que

incluyen:

1) los criterios de aceptación de riesgos; y

2) los criterios para la realización de las evaluaciones de los riesgos de seguridad de

la información; -n•"'''
4·'", .• ,.•. _,J<·· ,. :,.... ~-.,,

b) garantice que las reiteradas,/~yáltiaéióríes.. -.de los riesgos produzcan resultados

consistentes, válidos y comparáb!f~s· . ·;;¡;, \
1 .:::} ' !;¡\~' ~;;:, '·
e) identifique los riesgos de segJri~"ad' ,,,iffit8rm~~idn:
t ~?,. . ~1 ~t~:-:;· ~~t )::·:' )!
1) aplique el proceso de ~v~!!Jac'íori~He ti~_sgps de seguridad de la información para
identificar riesgos asociados ·!:con la. pér,dida de confidencialidad, integridad y
dispo~dibidliddad 1 d.ef la inf?.r~~81P,f,\,"'p,~tQlE?¡H~~t-~lcance del sistema de gestión de la
segun a e a 1n ormac1on¡· e,,,..,i, r:1~ ''~w\, .;·.,~::•t.'' ,
! h~~;~ {it.~j"~~··~vrf:"t: 1 tZ5~\:l~:"7. ~

2) identifique a los propiet~rfos'd'el"'rlesg'o; "' ,,

d) analice los riesgos de seguridad de la información:

1) evalúe las consecuencias potenciales que se producirían si los riesgos identificados

en 6.1.2 e) 1) llegaran a materializarse;

4
 UNIT-ISO/lEC 27001 :2013

2) evalúe la probabilidad realista de ocurrencia de los riesgos identificados en

6.1.2 e) 1); y
3) determine los niveles de riesgo;
e) valore los riesgos de seguridad de la información:
1) compare los resultados de los análisis de riesgo con los criterios de riesgos
establecidos en 6.1.2 a); y

2) priorice los riesgos analizados para el tratamiento de riesgos.

La organización debe conservar información documentada sobre el proceso de evaluación de
riesgos de seguridad de información.
6.1.3 Tratamiento de riesgos de seguridad de la información

La organización debe definir y aplicar un proceso de tratamiento de riesgos de seguridad de la

información para:

a) seleccionar las opciones adecuadas de tratamiento de riesgo de seguridad de la

información, teniendo en cuenta los resultados de la evaluación de riesgos;

b) determinar todos los controles que sean necesarios para poner en práctica las opciones
elegidas de tratamiento de riesgos de seguridad de la información;
NOTA: Las organizaciones pueden diseñar los controles según sea necesario, o identificarlos de cualquier fuente.

e) comparar los controles determinados en 6.1.3 b) anteriores, con los del Anexo A y verificar
que no se han omitido controles necesarios;
NOTA 1 El Anexo A contiene una lista completa de objetivos de control y controles. Los usuarios de esta Norma
son referidos al Anexo A para garantizar que no se pasen por alto los controles necesarios.

NOTA 2 Los objetivos de control son incluidos implícitamente en los controles elegidos. Los objetivos de control y
los controles incluidos en el Anexo A no son exhaustivos y pueden ser necesarios objetivos de control y controles
adicionales.

d) Elaborar una Declaración de Aplicabilidad que contenga los controles necesarios (ver 6.1.3
b) y e)) y la justificación de las inclusiones, sean implantados o no, y la justificación de las
exclusiones de los controles del Anexo_.8;,..,
,.--·.;· ·'·.\

.
--<~···, t~.··:, {}( ~ ·>~
e) Formular un plan de tratamientq:d.~;.Jiesgos dEf;.s.eguridad de la información; y
/"' {;)-~ ~~;·~~>~~:;}::.{ . . ~-;;.~ \,
f) Obtener la aprobación del p~bpietéi:lrib \~ej:Jriesgo del plan de tratamiento de riesgos de
~egurida~. de la información ~ i~~c~pt~clón¡¡¡~~ 19$ (iesgos residuales de seguridad de la
mformac1on. · t1 '' ·
\\;;(;•,' ,)~l
La organización debe conservar la infcirníación docúmei'Ítada sobre el proceso de tratamiento de
riesgos de seguridad de la informaciórr;;·~·~;.,......," . ,,1,,,, ,,, .. ·;~:;"''1
~ t~~:~~t~~?. :s~!;;··~·:~0~~; ".:;~.:~G·-~,~;;~ ~
NOTA: El proceso de tratamiento y evaluacióQ.•9.!::"t!~~9~.~3.~~?:~~9!!Xi9.~? de la información en esta Norma se alinea con
los principios y las directrices genéricas proporcionadas en la Norma ISO 31000, Gestión de riesgos - Principios y
directrices.

5
UNIT-150/IEC 27001 :2013

6.2 Objetivos de seguridad de la información y planificación para alcanzarlos

La organización debe establecer objetivos de seguridad de la información en funciones y niveles
pertinentes.

Los objetivos de seguridad de la información deben:

a) Ser coherentes con la política de seguridad de la información;

b) Ser medibles (mensurables) (si corresponde);

e) Tener en cuenta los requisitos aplicables de seguridad de la información y los resultados

de la evaluación de riesgos y del tratamiento de riesgos;

d) Ser comunicados; y

e) Ser actualizados cuando corresponda.

La organización debe conservar información documentada sobre los objetivos de seguridad de la

información.

Al planificar como alcanzar estos objetivos de seguridad de la información, la organización debe

determinar:

f) Lo que se va a hacer;

g) Qué recursos van a ser necesarios;

h) Quién va a ser responsable;

i) Cuándo se va a completar; y

j) Cómo van a ser evaluados los resultados.

7- SOPORTE

7.1 Recursos
La organización debe determinar y proporcionar.J(?s recursos necesarios para el establecimiento,
la implantación, el mantenimiento y la m~jo~a contiq~adel sistema de gestión de la seguridad de
la información. ./.:;'~:,·· · ··.,;,'.
:"' .;~:t···Í \:::;:
7.2 Competencia
La organización debe:

a) Determinar la competencia nece~aria de la(s)pérsona(s) que realiza el trabajo bajo su

control, que afecta el desempeño:Cie
' '--0 ;,
la seguridad
-·pr· ,; r·-._,,..- _, .- r.ii>• ,,
qe la información;
< :-.:- ~.. ,!
,, - '·
~:.•_-,.-·
""'"" '""
~.
___ ,_ ·- '"' ...... ,_,_, __ , \"

:,: C;(i,J(t.) 'i\!.;:<~ ~;:;.~tf-~. ;_;"-~,.,-_;·¡:j:::.<";, ;~

b) Asegurarse que estas persollé3srson"'corrrpetente~ en cuanto a educación, formación o
experiencia apropiada; · · · · · · ·· ·· · ··· · ·

e) Cuando corresponda, adoptar acciones para adquirir las competencias necesarias, y

evaluar la eficacia de las acciones adoptadas; y

d) Conservar la información documentada adecuada como evidencia de la competencia.

6
 UNIT -ISO/lEC 27001 :2013

NOTA: Las acciones aplicables pueden incluir, por ejemplo, la provisión de capacitación, la tutoría de, o la reasignación
de empleados actuales; o la contratación de personas competentes.

7.3 Toma de conciencia

Las personas que realizan trabajos bajo el control de la organización, deben tener en cuenta:
a) la política de seguridad de la información;

b) su contribución a la eficacia del sistema de gestión de la seguridad de la información,

incluyendo los beneficios de un mejor desempeño de la seguridad de la información; y

e) las consecuencias de que no cumplan con los requisitos del sistema de gestión de la
seguridad de la información.

7.4 Comunicación
La organización debe determinar la necesidad de las comunicaciones internas y externas
pertinentes para el sistema de gestión de la seguridad de la información, incluyendo:
a) qué comunicar;

b) cuándo comunicar;

e) con quién comunicarse;

d) quién debe comunicar;

e) los procesos mediante los cuales se va a efectuar la comunicación.

7.5 Información documentada

7.5.1 Generalidades

El sistema de gestión de la seguridad de la información de la organización debe incluir:

a) información documentada requerida por la presente Norma; e

b) información documentada determinada por la organización como necesaria para la eficacia

del sistema de gestión de la seguridad de la información.
NOTA: El alcance de la información documentada para urt¡;istema de gestión de la seguridad de la información puede
variar de una organización a otra debido a: , . ·· ..,,.,~ ·· .,

1) el tamaño de la organización y sus tipo~ clé;~ptividad~:;· ~~oce:;os, productos y servicios;

/ ~:.:~'~· f,.,¡:rr~:~1 ¡;¡~~.L <:~~;} .
2) la complejidad de los procesos y sus'i'1teraqqloi)e~~:x.~'
!i ~". H'i'l'\.!o~.:-;;,. ~..):

3) la competencia de las personas. \ ~;,~. '

7.5.2 Creación y actualización .,.

\·'l~~-1..>
í'·"""'""'"·'"'......· "
Al crear y actualizar información docur\h~Hf¡a~i!'é'i:'b}~a·~¡tabión debe garantizar:
~ l:<-4f~ )\~ .•~':', \;\~{,:~::~út~)j.~ ~

a) la identificación y la descripció~''(por eJempí'o,"tiiulo: fecha, autor o número de referencia);

b) el formato (por ejemplo, el idioma, la versión de software, los gráficos) y los medios (papel,
electrónico); y

e) la revisión y aprobación para la conveniencia y suficiencia.

7
UNIT-ISO/IEC 27001:2013

7.5.3 Control de información documentada

La información documentada requerida por el sistema de gestión de la seguridad de la información

y por la presente Norma debe ser controlada para asegurar:

a) que se encuentra disponible para su uso, donde y cuando sea necesaria; y

b) que se encuentra protegida adecuadamente (por ejemplo, de la pérdida de

confidencialidad, del uso indebido o de la pérdida de integridad).

Para el control de la información documentada, la organización debe abordar las siguientes

actividades, según corresponda:

e) la distribución, el acceso, la recuperación y el uso;

d) el almacenamiento y la conservación, incluyendo la preservación de la legibilidad;

e) el control de los cambios (por ejemplo, control de las versiones); y

f) la retención y la disposición.

La información documentada de origen externo, determinada por la organización como necesaria

para la planificación y la operación del sistema de gestión de la seguridad de la información, debe
ser identificada y controlada, según corresponda.
NOTA: El acceso implica una decisión sobre el permiso para ver sólo la información documentada, o el permiso y la
autoridad para ver y cambiar la información documentada, etc.

8- OPERACIÓN

8.1 Planificación y control operacional

La organización debe planificar, implantar y controlar los procesos necesarios para cumplir con los
requisitos de seguridad de la información, y para implantar las acciones determinadas en 6.1. La
organización debe poner en práctica planes para alcanzar los objetivos de seguridad de la
información determinados en 6.2.

La organización debe mantener la información documentada en la medida necesaria para tener

confianza en que los procesos se han llevago según lo previsto.
,,, ' '." ¡f'\

La organización debe controlar los cambip~"pr~vistos ~ revisar las consecuencias de los cambios
no deseados, adoptando medidas ;para, mitig(;lr;: los. p9sibles efectos adversos, según sea
j'(

necesario.

La organización debe garantizar 'que .lo~ proces¿s ~'subcontratados son determinados y

controlados. · •• · ··

8.2 Evaluación de riesgos de seguríctad,d~',laJilfor;..¿acíón

La organización debe llevar a cabo '~v1'1Ú~¿ióh~s d~ riJsgo de
seguridad de la información a
intervalos planificados o cuando ocurren o se proponen cambios significativos, teniendo en cuenta
los criterios establecidos en 6.1.2 a).

La organización debe conservar la información documentada de las evaluaciones de riesgo de

seguridad de la información.

8
 UNIT-ISO/lEC 27001 :2013

8.3 Tratamiento de riesgos de seguridad de la información

La organización debe implantar el plan de tratamiento de riesgos de seguridad de la información.

La organización debe conservar la información documentada de los resultados del tratamiento de

riesgos de seguridad de la información.

9- EVALUACIÓN DEL DESEMPEÑO

9.1 Seguimiento, medición, análisis y evaluación

La organización debe evaluar el desempeño de la seguridad de la información y la eficacia del
sistema de gestión de la seguridad de la información.
La organización debe determinar:

a) a que se debe hacer seguimiento y mediciones, incluyendo los procesos y controles de

seguridad de la información;

b) los métodos para el seguimiento, la medición, el análisis y la evaluación, según

corresponda, para garantizar los resultados válidos;
NOTA: Los métodos seleccionados deben producir resultados comparables y reproducibles para ser considerados
válidos.

e) cuándo se van a llevar a cabo el seguimiento y la medición;

d) quién debe realizar el seguimiento y medir;

e) cuándo van a ser evaluados y analizados los resultados del seguimiento y la medición; y
f) quién debe analizar y evaluar esos resultados.
La organización debe conservar la información documentada apropiada como evidencia de los
resultados del seguimiento y la medición.

9.2 Auditoría interna

La organización debe llevar a cabo auditorías internas a intervalos planificados para proporcionar
información acerca de si el sistema de gestión"def'la·seguridad de la información:
/''_·,:,}~t<•¡U ilJ> . '.

a) cumple con: / ~t f';¡'";:) ;;~ '';"r;~ _

1) los requisitos propios de 1~ 9rganiiadi6'n.'p,arasú sistema de gestión de la seguridad de
la información; y ·,_ _ . ¡_ ¡;·:~ }" ,;
'\ '\~ . , ;~~~.:. :~_~l.¿
2) los requisitos de la presente·t-forma;
"'"'" .{.(,;,_,_,_.,.._,
b) es implementado y mantenido ~f!~q[;I\:!~Q~~l f:!~).-~~- 1
r ···""" ~~~¡r-i\:¡,;:7~··0;~~~~:~~~::.\ ~ )~ !
La organización debe: L"''·-··-·'"""''"-··--·"·"·"·····~--J
e) planificar, establecer, implantar y mantener un programa de auditoría, incluyendo la
frecuencia, los métodos, las responsabilidades, los requisitos de planificación y la
presentación de informes;

d) definir los criterios y el alcance de cada auditoría para cada auditoría;

9
UNIT-ISO/lEC 27001 :2013

e) seleccionar los auditores y realizar auditorías que garanticen la objetividad y la

imparcialidad del proceso de auditoría;

f) garantizar que los resultados de las auditorías sean informados a la dirección pertinente; y

g) conservar la información documentada como evidencia del programa de auditoría y los

resultados de la auditoría.

9.3 Revisión por la dirección

La alta dirección debe revisar el sistema de gestión de la seguridad de la información de la
organización a intervalos planificados para garantizar su conveniencia, suficiencia y eficacia.

La revisión por la dirección debe incluir la consideración de:

a) el estado de las acciones de revisiones previas por la dirección;

b) los cambios en los asuntos externos e internos que son pertinentes para el sistema de
gestión de la seguridad de la información;

e) la retroalimentación sobre el desempeño de la seguridad de la información, incluyendo a

las tendencias en:

1) las no conformidades y las acciones correctivas;

2) los resultados del seguimiento y la medición;

3) los resultados de la auditoría; y

4) el cumplimiento de los objetivos de seguridad de la información;

d) retroalimentación de las partes interesadas;

e) resultados de la evaluación de riesgos y estado del plan de tratamiento de riesgos; y

f) oportunidades para la mejora continua.

Los resultados de la revisión por la dirección deben incluir a las decisiones relacionadas con las
oportunidades de mejora continua y cualquier necesidad de cambios para el sistema de gestión de
la seguridad de la información.

La organización debe conservar la informadón:docú'mentada como evidencia de los resultados de

las revisiones por la dirección. 1 -;~::u . . ' i: ,
>"·¡ ,.·~:]
:;\; k1 ~:!:f \
~~r~~s;\1{Lit_,, ...... ,. __ . . .~

:._
,16- l'ij~~:~'/ ·;> /

10.1 No conformidades y acciones:~orrectivas ,,:;,,,,,¡

\; úl! tr,i\:~Y'~'t;\ l~ J.~·{~;L~ ~\'1f~) ~t~ ~ ~

Cuando se produce una no conformidM.''Iª;~~:!'~ga,:o'izá'cJó'rí clebe:

f ,_ ::.:· ¡_., ........~;. . ..... ·" "'"". ,, ·~.:.·.... ..~
a) reaccionar a la no conformidad, y, según corresponda:

1) adoptar medidas para controlar y corregirla; y

2) hacer frente a las consecuencias;

10
 UNIT-150/IEC 27001 :2013

b) evaluar la necesidad de adoptar medidas para eliminar las causas de la no conformidad a fin
de que no se repita u ocurra en otros lugares:

1) revisando la no conformidad;

2) determinando las causas de la no conformidad; y

3) determinando si existen o podrían ocurrir no conformidades similares;

e) implantar las medidas oportunas;

d) revisar la eficacia de las acciones correctivas adoptadas; y

e) realizar cambios al sistema de gestión de la seguridad de la información, si es necesario.

Las acciones correctivas deben ser apropiadas a los efectos de las no conformidades
encontradas.

La organización debe conservar la información documentada como evidencia de:

f) la naturaleza de las no conformidades y de cualquier acción adoptada posteriormente y

g) los resultados de cualquier acción correctiva.

10.2 Mejora continua

La organización debe mejorar continuamente la conveniencia, suficiencia y eficacia del sistema de
gestión de la seguridad de la información.

11
UNIT-150/IEC 27001 :2013

ANEXO A
(Normativo)

OBJETIVOS DE CONTROL DE REFERENCIA Y CONTROLES

Los objetivos de control y los controles indicados en la Tabla A.1 se derivan directamente de y se
alinean con los listados en la Norma ISO/lEC 27002 Capítulos 5 al 18 y se van a utilizar en el
contexto del apartado 6.1.3.

Tabla A.1 - Objetivos de control y controles

A.S Políticas de seguridad de la información

A.5.1 Orientación de la dirección para la seguridad de la información
Objetivo: Proporcionar orientación y apoyo de la dirección para la seguridad de la información de
acuerdo con los requisitos del negocio v leves pertinentes.
A.5.1.1 Políticas para la seguridad de Control
la información La dirección debe definir y
aprobar un conjunto de
polfticas para la seguridad de
la información y éstas se
deben publicar y comunicar a
todos los empleados y a las
oartes externas oertinentes ..
A.5.1.2 Revisión de las políticas para Control
la seguridad de la información Las políticas de seguridad de
la información deben ser
revisadas a intervalos
planificados o si ocurren
cambios significativos para
garantizar su continua
conveniencia, suficiencia y
eficacia.
A.6 Organización de la seguridad de la información
A.6.1 Organización interna
Objetivo: Establecer un marco de gestión par?,I!Ji~iar y controlar la implementación y la operación
de la seguridad de la información dentro de (a,org~hización.
A.6.1.1 Control
Todas las responsabilidades
deben ser definidas y
asianadas.
A.6.1.2 Control
Las funciones en conflicto y las
áreas de responsabilidad
deben ser segregadas para
reducir las oportunidades de
modificación no autorizada, no
intencional o por mal uso de
los acti,vos de la organización.
A.6.1.3 Contacto con autoridades Control
Deben mantenerse contactos
apropiados con las autoridades
relevantes.

12
 UNIT-ISO/lEC 27001 :2013

A.6.1.4 Contacto con grupos de Control

interés especial
A.6.1.5 Seguridad de la informaCión
en gestión de proyectos
Deben mantenerse los
contactos apropiados con los
grupos de interés especial u
otros foros especializados en
seguridad, así como
asociaciones de rofesionales.

*(VER LA NOTA UNIT 1)

Control
Debe adoptarse una política y
medidas de seguridad de
apoyo para gestionar los
riesgos introducidos por el uso
de dis ositivos móviles
A.6.2.2 Teletrabajo Control
Debe implantarse una política
y medidas de seguridad de
apoyo para proteger la
información accedida,
procesada o almacenada en
sitios de teletrabajo.

Objetivo: Asegurar que los empleados y contratistas entiendan sus responsabilidades y que sean
a tos ara los roles ara los cuales están siendo considerados.
A. 7. 1. 1 Selección Control
Debe realizarse la verificación
de antecedentes del empleo
de acuerdo con las leyes,
regulaciones y normas éticas
relevantes y en proporción a
los requisitos del negocio, la
clasificación de la información
a ser accedida, y los riesgos
percibidos.

* NOTA UNIT 1: Para profundizar en el concepto de abordaje de la seguridad de la información en

la gestión de proyectos véase el apartado 6.1.5 de la Norma UNlT-ISOIIEC 27002:2013

13
UNIT-ISO/IEC 27001:2013

A.7.1.2 Términos y condiciones de la Control

relación laboral Los acuerdos contractuales
con los empleados y
contratistas deben indicar sus
responsabilidades y las de la
organización en cuanto a la
seguridad de la información.

A. 7.2 Durante el empleo

Objetivo: Asegurar que los empleados y contratistas sean conscientes y cumplan con las
responsabilidades de seguridad de la información.
A. 7.2.1 Responsabilidades de la Control
dirección La dirección debe exigir a los
empleados y contratistas
aplicar la seguridad de
acuerdo con las políticas y los
procedimientos establecidos
por la organización.
A.7.2.2 Concientización, educación y Control
formación en seguridad de la Todos los empleados de la
información organización y cuando sea
pertinente, los contratistas,
deben recibir una educación
adecuada en concientización y
formación y actualizaciones
regulares en políticas y
procedimientos
organizacionales, relevantes
para su función laboral.
A.7.2.3 Proceso disciplinario Control
Debe existir un proceso
disciplinario formal y
comunicado para adoptar
medidas contra los empleados
que han perpetrado una
violación a la seguridad .
... ,.

A.7.3 Finalizacióny cambio de la relaciónlábond o.empleo

Objetivo: Proteger los intereses de la id'~ga.hif~qión cór:p,o,parte del proceso de cambiar o finalizar
la relación laboral • ..;;y rfl!':!l~~
o' ~.::J;: • !t . f,. ~~ !ll . ·:···
m~!'·' ·.,t,, \ ,. .

A. 7. 3. 1 Fi~a¡¡~ació~.tótq~piorg~ Control ..
respobsé;!bl}.ldlq~$;1aq()r~les Las responsabilidades y las
t \:::, •. ' t; !"'~·.Y''~' ,,} / funciones de la seguridad de la
"> información que siguen
vigentes luego de la
finalización o el cambio de la
relación laboral o empleo
deben ser definidas,
comunicadas al empleado o
contratista y obligatorias.

14
 UNIT-ISO/lEC 27001:2013

A.8 Gestión de activos

A.8.1 Res onsabilidad or los activos
Objetivo: Identificar los activos de la organización y definir las responsabilidades de protección
adecuadas.
A.8.1.1 Inventario de activos Control
Deben ser identificados los
activos asociados con los
recursos de procesamiento de
información y con la
información y se debe
establecer y mantener un
inventario de estos activos.
A.8.1.2 Propiedad de los activos Control
Los activos mantenidos en el
inventario deben contar con un
ro ietario.
A.8.1.3 Uso aceptable de los activos Control
Deben identificarse,
documentarse e implantarse
las reglas para el uso
aceptable de la información y
los activos asociados con la
información y con las
instalaciones de
rocesamiento de información.
A.8.1.4 Devolución de los activos Control
Todos los empleados y los
usuarios de partes externas
deben devolver todos los
activos de la organización en
su poder al término de su
empleo, contrato o acuerdo.

A.8.2 Clasificación de la información

Objetivo: Garantizar que la información reciba un nivel adecuado de protección de acuerdo con su
im ortancia ara la or anización.
A.8.2.1 Clasificación
.·
de·.lainformación
''.-,
Control
La información debe ser
clasificada en función de los
requisitos legales, del valor, de
la criticidad y de la sensibilidad
a la divulgación no autorizada
o a la modificación.
A.8.2.2 Control
Debe desarrollarse e
implantarse un conjunto
adecuado de procedimientos
para el etiquetado de la
información de acuerdo con el
esquema de clasificación de la
información, adoptado por la
organización.

15
UNIT-ISO/lEC 27001 :2013

A.8.2.3 Gestión de activos Control

Procedimientos para la gestión
de activos deben ser
desarrollados e implementados
de acuerdo con el esquema de
la clasificación de la
información adoptado por la
organización.
A.8.3 Manejo de medios
Objetivo: Prevenir la divulgación no autorizada, la modificación, la eliminación o la destrucción de
la información almacenada en los medios.
A.8.3.1 Gestión de los medios Control
removibles Deben implantarse
procedimientos para la gestión
de los medios removibles de
acuerdo con el esquema de
clasificación adoptado por la
organización.
A.8.3.2 Disposición de los medios Control
Los medios deben ser
dispuestos cuando ya no son
necesarios, utilizando
procedimientos formales.
A.8.3.3 Transferencia de medios Control
físicos Los medios que contienen
información deben ser
protegidos contra el acceso no
autorizado, el mal uso o la
corrupción durante el
transporte.

A.9 Control de acceso

A.9.1 Requisitos de negocios del control de acceso
Objetivo: Limitar el acceso a la información y a las instalaciones de procesamiento de información
A.9.1.1 Política de control de acceso Control
Una política de control de
.;·, ¡/";,:·
acceso debe ser establecida,
' documentada y revisada en

(~
base a los requisitos de

'
i~1~J~, ·:\
"'"''
negocios y de la seguridad de
la información.
A.9.1.2 Acqé~9 ci l~:s ~~:<i~!3, y ,ci' 19s Control
servi~i~~~ de réd ·· ~··,;::( '-"/ Los usuarios sólo deben
disponer de acceso a las redes
y a los servicios de red a los
que han sido autorizados
específicamente para su uso.

16

A.9.2 Gestión de acceso del usuario
Objetivo: Garantizar el acceso autorizado a los usuarios y evitar el acceso no autorizado a los
sistemas y servicios.
A.9.2.1 Registro y baja de usuarios
A.9.2.2 Provisión de acceso a los
usuarios
A.9.2.3 Gestión de derechos de
acceso privilegiados
A.9.2.4 Gestión de información de
autenticación secreta de los
usuarios
A.9.2.5 Revisión de los derechos de
acceso de los usuarios
A.9.2.6 Remoción o ajuste de los
derechos de acceso
A.9.3 Responsabilidades del usua~ie>.; :.. ,.,. ,·, .L ,, ·.;·: '¡]
Objetivo: Hacer que los usuarios sea!l''r~~pqi)~'~l;?le·~·,·~·e,s¡;¡lvaguardar su información de
autenticación. L.,""'~:::.~.:.·;-:.~:::'::'·:::·'~:J:~~...... , ,;
A.9.3.1 Uso de la información de
autenticación secreta
17
UNIT-150/IEC 27001:2013
Control
Un proceso formal de registro
y baja de usuarios debe ser
implementado para permitir la
asignación de derechos de
acceso.
Control
Debe implantarse un proceso
de provisión de acceso de
usuario para asignar o revocar
los derechos de acceso para
todos los tipos de usuarios de
todos los sistemas y servicios.
Control
La asignación y la utilización
de los derechos de acceso
privilegiados deben ser
restringidas y controladas.
Control
La asignación de información
de autenticación secreta debe
ser controlada a través de un
proceso de gestión formal.
Control
Los propietarios de los activos
deben revisar los derechos de
acceso de los usuarios a
intervalos planificados.
Control
Los derechos de acceso de
todos los empleados y de los
usuarios externos a la
información y a las
instalaciones de
procesamiento de la
información deben ser
removidos luego de la
finalización del empleo,
contrato o acuerdo, o ser
ajustados al cambio.
Control
Los usuarios deben seguir las
prácticas de la organización en
el uso de la información de
autenticación secreta.
UNIT-150/IEC 27001:2013

A.9.4 Control de acceso del sistema y la aplicación

Objetivo: Prevenir el acceso no autorizado a los sistemas y__ las aQiicaciones.
A.9.4.1 Restricción de acceso a la Control
información El acceso a la información y a
las funciones de aplicación del
sistema debe ser restringido
de acuerdo con la política de
control de acceso.
A.9.4.2 Procedimientos seguros de Control
inicio de sesión (log on) Cuando lo requiera la política
de control de acceso, el
acceso a los sistemas y
aplicaciones debe ser
controlado por un
procedimiento seguro de inicio
de sesión (log on)
A.9.4.3 Sistema de gestión de Control
contraseña Los sistemas de gestión de
contraseñas deben ser
interactivos y deben garantizar
contraseñas de calidad.
A.9.4.4 Uso de programas utilitarios Control
privilegiados El uso de programas utilitarios
que podría ser capaz de anular
los controles del sistema y de
las aplicaciones debe ser
restringido y estrechamente
controlado.
A.9.4.5 Control de acceso del código Control
fuente del programa El acceso al código fuente del
programa debe ser restringido.

A.1 O Crij:)tografía
A.10.1 Controles criptográficos
Objetivo: Garantizar el uso adecuado y eficaz de la criptografía para proteger la confidencialidad,
la autenticidad o la integridad de la infqrmación.
A.10.1.1 Política sobre'el,uso de los Control
cont~l~,crlí)\8grá[\é,o~\)
t -~>} -:"~··-·····"······ t;.,:~:,'
Debe desarrollarse e
implantarse una política sobre

A.10.1.2
(t r');~" 'r~c: '~,:
Gestión ,de claves ,, >
>.·.>
!
el uso de los controles
criptográficos para proteger la
información.
Control
Debe desarrollarse e

~~ ~<~,i'ii:i~~;'~;¡~¡~;~;?X'
implantarse una política sobre
el uso, protección y duración
de las claves criptográficas a
través de todo su ciclo de vida.

18
 UNIT-ISO/lEC 27001 :2013

A.11 Seguridad física y del ambiente

A.11.1 Areas seguras
Objetivo: Evitar accesos físicos no autorizados, daños e interferencias contra las instalaciones de
procesamiento de información y la información.
A.11.1.1 Perímetro de seguridad física Deben definirse los perímetros
de seguridad y ser utilizados
para proteger las áreas que
contienen información sensible
o critica e instalaciones de
procesamiento de información.
A.11.1.2 Controles de acceso físico Control
Las áreas seguras deben estar
protegidas por controles de
entrada apropiados que
aseguren que sólo se permite
el acceso de personal
autorizado.
A.11.1.3 Seguridad de oficinas, Control
despachos e instalaciones Debe diseñarse y aplicarse
seguridad física a oficinas,
despachos e instalaciones.
A.11.1.4 Protección contra amenazas Control
externas y del ambiente Debe diseñarse y aplicarse
protección física contra
desastres naturales, ataques
maliciosos o accidentes.
A.11.1.5 El trabajo en las áreas seguras Control
Deben diseñarse y aplicarse
procedimientos para trabajar
en áreas seguras.
A.11.1.6 Areas de entrega y de carga Control
Los puntos de acceso tales
como áreas de entrega y de
carga y otros puntos donde las
personas no autorizadas
puedan acceder a las
instalaciones deben ser
'·'' (
_,
controlados y, si es posible,
aislados de las instalaciones

~~ .~
de procesamiento de
información para evitar el
\" acceso no autorizado.
A.11.2 Equipamiento \, \~> i:0±';;i~'i;]- .// /

Objetivo: Prevenir pérdidas, daños, hurtos' o compróh1!3ter los activos, así como la interrupción de
las operaciones de la organización. r·:.,,,,' ' ' ,.,,,
~'- ;·~
A.11.2.1 Ubicac_i4!\Y:·ptpt~~ci~n
¡, ·i ,,, .• ·v•. ,; • q
<:!el Control
~,,,, 4 .•.• ~ .• i .J.\c., 1.

equipamiento · ---.---·--- ' El equipamiento debe estar

ubicado y ser protegido para
reducir los riesgos
ocasionados por amenazas y
peligros ambientales, y
oportunidades de acceso no
autorizado.

19
UNIT-ISO/lEC 27001 :2013

A.11.2.2 Servicios de apoyo Control

Debe protegerse el
equipamiento contra posibles
fallas en el suministro de
energía y otras interrupciones
causadas por fallas en los
servicios de apoyo
A.11.2.3 Seguridad en el cableado Control
El cableado de energía y de
telecomunicaciones que
transporta datos o servicios de
información de apoyo deben
ser protegidos de la
interceptación, la interferencia
o los daños.
A.11.2.4 Mantenimiento del Control
equipamiento El equipamiento debe recibir el
mantenimiento correcto para
asegurar su permanente
disponibilidad e integridad.
A.11.2.5 Remoción de los activos Control
Los equipamientos, la
información o el software no se
deben sacar fuera de las
instalaciones de la
organización sin autorización
_Qrevia.
A.11.2.6 Seguridad del equipamiento y Control
de los activos fuera de las Deben asegurarse todo los
instalaciones de la activos fuera de los locales de
organización la organización, teniendo en
cuenta los diferentes riesgos
de trabajar fuera de las
instalaciones de la
or-g_anización.
A.11.2.7 Seguridad en la reutilización o Control
eliminación de los equipos Todo aquel equipamiento que
contenga medios de
almacenamiento debe
revisarse para asegurar que
todos los datos sensibles y
software licenciado se hayan
removido o se haya sobrescrito
' con seguridad antes de su
'.-~'-"'"'--'.''>'

i\_ '''.. "· ..,, .•.. ":1 disposición o reutilización.

A.11.2.8 Eq4.ipó:de iúsúario·de·satendido Control
r.~if) é;~,~y;,\..i'E~~u.-:.~:/;',·f.ii~. ~
.. Los usuarios deben
asegurarse de que a los
equipos desatendidos se les
da protección adecuada.

20
 UNIT-ISO/lEC 27001 :2013

A.11.2.9 Política de escritorio y pantalla Control

limpios Debe adoptarse una política de
escritorio limpio para papeles y
medios de almacenamiento
removibles y una política de
pantalla limpia para las
instalaciones de
procesamiento de información.

A.12 Seguridad de las operaciones

A.12.1 Procedimientos y responsabilidades operacionales
Objetivo: Asegurar el funcionamiento correcto y seguro de las instalaciones de procesamiento de
información.
A.12.1.1 Procedimientos documentados Control
de operación Los procedimientos de
operación deben
documentarse, mantenerse y
ponerse a disposición de todos
los usuarios que los necesiten.
A.12.1.2 Gestión de cambios Los cambios en la
organización, los procesos del
negocio, las instalaciones de
procesamiento de información
y los sistemas que afectan la
seguridad de la información,
deben ser controlados.
A.12.1.3 Gestión de la capacidad Control
Debe supervisarse y adaptarse
el uso de recursos, así como
proyecciones de los futuros
requisitos de capacidad para
asegurar el desempeño
requerido del sistema.
A.12.1.4 Separación de los recursos Control
para desarrollo, prueba y Los recursos para el
ambientes operacionales desarrollo, prueba y ambientes
operacionales deben
separarse para reducir los
riesgos de acceso no
autorizado o los cambios en el
ambiente operacional.

Objetivo: Asegurar que la información y.Jas instalacio~es de procesamiento de información están

protegidas contra el malware. r:,;';"':,;,,.,T; ;,; ,,,,,, w,:,.~~'~'~
A.12.2.1 Coritroléá :,:. 1',,-! :.
~·.; !i
cOfittá.ePiiialware
'!
'i,.\<·1~'\:,,Y-;f'
·;r,'
Control
~

Los controles de detección,

prevención, y recuperación
para proteger contra el
malware deben ser
implementados, combinados
con el conocimiento
correspondiente del usuario.

21
UNIT-150/IEC 27001 :2013

A.12.3 Respaldo
Objetivo: Protección contra la pérdida de datos.
A.12.3.1 Respaldo de la información Control
Deben hacerse regularmente
copias de seguridad de la
información y del software y
probarse regularmente acorde
con la _política de respaldo.
A.12.4 Registro y seguimiento
Objetivo: Registrar los eventos ' generar evidencia.
A.12.4.1 Registros de eventos Control
Los registros de eventos que
registran actividades del
usuario, excepciones, fallas y
eventos de seguridad de la
información deben ser
producidos, mantenidos y
revisados regularmente.
A.12.4.2 Protección de la información Control
de registros (logs) Los medios de registro y la
información de registro se
deben proteger contra
alteración y acceso no
autorizado.
A.12.4.3 Registros del administrador y Control
del operador Las actividades del
administrador y del operador
del sistema se deben registrar
y los registros deben ser
protegidos y revisados
regularmente.
A.12.4.4 Sincronización de relojes Los relojes de todos los
sistemas de procesamiento de
información pertinente dentro
de una organización o dominio
de seguridad deben estar
•""•""•·.·.·
sincronizados a una sola
, K~·-~·,
'• fuente de referencia de tiempo.
'.~:;e:· · .· · · · · ·
~' ;,:j :~Y~'~ f:~"x; "''' \
A.12.5 Control del software en ~reid~cci6h':;!;;,;,,;,;~.
:.: .
Objetivo: Garantizar la integridad de\lo$.sist4rne:1s:ooerativbs.
A.12.5.1 lnsf9lab),9n de''SOffiiy§li'~¡Em los Control
sistem~~ operativos . / Deben implantarse
r···=···'·· ,, . .,.,,. ,
procedimientos para controlar
! i la instalación de software en
r '- los sistemas operativos

22
 UNIT-ISO/lEC 27001:2013

A.12.6 Gestión de la vulnerabilidad técnica

Objetivo: Evitar la explotación de vulnerabilidades técnicas.
A.12.6.1 Gestión de vulnerabilidades Control
técnicas Debe obtenerse información
oportuna acerca de las
vulnerabilidades técnicas de
los sistemas de información,
debe evaluarse la exposición
de la organización a estas
vulnerabilidades, y deben
tomarse las medidas
apropiadas para abordar el
riesgo asociado.
A.12.6.2 Restricciones a la instalación Control
de software Deben establecerse e
implantarse reglas relativas a
la instalación de software por
los usuarios.

A.12.7 Consideraciones de la auditoría de sistemas de información

Objetivo: Minimizar el impacto de las actividades de auditoría en los sistemas operativos.
A.12. 7.1 Controles de auditoría de
sistemas de información
Control
Los requisitos y las actividades
de auditoría que implican la
verificación de los sistemas
operativos se deben planificar
y acordar cuidadosamente
para minimizar las
interrupciones en los procesos
del negocio.

A.13 Seguridad de las comunicaciones

A.13.1 Gestión de seguridad de la red
Objetivo: Garantizar la protección de la información en las redes y en sus recursos de
procesamiento de información de apoyo.
A.13.1.1 Controles de la red Control
Deben gestionarse y
controlarse las redes para
proteger la información en los
sistemas y las aplicaciones.
A.13.1.2 Control
Los mecanismos de seguridad,
los niveles de servicio y los
requisitos de gestión de todos
los servicios de red deben ser
identificados e incluidos en los
acuerdos de servicios de red,
ya sea que estos servicios
sean prestados en la empresa
o subcontratados.

23
UNIT-ISO/lEC 27001 :2013

A.13.1.3 Segregación en las redes Control

Los grupos de servicios de
información, los usuarios y los
sistemas de información deben
ser segregados en las redes.

A.13.2 Transferencia de información

Objetivo: Mantener la seguridad de la información transferida dentro de la organización y con
cualauier entidad externa.
A.13.2.1 Políticas y procedimientos de
transferencia de información
A.13.2.2 Acuerdos sobre la
transferencia de información
A.13.2.3 Mensajería electrónica
A.13.2.4 Acuerdos de confidencialidad
o no divulgación
. ·! {)
Control
Deben establecerse políticas,
procedimientos y controles
formales de transferencia, para
proteger la transferencia de
información a través del uso de
todo tipo de medios de
comunicación.
Control
Los acuerdos deben abordar la
transferencia de información
comercial entre la organización
y las partes externas.
Control
La información involucrada en
la mensajería electrónica se
debe proteger
apropiadamente.
Control
Deben identificarse, revisarse
regularmente y documentarse
los requisitos sobre acuerdos
de confidencialidad o no
divulgación que reflejan las
necesidades de la
organización para la protección
de la información .
!(~ ,~·::

. l . .• ~:::· •.. "··--=······=·········::.::_·····.~<·..__.· · ' - - - - · - - - L - - - - - - - - - - - 1

A.14 Adquisi~ión, desarrollo y mantehil:íliei:lt«p~ los. Sistemas
A.14.1 Requisitos de seguridad dd lps slstemas;de información
Objetivo: Garantizar que la seguridaq ~E;¡ la i(jfotm~~iór¡i.:es' una parte integral de los sistemas de
información, a través de todo el ciclo 'qé~yida': Esto'·t8,qioi#n incluye los requisitos para los
sistemas de información que proporcidnálí' los serviéios"a través de redes públicas.
A.14.1.1 An~fi~iS.;.~,~~P,~.~,i~iR.fi~jo~ de los Control
reqüisit9i?',~~!~~gQ,fíCiad 'kle la Los requisitos relacionados
infdrmación ~ "' ' · · con la seguridad de la
información se deben incluir en
los requisitos para los nuevos
sistemas de información o para
las mejoras a los sistemas de
información existentes.

24

A.14.1.2 Servicios de aplicación de
seguridad en las redes
públicas
A.14.1.3 Transacciones de protección
de los servicios de aplicación
A.14.2 Seguridad en los procesos de desarrollo y soporte
Objetivo: Garantizar que la seguridad de la información se ha diseñado e implementado en el
ciclo de vida del desarrollo de los sistemas de información.
A.14.2.1 Política de desarrollo seguro Control
A.14.2.2 Procedimientos de control de
cambios del sistema
A.14.2.3
25
UNIT-150/IEC 27001 :2013
Control
La información implicada en
los servicios de aplicación que
pasa a través de las redes
públicas debe estar protegida
contra la actividad fraudulenta,
la disputa contractual y la
divulgación y modificación no
autorizada.
Control
La información implicada en
las transacciones de los
servicios de aplicación debe
estar protegida para prevenir la
transmisión incompleta, la
omisión de envío, la alteración
no autorizada del mensaje, la
divulgación no autorizada, la
duplicación o repetición no
autorizada del mensaje.
Deben establecerse y
aplicarse reglas para el
desarrollo de software y
sistemas dentro de la
organización.
Control
Los cambios en los sistemas
dentro del ciclo de vida de
desarrollo se deben controlar
por el uso de procedimientos
de control de cambios
formales.
Control
Cuando las plataformas
operativas cambian, las
aplicaciones críticas del
negocio se deben revisar y
poner a prueba para asegurar
que no hay impacto adverso
en las operaciones o en la
seguridad de la organización.
UNJT-ISO/lEC 27001 :2013

A.14.2.4 Restricciones en los cambios a Control

los paquetes de software Debe desalentarse la
realización de modificaciones a
los paquetes de software, que
se deben limitar a los cambios
necesarios, y todos los
cambios se deben controlar
estrictamente.
A.14.2.5 Principios de la ingeniería de Control
sistemas segura Los principios de la ingeniería
de sistemas segura deben ser
establecidos, documentados,
mantenidos y aplicados a los
esfuerzos de implementación
de cualquier sistema de
información.
A.14.2.6 Entorno de desarrollo seguro Control
Las organizaciones deben
establecer y proteger
adecuadamente los entornos
de desarrollo seguro para los
esfuerzos de desarrollo e
integración de sistemas, que
cubren todo el ciclo de vida de
desarrollo del sistema.
A.14.2.7 Desarrollo subcontratado Control
La organización debe
supervisar y realizar el
seguimiento de las actividades
de desarrollo de sistemas
subcontratadas.
A.14.2.8 Pruebas de seguridad de Control
sistemas Deben llevarse a cabo pruebas
de las funcionalidades de
seguridad, durante el
desarrollo.
A.14.2.9 Pruebas de aceptación de Control
sistemas, .. ;': ''-"
Deben establecerse
programas de pruebas de
aceptación y los criterios
' f,¡r)'!j!i . relacionados para nuevos
sistemas de información,
. ., >
', ........ > actualizaciones
versiones.
y nuevas

A.14.3 Datos de~eba . .· . ·· .· .•• •••·•· · ·.,·.· · · · '·....•,. .. . . . •.•...• . .~·:-----:-------------1

Objetivo: Garantizar la protección de 'los•datosiufilizadós para la prueba.
A.14.3.1 ProtecCi6ri de lbs datos de ""'c'=o""n.:ct'ro--:1----------1
prueba Los datos de prueba se deben
seleccionar, proteger y
controlar cuidadosamente.

26
 UNIT-ISO/lEC 27001 :2013

A.15 Relaciones con Jos proveedores

A.15.1 Seguridad de la información en las relaciones con Jos proveedores
Objetivo: Garantizar la protecCión de los activos de la organización, accesibles por los
proveedores.
A.15.1.1 Política de seguridad de la Control
información. para las Los requisitos de seguridad de
relaciones con los información para la mitigación
proveedores de los riesgos asociados con el
acceso del proveedor a los
activos de la organización
deben ser acordados con el
proveedor y documentados.
A.15.1.2 Abordar la seguridad dentro de Control
los acuerdos con los Todos los requisitos
proveedores pertinentes de seguridad de la
información deben ser
establecidos y acordados con
cada proveedor que pueda
acceder, procesar, almacenar,
comunicar o proporcionar
componentes de la
infraestructura de TI para la
información de la organización.
A.15.1.3 Cadena de suministro de las Control
tecnologías de la información y Los acuerdos con los
las comunicaciones proveedores deben incluir
requisitos para gestionar los
riesgos de seguridad de la
información asociados con la
cadena de suministro de
información y de servicios y
productos de tecnologías de
las comunicaciones.

A.15.2 Gestión de la prestación de servicios del proveedor

Objetivo: Mantener un nivel acordado de s~eguridad,pe la información y de la prestación de
servicios en línea con los acuerdos con h:is"próveectores.
A.15.2.1 Segd~~í~qtpi':yrevisiQJl'<;Je los Control
serfticibs~~~ IR~~~tovégd9res Las organizaciones deben
¡ é1'~'\""~~ '' 11~ ¡ realizar el seguimiento, revisar
\ f\j ;' y auditar regularmente la
\ >; , prestación de servicios de los
·"' ' proveedores.
r;-~··,~·:••w:.~ ·~ o,J.'j_,.,, ,•,:<·:

~ i
!' _1J\:>:~ {;~lPIII 1
r ,, ¡
f'~:··.>-do.O"'\"'~\ w;:I<..U"%.'"ol:•.'"'"W.:if,'.>f,<,••,••I'::,!II."""!!.W.'r>-.:W.!!."'-'O"'""'"§

27
UNIT-150/IEC 27001 :2013

A.15.2.2 Gestión de cambios en los Control

servicios de los proveedores Los cambios en la prestación
de servicios de los
proveedores, incluyendo el
mantenimiento y mejora de
políticas, procedimientos y
controles existentes de
seguridad de la información
deben ser gestionados,
teniendo en cuenta la criticidad
de la información, sistemas y
procesos de negocios
involucrados y la reevaluación
de los riesgos.

Objetivo: Garantizar un enfoque coherente y eficaz a la gestión de incidentes de seguridad de la

información, inclu endo fa comunicación de eventos de se uridad debilidades.
A.16.1.1 Responsabilidades y Control
procedimientos Deben establecerse
responsabilidades y
procedimientos de gestión
para asegurar una respuesta
rápida, eficaz y metódica a los
incidentes de seguridad de fa
información.
A.16.1.2 Reporte de eventos de Control
seguridad de la información Los eventos de seguridad de la
información se deben reportar
a través de los canales de
gestión apropiados, lo más
rá idamente asible.
A.16.1.3 Reporte de las debilidades de Control
seguridad de fa información Los empleados y contratistas
que utilizan los sistemas y
servicios de información de la
organización, deben observar
y reportar cualquier debilidad
en la seguridad de sistemas o
servicios, observada o que se
sos eche.
A.16.1.4 Eva~ü~gión"'y ISiéuj'isóbre Control
los ev~ntos de s~gurid~d de la Los eventos de seguridad de la
infopu,~~l$.9 ¡.;"'';" (lj' ;m información deben ser
t. . ·~ ~.-;:;:,t::::;',.;::;·;~;~.);;:;·;'!: !'
f,
evaluados y se debe decidir si
son clasificados como
incidentes de seguridad de la
información.

28

A.16.1.5 Respuesta a incidentes de
seguridad de la información
A.16.1.6 Aprender de los incidentes de
seguridad de la información
A.16.1.7 Recopilación de evidencia
A.17 As ectos de se uridad de la información en la estión de la continuidad del ne ocio
A.17.1 Continuidad de la se uridad de la información
Objetivo: La continuidad de la seguridad de la información debe ser incluida en los sistemas de
estión de continuidad del ne ocio de la or anización.
A.17.1.1 Planificación de la continuidad
de la seguridad de la
información
A.17.1.2 Implementación de la
de la,i5,e,gu,ridad de La organización debe
ntr.r,.,..,o-:>l"'l"'n
29
UN IT-ISO/lEC 27001 :2013
Control
Los incidentes de seguridad de
la información deben ser
respondidos de acuerdo con
los procedimientos
documentados.
Control
Los conocimientos adquiridos
en el análisis y la resolución de
los incidentes de seguridad de
la información deben ser
utilizados para reducir la
probabilidad o el impacto de
futuros incidentes.
Control
La organización debe definir y
aplicar procedimientos para la
identificación, recopilación,
adquisición y conservación de
información, que puede servir
como evidencia.
Control
La organización debe
determinar sus requisitos para
la seguridad de la información
y la continuidad de la gestión
de la seguridad de la
información en situaciones
adversas, por ejemplo, durante
una crisis o desastre.
Control
'e·~:- -~ establecer, documentar,
implantar y mantener
procesos, procedimientos y
controles para garantizar el
nivel requerido de continuidad
para la seguridad de la
información durante una
situación adversa.
UNIT-150/IEC 27001 :2013
A.17.1.3 Verificar, revisar y evaluar la
continuidad de la seguridad de
la información
A.17.2 Redundancia
Ob"etivo: Garantizar la dis onibilidad de las instalaciones de rocesamiento de información.
A.17.2.1 Disponibilidad de las
instalaciones de
procesamiento de información
Identificación de la legislación
aplicable y los requisitos
contractuales
A.18.1.2 Derechos de propiedad
intelectual
A.18.1.3
30
Control
La organización debe verificar
los controles establecidos e
implementados de la
continuidad de la seguridad de
la información a intervalos
regulares, con el fin de
asegurar que sean válidas y
efectivas en situaciones
adversas.
Control
Deben implantarse las
instalaciones de
procesamiento de información
con la suficiente redundancia
como para cumplir con los
re uisitos de dis onibilidad.
Control
Todos los requisitos
legislativos estatutarios,
reglamentarios, contractuales y
el enfoque de la organización
para cumplirlos deben ser
explícitamente identificados,
documentados y actualizados
para cada sistema de
información y para la
or anización.
Control
Deben implantarse
procedimientos apropiados
para asegurar el cumplimiento
de los requisitos legislativos,
reglamentarios y contractuales
relacionados con los derechos
de propiedad intelectual y el
uso de productos de software
atentados.
Control
Los registros se deben
proteger contra pérdida,
destrucción, falsificación,
acceso no autorizado y
divulgación no autorizada, de
acuerdo con los requisitos
legislativos, reglamentarios,
contractuales de ne ocios.
 UNIT -ISO/lEC 27001 :2013

A.18.1.4 Privacidad y protección de Control

datos personales Debe asegurarse la privacidad
y la protección de los datos
personales, como se exige en
la legislación y en la
regulación, según
corresponda.
A.18.1.5 Regulación de los controles Control
criptográficos Deben utilizarse controles
criptográficos que cumplan con
todos los acuerdos, leyes y
reglamentos relevantes.

A.18.2 Revisiones de se uridad de la información

Objetivo: Garantizar que la seguridad de la información sea implementada y que funciona de
acuerdo con las olíticas rocedimientos de la or anización.
A.18.2.1 Revisión independiente de
seguridad de la información
A.18.2.2 Conformidad con las políticas
y las normas de seguridad
A.18.2.3 Reyi$ión'de cqtifé:lrmidad
técpica ~~ J:~ .)
r¡' f
Control
El enfoque de la organización
para gestionar seguridad de la
información y su
implementación (es decir,
objetivos de control, controles,
políticas, procesos y
procedimientos para la
seguridad de la información)
deben ser revisados
independientemente a
intervalos planificados o
cuando se produzcan otros
cambios si nificativos.
Control
Los directivos deben revisar
regularmente la conformidad
con el procesamiento y los
procedimientos de información,
dentro de su área de
responsabilidad con las
políticas, normas y otros
requisitos de seguridad
adecuados.
Control
Los sistemas de información
deben ser revisados
regularmente por su
conformidad con las políticas y
las normas de seguridad de la
información de la or anización.

31
UNIT-ISO/IEC 27001:2013

BIBLIOGRAFÍA

[1] ISO/lEC 27002:2013, Tecnología de la información- Técnicas de seguridad- Código de

buenas prácticas para los controles de seguridad de la información.

[2] ISO/lEC 27003, Tecnología de la información- Técnicas de seguridad- Directrices para

la implantación de un sistema de gestión de la seguridad de la información.

[3] ISO/lEC 27004, Tecnología de la información - Técnicas de seguridad - Gestión de la

seguridad de la información - Medición.

[4] ISO/lEC 27005, Tecnología de la información - Técnicas de seguridad - Gestión del

riesgo de seguridad de la información.

[5] ISO 31000:2009, Gestión del riesgo- Principios y directrices.

[6] Directivas ISO/lEC, Parte 1, Suplemento Consolidado de /SO, Procedimientos específicos

de /SO, 2012.

32
 UNIT-ISO/lEC 27001 :2013

INFORME CORRESPONDIENTE A LA NORMA UNIT-ISO/IEC 27001:2013

TECNOLOGIA DE LA INFORMACIÓN
TÉCNICAS DE SEGURIDAD -SISTEMAS DE GESTIÓN DE LA
SEGURIDAD DE LA INFORMACIÓN - REQUISITOS

1 - INTRODUCCION

La gestión eficaz de la seguridad de los sistemas de información es un aspecto primordial para

salvaguardar a las organizaciones de los riesgos e inseguridades procedentes de una amplia
variedad de fuentes que pueden dañar de forma importante sus sistemas de información.
La Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional
(lEC), de las cuales UNIT es miembro, han desarrollado una serie de normas internacionales de
amplísima difusión a nivel mundial al respecto a esta problemática.
Se entendió oportuno considerar la adopción como normas técnicas nacionales de estas
mencionadas normas internacionales y para ello se constituyó en nuestro Instituto un Comité
Técnico Especializado para la elaboración de Normas Técnicas UNIT sobre Seguridad de la
Información.
Esta Norma especifica los requisitos para establecer, implantar, operar, hacer el seguimiento,
revisar, mantener y mejorar sistemas de gestión de seguridad de la información (SGSI)
formalizados dentro del contexto del riesgo de negocio general de la organización. Especifica los
requisitos para la implantación de controles de seguridad de la información adaptados a las
necesidades de cada una de las organizaciones o parte de ellas. Esta Norma puede ser utilizada
por todo tipo de organización, independientemente del tipo, tamaño o naturaleza.

2 - COMITÉ ESPECIALIZADO

A los efectos de integrar dicho Comité Especializado se solicitaron delegados a: Ministerio de

Defensa Nacional, Ministerio de Desarrollo Social, Cámara Uruguaya de Tecnología Informática
(CUTI), URSEC, Facultad de Ingeniería - Universidad de la República, Asociación de Bancos del
Uruguay, Asociación de Ingenieros del Uruguay, ISACA Capítulo Montevideo, ISSA Capítulo
Uruguay, BPS, ANTEL, UTE, ANCAP, IMM, LATU, IBM del Uruguay, Microsoft Uruguay S.A.,
Banco Central del Uruguay, BROU, Banco Hipotecario del Uruguay, Comisión Local de
Aseguradores, BSE y Citybank National Association Sucursal Uruguay

3-ANTECEDENTES
.p:';'''''''""'~'':'"J.;.;:··.o,......, . ,

Para la elabo~ación de la presente norr.~~:·~I>Co'íriité,~~~eecializado tuvo en cuenta los siguientes

antecedentes. / it~) " , ·-~;.. \
i . ::; '1\¡¡ '¡¡) \
Organizacic?~:Jnt~ ,iBflal d~J ~ormalización
ISO/lEC 27001:2013 lnforma~ion teclip'?).P9Y ¡sf&u¡ilY t.~btiniques- lnformation security
management systems - ReqUirements\ ':s~ · l'i i i);f,m ,;)· )
\\ •4')<- ·{t:i Al

! ;~::.:·:~: ~,~·~)~:\~, ~~5,~~

4':CONSJDER doNES
!
Esta norma corresponde íntegramentJ.cd~:~I§:Ñ6Ff6~~]~ter~acionaiiSO/IEC 27001:2013.
Esta norma anula y sustituye a la Norma UNIT-ISO/IEC 27001:2005.
En esta Norma UNIT-ISO/IEC no se han introducido modificaciones al texto original de la norma
internacional referida.
El proyecto correspondiente a esta norma fue aprobado el 03 de octubre de 2013 por el Comité
Especializado y el 1O de octubre de 2013 por el Comité General.

33
INSTITUTO URUGUAYO

I!I~J INSTITUTO URUGUAYO DE NORMAS TÉCNICAS

ll o
DE NORMAS TECNICAS
Más de 70 años dedicados a la promoción y el mejoramiento
de la calidad en beneficio de la comunidad

NORMALIZACIÓN
Realizada a nivel nacional mediante comités especializados, integrados por representantes de todos los sectores
involucrados, que dan respuesta a solicitudes formuladas por instituciones oficiales y/o empresas privadas,
referentes a los requisitos técnicos que deben cumplir determinados productos, a los métodos de ensayo que se
deben utilizar en su medición, elementos de seguridad, etc.
Las normas UNIT encaran temas tan diversos como: Gestión de la Calidad, Gestión Ambiental, Materiales de
Construcción, Electrotecnia, Seguridad y Salud Ocupacional, Productos Alimenticios, Textiles, Dibujos, Fertilizantes,
Cueros, Metales, Sanitaria, Pinturas, Material de Lucha contra Incendios, Recipientes para Gases, Maderas,
Papeles, etc.
Muchas de ellas han sido declaradas de cumplimiento obligatorio por el Poder Ejecutivo y diversas Intendencias
Municipales.
A nivel internacional se participa en la elaboración de normas ISO, lEC, COPANTy MERCOSUR.

CAPACITACIÓN
Fue UNIT quien inició en Uruguay la capacitación en Calidad (1971 ), así como en otras areas de gestión.
Los más de 120 cursos diferentes en áreas relacionadas que dicta pueden ser realizados en forma independiente,
aún cuando han sido estructurados en forma de los siguientes Diplomas:
Especialista y Técnico en Gestión de la Calidad UNIT·ISO 9000; Especialista en Gestión Ambiental
UNIT-ISO 14000; Especialista UNIT en Gestión de la Seguridad y Salud Ocupacional UNIT 18000 y
Especialista UNIT en Recursos Humanos para Sistemas de Gestión.
A quienes obtengan estos 4 Diplomas de Especialista se les otorga además el Diploma Superior en Sistemas
UNIT de Gestión.
Otros diplomas que integran el programa de Capacitación son:
Especialista UNIT en Logística Empresarial e Internacional; Especialista UNIT en Gestión Forestal Sostenible;
Especialista UNIT en Gestión de la Seguridad en la Información; Especialista UNIT en Gestión de la Energía;
Especialista UN/Ten Gestión de los Servicios de Tecnología de la Información (UNIT·ISO/IEC 20000)
Especialista UN/Ten Gestión de la Calidad en los Laboratorios de Análisis y Ensayo (UNIT-ISO/IEC 17025)
Especialista UNIT en Gestión de la Calidad en los Laboratorios de Análisis Clínicos (UNIT-ISO 15189)
Especialista UNIT en Gestión de la Calidad en Servicios de Salud; Especialista UNIT en Inocuidad
Alimentaria; Supervisor en Gestión de la Calidad UNIT·ISO 9000 y Formación en Protección contra Incendios
DNB-UNIT. Quienes obtengan el título de «Especialista o Técnico», estarán en condiciones de conducir la
implantación de los respectivos sistemas, en tanto los que reciban el título de «Supervisor en Gestión de Calidad»
estarán en condiciones de cooperar con los Especialistas en esa tarea.
Se dictan, además, cursos para la Formación de Auditores de Calidad y SYSO, Alta Gerencia y de aplicación de
las normas para Sistemas de Gestión en áreas específicas (Educación, Salud, Construcción, Agropecuaria, etc.)
así como cursos complementarios en las temáticas de Software, Turismo, Gestión ambiental, Laboratorios,
Inocuidad alimentaria, Gestión empresarial e Interacción con el cliente, además de cursos Técnicos y para
Operarios. Se destaca que cualquiera de éstos cursos pueden dictarse «in situ» en las empresas.
A través de UNIT se tiene la posibilidad de participar en diversos seminarios y simposios en el exterior.

CERTIFICACIÓN DE PRODUCTQS;;y~SERVICIOS
Mediante la Marca de Conformidad con N9fir;t~Y 9;Etifi<::~~i~Bd~ Productos y Servicios, los que UNIT evalúa
durante la elaboración en fábrica o en su ..ré~liz@iq~'y c;lqrante sl¡ comercialización, certificando cuando
corresponde que un producto o servicio quQjpléE:lri',fpJrtla'perm@,n~nte con una norma UNIT.
Se otorga a extintores, recarga de extint6r~s; c~le,Bla~ói'e$ de,agóa, envases para gases, equipos de protección
personal, material sanitario, material eléqtrico, materiales dec;or;~strucción,etc.
CERTIFICACIÓN DE SISTEMAS ÓE é'ESTIÓN
Realizada por expertos calificados por la Asciciación de Norm'ali2;ación y Certificación (AENOR). UNIT fue quien
puso en funcionamiento en Uruguay loslpfi.íf.\Wi~~t~~~y~'ti'\i;\§_p~ra la Certificación de Sistemas de la Calidad,
Sistemas de Gestión Ambiental y Sistemas de,Gestiórtdéila S~guridad y la Salud Ocupacional, desarrollados
según las normas UNIT-ISO 9000, UNIT-I'S0140b'tfyúNIT (OHSAS) 18000, siendo también quién certificó a las
primeras empresas uruguayas en cumplir las respectivas normas.
INFORMACIÓN ESPECIALIZADA
Mediante una biblioteca a disposición del público con más de 350.000 normas y especificaciones internacionales
Yex~ra~jeras, que el exportador debe conocer cuando desea vender sus productos en diferentes mercados y que
son tnd1spensables como antecedentes para la elaboración de las normas nacionales.
-------- --- ---- --- ---- -- --- __ ___ ---- -----------
~- .,

(' OHSAS ::::·:::.,,,.,

\ A.~<fS.<MH'IT'S!'A111!;
,
~!.~~' ~.: ~.,·,·.r..c•N·~:~.- ~-- -·n;,;
"'=·.'/ -- ~
:-.',~. ,'.-" '.-0·c, ;.•-..~,-· ·m··;.~.~~~N·;,.·,\J
~
()>;N<JRMN.A<:><>o ' "' "' "' ·• .

··--------·----..----·--..-----------.. ---. -···--·--------.. ----..----....... .......... /

PZA. INDEPENDENCIA 812- P2 .. MoNTEVIDEo- uRuGuAv ..... fiFioHisíD.A.-LA REPRaoücclóN ·rorA.-co-fi:Aii'ciAL s.A.Lvo.....
TP: 2901 2048' - TF: 2902 1681 - E-mail:unit-iso@unitorg.uy-www.unitorg.uy POR AUTORIZACIÓN ESCRITA DE ESTE INSTITUTO