El Tema 4

ISO 27001
Esquema
Ideas clave
¿Cómo estudiar este tema?

Objetivos y conocimientos a adquirir
Introducción
+ Información
A fondo
Webgrafía
Bibliografía
Caso práctico
Test
4
TEMA
Gestión de I+D+I; Gestión de la Seguridad de la Información ISO 27000 y 27001; ISO 20000-1/2018
Esquema
TEMA 4 – Esquema
2
Ideas clave
4.1. ¿Cómo estudiar este tema?
Para estudiar este tema lee el capítulo 4 del manual: ISO 27001.
4.2. Objetivos y conocimientos a adquirir
Adquirir las competencias necesarias para conocer y aplicar los requisitos definidos en
la noma ISO 27001, asociando las correspondencias con el resto de las normas de
sistemas de gestión.
Conocimientos
Evolución y origen de la norma ISO 27001.

¿Qué son la norma ISO 27001 e ISO 27002? Relaciones.
Familia de normas ISO 27001.
Elementos básicos de la ISO 27001.
Contexto y liderazgo.
Conocimientos básicos sobre el SOA.
Evaluación de los riesgos que afectan a la seguridad de la información.
Información documentada.
Evaluación del desempeño y mejora.
Certificación.
4.3. Introducción
Como se vio en la unidad anterior el auge de los Sistemas de Gestión de Seguridad de la

Información (SGSI) ha generado el caldo de cultivo para la normativa de aplicación. En
este sentido nace la norma ISO 27001 como respuesta a las necesidades de gestionar la
seguridad de la información conforme a un estándar certificable y mundialmente
reconocido. Actualmente, la última versión que se encuentra en vigor es la del 2017.
TEMA 4 – Ideas clave

3
Esta norma tiene una estructura de alto nivel lo que facilita la integración con otras
normas de sistemas de gestión. Está formada por 9 capítulos:
Capítulo 0. Introducción.
Capítulo 1. Objeto y campo de aplicación.
Capítulo 2. Normas para la consulta.
Capítulo 3. Términos y definiciones.
Capítulo 4. Contexto de la organización.
Capítulo 5. Liderazgo.
Capítulo 6. Planificación.
Capítulo 7. Soporte.
Capítulo 8. Operación.
Capítulo 9. Evaluación de desempeño.
Capítulo 10. Mejora.
A partir del capítulo 4 es cuando realmente se definen los requisitos a cumplir por un
SGSI. Dentro de la planificación se encuentra la gestión de los riesgos de la seguridad
de la información y la de la elaboración de una «declaración de aplicabilidad» para el
tratamiento de dichos riesgos.
La gestión de los activos de la información de la organización, así como la información

en ellos contenida, constituye el grueso de esta norma internacional.
La solidez de la norma determina los requisitos necesarios para la definición,

mantenimiento y operación del sistema de gestión incluso más allá de la catástrofe a
través de herramientas de gestión tales como los planes de continuidad de negocio.
TEMA 4 – Ideas clave

4
+ Información
A fondo
ISO 31000:2018
ISO 31000:2018 Gestión del riesgo. Directrices. ISO.
NIST SP 800-30
NIST SP 800-30. Guía de gestión de riesgos para sistemas de tecnologías de la

información
ISO/IEC 27005:2018
ISO/IEC 27005:2018. Tecnologías de la información. Técnicas de seguridad. Gestión

del riesgo de seguridad de la información. ISO
ISO/IEC 27035-1:2016
ISO/IEC 27035-1:2016. Tecnologías de la información. Técnicas de seguridad. Gestión

de incidentes de seguridad de la información. Parte 1: Principios de gestión de
incidentes. ISO
TEMA 4 – + Información
5
Webgrafía
ISO
Comité internacional para la normalización.
Accede a la página a través del aula virtual o desde la siguiente dirección web:
http://www.iso.org/iso/home.html
UNE
Asociación Española de Normalización. Es el organismo legalmente responsable del

desarrollo y difusión de las normas técnicas en España.
Accede a la página a través del aula virtual o desde la siguiente dirección web:
https://www.une.org/
6
OECD
Directrices para la seguridad de los sistemas y redes de información. Hacia una cultura
de la seguridad.
http://www.oecd.org
Bibliografía
Asociación Española de Normalización. (2017). Tecnología de la información. Técnicas
de Seguridad. Sistemas de Gestión de la Seguridad de la Información. Requisitos.
UNE-EN ISO 27001. Madrid: UNE.
Asociación Española de Normalización. (2018). Gestión del riesgo. Directrices. UNE-

EN ISO 31000. Madrid: UNE.
Baca, G. (2016). Introducción a la Seguridad Informática. México: Grupo Editorial

Patria.
Gómez, L. & Fernández, P.P. (2018). Cómo implantar un SGSI según UNE-EN
ISO/IEC 27001 y su aplicación en el Esquema Nacional de Seguridad. Madrid:
AENOR.
Instituto Andaluz de Tecnología (2012). La respuesta está en la innovación. Madrid:

AENOR.
Merino, C. & Cañizares, R. (2014). Auditoría de los sistemas de gestión de seguridad

de la información. Madrid: Fundación Confemetal.
7
Caso práctico
Trabajo: KHC Abogados
En la actualidad, la información ha pasado a ser uno de los activos más valiosos para
las Organizaciones. De una buena gestión de la información dependerá, en gran
medida, el buen funcionamiento de la empresa.
Tras un problema en sus servidores, que ha provocado la pérdida de parte de la

información confidencial manejada, KHC Abogados, que hasta entonces no había
tenido en cuenta la seguridad de la información, convierte la misma en uno de los
objetivos estratégicos para el próximo año. Para ello decide implantar y certificar un
Sistema de Gestión de la Seguridad de la Información en base a la Norma ISO/IEC
27001 y te nombra responsable del SGSI.
Preguntas del profesor
Con los datos facilitados en el caso práctico, los que necesites extraer de las unidades,
así como de cualquier otra fuente de información, como pueden ser las propias Normas
de gestión, da respuesta a las siguientes cuestiones:
Antes de comenzar con la implantación y como responsable del Sistema, debes

plantearte estas cuestiones ¿Qué debe hacer KHC Abogados? ¿Qué NO debe hacer
KHC Abogados? Cumplimenta la siguiente tabla.
¿Qué debe hacer KHC Abogados? ¿Qué NO debe hacer KHC Abogados?
Principales errores
TEMA 4 – Caso práctico

8
¿Cuáles serían los pasos a seguir por KHC Abogados para llevar a cabo la evaluación
de riesgos?
¿Qué información documentada derivaría de la implantación del SGSI en base a la
Norma ISO/IEC 27001?
¿Qué política seguirías para controlar los accesos externos a la red interna?
Objetivos
Comprender las actividades que una organización ha de llevar a cabo para poder
implantar y certificar un sistema de gestión de la SGSI conforme a la norma Norma
UNE-ISO/IEC 27001:2017.
Criterios de evaluación
» Criterios de contenido (80 %):

o Cumplimentar la tabla incluyendo lo que debe hacer y lo que NO debe hacer KHC
Abogados. (20 %)
o Explicar los pasos a seguir por KHC Abogados para llevar a cabo la evaluación de
riesgos. (20 %)
o Especificar la información documentada que se derivaría de la implantación del
SGSI en base a la Norma ISO/IEC 27001. (20 %)
o Razonar qué política se seguiría para controlar los accesos externos a la red
interna. (20 %)
» Criterios formales y de estilo (20 %):

o Bibliografía de consulta de acuerdo a criterios APA sexta edición. (10 %)
o Ajuste de la extensión máxima y respeto al tamaño de la letra, la fuente y los
márgenes del documento. (5 %)
o Estilo de redacción y ortografía correcta. (5 %)
» Nota importante: Se considerará directamente suspensa la actividad en caso de

que se incluya en su desarrollo de bibliografía legislación derogada o normas de
referencia anuladas.
Extensión máxima: 3 páginas, fuente Georgia 11 e interlineado 1,5 (incluida la

bibliografía). Márgenes superior, inferior, izquierdo y derecho a 2,5 cm.
TEMA 4 – Caso práctico

9
Test
1. La norma ISO 27002:

A. Garantiza el cumplimiento de la norma ISO 27001.
B. Ayuda a la implantación de los controles del SOA (Statement of Applicability).
C. Ambas son ciertas.
2. La norma ISO 27001 es:

A. Integrable solo con normas TI.
B. No es integrable.
C. Integrable con diversas normas.
3. Según la norma ISO 27001, ¿de quién es la responsabilidad de proporcionar los

recursos necesarios para la implantación del sistema de gestión?
A. Del responsable del SGSI.
B. De la alta dirección.
C. Del auditor de la certificadora.
4. ISO 27001 es una norma que:

A. No es auditable y de implantación desde su cláusula 0.
B. Establece los requisitos para implementar un sistema de gestión de riesgos en
la cadena de suministro.
C. Es auditable y de implantación a partir de su cláusula 4.
5. Las herramientas clásicas de mejora de un sistema de gestión son:

A. Confianza, entrega y disciplina.
B. Auditoría, revisión por la dirección y acciones correctivas.
C. Información, recursos y paciencia.
6. Lo que no se registra no se puede medir por lo que no se puede:

A. Gestionar.
B. Cobrar.
C. Saber.
TEMA 4 – Test
10
7. Para analizar el contexto de la organización se deben determinar los factores que

afectan de manera:
A. Positiva.
B. Negativa.
C. Ambas son ciertas.
8. Los controles del SOA están pensados para:

A. Organizaciones de todo tipo.
B. Organizaciones que realicen comercio electrónico.
C. Organizaciones del mundo TI.
9. ISO 27001 presenta:

A. Suficientes buenas prácticas para el desarrollo, implantación y operación de
SGSI.
B. Los requisitos para desarrollar, implementar y operar un SGSCS.
C. Trazabilidad a través de todos sus puntos.
10. ISO 27001 establece que el método a emplear para el análisis de riesgos debe ser:
A. No establece ningún análisis de riesgo predefinido.
B. MAGERIT.
C. CRAMMER.
11. ¿Cuál de las siguientes normas es certificable?

A. ISO 27001.
B. ISO 27002.
C. Ambas.
12. Según el Anexo A de la Norma ISO 27001 en cuanto a las políticas de claves de
acceso se debe:
A. Establecer un contrato firmado por parte del usuario para mantener en secreto
las contraseñas.
B. Evidenciar que las contraseñas nunca han sido prestadas a los compañeros.
C. Las dos respuestas anteriores son correctas.
TEMA 4 – Test
11
13. ¿Qué Norma de la familia ISO 27000 sirve como guía para implementar el SOA en
un Sistema de Gestión de la Seguridad de la Información?
A. ISO 27001.
B. ISO 27002.
C. ISO 27005.
14. La metodología para llevar a cabo la evaluación de riesgos para la información en

una Organización:
A. Viene establecida en la Norma ISO 27001.
B. Debe ser definida por la propia organización, pudiendo basarse en métodos
estándar que existen.
C. Debe seguir para todas las organizaciones el método estándar denominado
Magerit.
15. Entre los principales errores a la hora de implantar un Sistema de Gestión de la

Seguridad de la Información se encuentra:
A. Creer que la seguridad se basa únicamente en productos y tecnología.
B. Confiarse únicamente en seguridad perimetral.
16. ¿Qué Norma establece los requisitos bajo los que ha de operar un SGSI?
A. ISO 27000.
B. ISO 27001.
C. ISO 27002.
17. En relación con la Norma ISO 27001 es falso afirmar que:

A. Solo se puede aplicar a las organizaciones de tecnología de la información.
B. Es el estándar más extendido para implantar un SGSI.
C. Especifica los requisitos para establecer, implementar, operar, monitorizar,
revisar, mantener y mejorar un SGSI.
18. Según la norma ISO 27001, las auditorías internas del SGSI se deben de planificar:
A. A intervalos planificados.
B. De forma anual.
C. Cada 6 meses.
TEMA 4 – Test
12
19. Para la evaluación del desempeño del sistema de gestión se debe tener en cuenta:
A. La periocidad de realizar el seguimiento y las mediciones.
B. Los métodos necesarios para asegurar la fiabilidad de los resultados
obtenidos.
20. Dentro de la información documentada requerida por la Norma ISO 27001 se

encuentra:
A. Proceso de apreciación de riesgos de seguridad de la información.
B. Manual del Sistema de Gestión.
C. Procedimiento documentado de revisión por la dirección.
TEMA 4 – Test
13

El Tema 4

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

El Tema 4

Cargado por

Copyright:

Formatos disponibles

ISO 27001

¿Cómo estudiar este tema?

4.1. ¿Cómo estudiar este tema?

4.2. Objetivos y conocimientos a adquirir

Evolución y origen de la norma ISO 27001.

Como se vio en la unidad anterior el auge de los Sistemas de Gestión de Seguridad de la

TEMA 4 – Ideas clave

La gestión de los activos de la información de la organización, así como la información

La solidez de la norma determina los requisitos necesarios para la definición,

TEMA 4 – Ideas clave

ISO 31000:2018 Gestión del riesgo. Directrices. ISO.

NIST SP 800-30. Guía de gestión de riesgos para sistemas de tecnologías de la

ISO/IEC 27005:2018. Tecnologías de la información. Técnicas de seguridad. Gestión

ISO/IEC 27035-1:2016. Tecnologías de la información. Técnicas de seguridad. Gestión

Comité internacional para la normalización.

Asociación Española de Normalización. Es el organismo legalmente responsable del

Asociación Española de Normalización. (2018). Gestión del riesgo. Directrices. UNE-

Baca, G. (2016). Introducción a la Seguridad Informática. México: Grupo Editorial

Instituto Andaluz de Tecnología (2012). La respuesta está en la innovación. Madrid:

Merino, C. & Cañizares, R. (2014). Auditoría de los sistemas de gestión de seguridad

Trabajo: KHC Abogados

Tras un problema en sus servidores, que ha provocado la pérdida de parte de la

Preguntas del profesor

Antes de comenzar con la implantación y como responsable del Sistema, debes

TEMA 4 – Caso práctico

» Criterios de contenido (80 %):

» Criterios formales y de estilo (20 %):

» Nota importante: Se considerará directamente suspensa la actividad en caso de

Extensión máxima: 3 páginas, fuente Georgia 11 e interlineado 1,5 (incluida la

TEMA 4 – Caso práctico

1. La norma ISO 27002:

2. La norma ISO 27001 es:

3. Según la norma ISO 27001, ¿de quién es la responsabilidad de proporcionar los

4. ISO 27001 es una norma que:

5. Las herramientas clásicas de mejora de un sistema de gestión son:

6. Lo que no se registra no se puede medir por lo que no se puede:

7. Para analizar el contexto de la organización se deben determinar los factores que

8. Los controles del SOA están pensados para:

9. ISO 27001 presenta:

11. ¿Cuál de las siguientes normas es certificable?

14. La metodología para llevar a cabo la evaluación de riesgos para la información en

15. Entre los principales errores a la hora de implantar un Sistema de Gestión de la

17. En relación con la Norma ISO 27001 es falso afirmar que:

20. Dentro de la información documentada requerida por la Norma ISO 27001 se

También podría gustarte