Iso27001 Actualizacinversin2013 150618144043 Lva1 App6892 PDF

ISO 27001
Sistemas de gestión de
seguridad de la información
Actualización de la versión 2013 de la norma
* María José Buigues

Abril 2014
ISO 27001: 2013
 Publicada el 25-09-2013
 Reemplaza a ISO 27001: 2005
 Cambia su estructura
 Nuevos requisitos y requisitos eliminados
 Nuevos controles y controles eliminados
Cambios en la estructura de la norma
ISO27001
Por qué cambia la estructura?
ISO trabaja en armonizar de las normas de sistemas de gestión.
Creación de estructura Anexo SL

ISO/IEC Directives, Part 1, • Publicado en 2012
genérica para normas de
Consolidated ISO Suplement • Reemplaza la Guía ISO 83
sistemas de gestión Directives – Procedures specific to ISO
• Estructura de alto nivel

idénticos • Texto básico
• Términos comunes
• Definiciones básicas
• Ayudar al proceso de creación de nuevas normas.

Para qué?
• Facilitar la implementación múltiple de sistemas de gestión.
http://isotc.iso.org/livelink/livelink?func=ll&objId=4230452&objAction=browse&sort=subtype
Resumen de cambios
ISO 27001 versión 2005 ISO 27001 versión 2013

Estructura no alineada con otras normas Estructura alineada con Anexo SL
12 páginas (sistema de gestión) 9 páginas (sistema de gestión)
Requerimientos: carácter más general
(mayor libertad de interpretación)
Anexo A: Anexo A:
• 11 cláusulas • 14 cláusulas
• 133 controles • 113 controles
Anexo A referenciado en ISO 27002: 2013
Sin referencia directa a PDCA, aunque
Referencia directa a PDCA
mantiene su espíritu
Referencia a principios OECD No hay referencia a principios OECD
Estructura alineada a Anexo SL
4 5 6 7 8 9 10
Contexto Liderazgo Planificación Respaldo Operación Evaluación Mejora
organización desempeño
Comprensión Seguimiento, No
Acciones para Planificación
de la Liderazgo y medición, conformidades
tratar riesgos y Recursos y control
organización y compromiso análisis y y acciones
oportunidades operativo
el contexto evaluación correctivas
Análisis de
Expectativas de Objetivos de SI
riesgos de
las partes Política y planes para Competencia Auditoría interna Mejora continua
seguridad de la
interesadas alcanzarlos
información
Tratamiento de
Alcance del Funciones,
riesgos de Revisión por
sistema de responsabilidad Concientización
seguridad de la la Dirección
gestión es y autoridades
información
ISMS Comunicación
Información
documentada
PLAN DO CHECK ACT
Comparación entre estructuras
ISO 27001: 2013

ISO 27001: 2005
0. Introducción 0. Introducción
1. Alcance 1. Alcance
2. Referencias normativas 2. Referencias normativas
3. Términos y definiciones 3. Términos y definiciones
4.1 General 4. Contexto de la organización

4. Sistema de
gestión de
4.2 Establecimiento del SGSI 5. Liderazgo
seguridad de
la información
4.3 Requisitos de documentación 6. Planificación
5. Responsabilidad de la dirección 7. Apoyo
6. Auditoría interna del SGSI 8. Operación
7. Revisión por la Dirección 9. Evaluación de desempeño
8. Mejora del SGSI 10. Mejora

ISO 27001: 2013

ISO 27001: 2005

4. Sistema de
gestión de
seguridad de
la información

ISO 27001: 2013

ISO 27001: 2005

4. Sistema de
gestión de
seguridad de
la información

ISO 27001: 2013

ISO 27001: 2005

4. Sistema de
gestión de
seguridad de
la información

ISO 27001: 2013

ISO 27001: 2005

4. Sistema de
gestión de
seguridad de
la información

ISO 27001: 2013

ISO 27001: 2005

4. Sistema de
gestión de
seguridad de
la información

ISO 27001: 2013

ISO 27001: 2005

4. Sistema de
gestión de
seguridad de
la información

ISO 27001: 2013

ISO 27001: 2005

4. Sistema de
gestión de
seguridad de
la información

ISO 27001: 2013

ISO 27001: 2005

4. Sistema de
gestión de
seguridad de
la información

ISO 27001: 2013

ISO 27001: 2005

4. Sistema de
gestión de
seguridad de
la información

ISO 27001: 2013

ISO 27001: 2005

4. Sistema de
gestión de
seguridad de
la información

ISO 27001: 2013

ISO 27001: 2005

4. Sistema de
gestión de
seguridad de
la información

Nuevos requisitos
Cuerpo de la norma
ISO27001
Nuevos requisitos | Punto 4
Nuevos requisitos incorporados en la versión 2013
4.2 Entender las La organización debe determinar:
necesidades y a) las partes interesadas relevantes para el SGSI; y
expectativas de las
partes interesadas
4.3 Determinar el c) las interfaces y dependencias entre las actividades realizadas por la
alcance del SGSI organización, y aquellas realizadas por otras organizaciones.
5.1 Liderazgo y b) asegurando la integración de los requisitos del SGSI en los procesos de
compromiso la organización;
6.1.1 General a) asegurar que el SGSI puede alcanzar su(s) resultado(s) esperado(s);
b) prevenir, o reducir, efectos no deseados; y
c) alcanzar la mejora continua.
6.1.2 Evaluación de a) establezca y mantenga un criterio de riesgo de seguridad de la

riesgos de seguridad de información que incluya:
la información
6.2 Objetivos de b) ser medibles (si es posible);
seguridad de la
información y c) tomar en cuenta los requisitos de seguridad de la información aplicables,
planificación para su y los resultados de la evaluación de riesgos y del tratamiento de riesgos;
cumplimiento
Al planificar cómo alcanzar estos objetivos de seguridad de la información,
la organización debe determinar:
f) qué se hará;
g) qué recursos serán requeridos;
h) quién será responsable;
i) cuándo será completado; y
j) cómo los resultados serán evaluados.

7.3 Concientización Las personas trabajando bajo el control de la organización deben estar
conscientes de:
a) la política de seguridad de la información;
7.4 Comunicación a) qué comunicar;
b) cuándo comunicarlo;
c) a quién comunicarlo;
d) quién lo comunicará; y
e) los procesos por los cuales la comunicación será efectuada.
7.5.1 General b) la información documentada determinada por la organización como

necesaria para la eficacia del SGSI.
NOTA El alcance de la información documentada para un SGSI puede diferir de una organización a otra debido a:
1) el tamaño de la organización y su tipo de actividad, sus procesos, sus productos y servicios;
2) la complejidad de los procesos y sus interacciones; y
3) la competencia de las personas.
8.1 Planificación La organización debe planificar, implementar y controlar los procesos
operacional y control necesarios para cumplir los requisitos de seguridad de la información, e
implementar las acciones determinadas en 6.1.
9.1 Monitoreo, medición, c) cuándo se realizarán el monitoreo y la medición;
análisis y evaluación
d) quién monitoreará y medirá;
f) quién analizará y evaluará estos resultados.
9.3 Revisión por la 4) el cumplimiento de los objetivos de seguridad de la información;

dirección
10.1 No conformidad y Cuando ocurre una no conformidad, la organización debe:
acción correctiva a) reaccionar a la no conformidad, y según sea aplicable:
1) tomar acción para controlarla y corregirla; y
2) hacer frente a las consecuencias;
e) hacer cambios al SGSI, si es necesario.
La organización debe retener información documentada como evidencia de:

f) la naturaleza de las no conformidades y cualquier acción subsecuente
tomada, y
Requisitos eliminados
Cuerpo de la norma
ISO27001
Requisitos de ISO 27001: 2005 eliminados en la versión 2013
4.2.1.g) (…) Se deben seleccionar los objetivos de control y controles del Anexo A como parte de este proceso
conforme sea apropiado para cubrir estos requerimientos.
4.2.1.i) Obtener la autorización de la gerencia para implementar y operar el SGSI.
4.2.3.a).1) detectar prontamente los errores en los resultados de procesamiento;
4.2.3.a).2) identificar prontamente los incidentes y violaciones de seguridad fallidos y exitosos;
4.2.3.a).4) ayudar a detectar los eventos de seguridad, evitando así los incidentes de seguridad mediante el uso de
indicadores; y
4.2.3.a).5) determinar si son efectivas las acciones tomadas para resolver una violación de seguridad.
4.2.3.h) registrar las acciones y eventos que podrían tener un impacto sobre la efectividad o desempeño del SGSI.
4.3.1 La documentación debe incluir los registros de las decisiones gerenciales, asegurar que las acciones puedan
ser monitoreadas a las decisiones políticas gerenciales, y los resultados registrados deben ser reproducibles.
Es importante ser capaces de demostrar la relación desde los controles seleccionados y de regreso a los resultados
del proceso de evaluación del riesgo y tratamiento del riesgo, y subsecuentemente, de regreso a la política y
objetivos del SGSI.
4.3.1.c) Procedimientos y controles de soporte del SGSI;
Requisitos de ISO 27001: 2005 eliminados en la versión 2013
4.3.2 (…) Se debe establecer un procedimiento documentado para definir las acciones gerenciales necesarias …
4.3.3 (…) Se deben documentar e implementar los controles necesarios para la identificación, almacenaje,
protección, recuperación, tiempo de retención y disposición de los registros.
4.3.3 (…) y de todas las ocurrencias de incidentes de seguridad significativos relacionados con el SGSI.
5.2.1.b) asegurar que los procedimientos de seguridad de la información respalden los requerimientos comerciales;
5.2.1.d) mantener una seguridad adecuada mediante la correcta aplicación de todos los controles implementados;
6.d) (…) Las responsabilidades y requerimientos para la planificación y realización de las auditorías, y para el
reporte de resultados y mantenimiento de registros se deben definir en un procedimiento documentado.
8.2 (…) El procedimiento documentado para la acción correctiva debe definir los requerimientos para…
8.3 (…) El procedimiento documentado para la acción preventiva debe definir los requerimientos para…
8.3.d) registrar los resultados de la acción tomada;
8.3.e) revisar la acción preventiva tomada.
8.3.e) (…) la prioridad de las acciones preventivas se debe determinar en base a los resultados de la evaluación del
riesgo.
Nuevos controles
Anexo A
ISO27001
Nuevos controles | A.6
A.6.1.5 Seguridad de la Se abordará la seguridad de la información en la gestión de proyectos,
información en gestión independientemente del tipo de proyecto.
de proyectos
A.12.6.2 Restricciones a Deben establecerse e implementarse reglas para gobernar la instalación de
la instalación de software por parte de los usuarios.
software
A.14.2.1 Política de Deben establecerse y aplicase reglas para el desarrollo de software y
desarrollo seguro sistemas a los desarrollos en la organización.
A.14.2.5 Principios de Deben establecerse, documentarse, mantenerse y aplicarse principios de
ingeniería segura de ingeniería segura de sistemas a cualquier esfuerzo de implementación de
sistemas sistemas de información.
A.14.2.6 Entorno de Las organizaciones deben establecer y proteger apropiadamente los
desarrollo seguro entornos seguros de desarrollo para el desarrollo de sistemas y los
esfuerzos de integración que cubran todo el ciclo completo de desarrollo.
A.14.2.8 Pruebas de Debe llevarse a cabo pruebas de la funcionalidad de seguridad durante el

seguridad del sistema desarrollo.
A.15.1.1 Política de Los requisitos de seguridad de la información para mitigar los riesgos
seguridad de la asociados con el acceso de los proveedores a los activos de la organización
información para deben ser acordados con el proveedor y documentados.
relaciones con
proveedores
A.15.1.3 Cadena de Los acuerdos con proveedores deben incluir los requisitos para hacer frente
suministro de tecnología a los riesgos de seguridad de la información asociados con los servicios de
de la información y tecnología de la información y las comunicaciones y la cadena de suministro
comunicación del producto.
A.16.1.4 Los eventos de seguridad de la información deben ser evaluados y debe
Evaluación de y decidirse si deben ser clasificados como incidentes de seguridad de la
decisión sobre información.
eventos de
seguridad de la
información
A.16.1.5 Respuesta Los incidentes de seguridad de la información deben ser respondidos de acuerdo
a los incidentes de con los procedimientos documentados.
seguridad de la
información
A.17.2.1 Las instalaciones de procesamiento de la información deben ser implementadas
Disponibilidad de con suficiente redundancia para cumplir los requisitos de disponibilidad.
las instalaciones de
procesamiento de la
información
Controles eliminados
Anexo A
ISO27001
Controles ISO 27001: 2005 eliminados en la versión 2013
A.6.1.1 Compromiso de la dirección con la seguridad de la información
A.6.1.2 Coordinación de la seguridad de la información
A.6.1.4 Proceso de autorización para instalaciones de procesamiento de la información
A.6.2.1 Identificación de riesgos relacionados con partes externas
A.6.2.2 Abordaje de la seguridad en la gestión con clientes
A.10.7.4 Seguridad del sistema documental
A.10.8.5 Sistemas de información del negocio
A.11.4.2 Autenticación de usuarios para conexiones externas
A.11.4.3 Identificación del equipamiento en redes
A.11.4.4 Protección de diagnóstico remoto y configuración de puertos

Controles ISO 27001: 2005 eliminados en la versión 2013
A.11.4.6 Control de conexión de red
A.11.4.7 Control de ruteo de red
A.11.6.2 Aislamiento de sistemas sensibles
A.12.2.1 Validación de data de insumo
A.12.2.2 Control de procesamiento interno
A.12.2.3 Integridad del mensaje
A.12.2.4 Validación de data de output
A.12.5.4 Filtración de información
A.15.1.5 Prevención de mal uso de medios de procesamiento de información
A.15.3.2 Protección de las herramientas de auditoría de los sistemas de información

* María José Buigues
Consultora de Procesos y Comunicaciones
https://ar.linkedin.com/in/majobuigues
majobuigues@gmail.com
justmajo

Iso27001 Actualizacinversin2013 150618144043 Lva1 App6892 PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Iso27001 Actualizacinversin2013 150618144043 Lva1 App6892 PDF

Cargado por

Copyright:

Formatos disponibles

ISO 27001

Actualización de la versión 2013 de la norma

* María José Buigues

ISO trabaja en armonizar de las normas de sistemas de gestión.

Creación de estructura Anexo SL

• Estructura de alto nivel

• Ayudar al proceso de creación de nuevas normas.

ISO 27001 versión 2005 ISO 27001 versión 2013

ISO 27001: 2013

2. Referencias normativas 2. Referencias normativas

3. Términos y definiciones 3. Términos y definiciones

4.1 General 4. Contexto de la organización

5. Responsabilidad de la dirección 7. Apoyo

6. Auditoría interna del SGSI 8. Operación

7. Revisión por la Dirección 9. Evaluación de desempeño

8. Mejora del SGSI 10. Mejora

ISO 27001: 2013

2. Referencias normativas 2. Referencias normativas

3. Términos y definiciones 3. Términos y definiciones

4.1 General 4. Contexto de la organización

5. Responsabilidad de la dirección 7. Apoyo

6. Auditoría interna del SGSI 8. Operación

7. Revisión por la Dirección 9. Evaluación de desempeño

8. Mejora del SGSI 10. Mejora

ISO 27001: 2013

2. Referencias normativas 2. Referencias normativas

3. Términos y definiciones 3. Términos y definiciones

4.1 General 4. Contexto de la organización

5. Responsabilidad de la dirección 7. Apoyo

6. Auditoría interna del SGSI 8. Operación

7. Revisión por la Dirección 9. Evaluación de desempeño

8. Mejora del SGSI 10. Mejora

ISO 27001: 2013

2. Referencias normativas 2. Referencias normativas

3. Términos y definiciones 3. Términos y definiciones

4.1 General 4. Contexto de la organización

5. Responsabilidad de la dirección 7. Apoyo

6. Auditoría interna del SGSI 8. Operación

7. Revisión por la Dirección 9. Evaluación de desempeño

8. Mejora del SGSI 10. Mejora

ISO 27001: 2013

2. Referencias normativas 2. Referencias normativas

3. Términos y definiciones 3. Términos y definiciones

4.1 General 4. Contexto de la organización

5. Responsabilidad de la dirección 7. Apoyo

6. Auditoría interna del SGSI 8. Operación

7. Revisión por la Dirección 9. Evaluación de desempeño

8. Mejora del SGSI 10. Mejora

ISO 27001: 2013

2. Referencias normativas 2. Referencias normativas

3. Términos y definiciones 3. Términos y definiciones

4.1 General 4. Contexto de la organización

5. Responsabilidad de la dirección 7. Apoyo

6. Auditoría interna del SGSI 8. Operación

7. Revisión por la Dirección 9. Evaluación de desempeño

8. Mejora del SGSI 10. Mejora

ISO 27001: 2013

2. Referencias normativas 2. Referencias normativas

3. Términos y definiciones 3. Términos y definiciones

4.1 General 4. Contexto de la organización

5. Responsabilidad de la dirección 7. Apoyo

6. Auditoría interna del SGSI 8. Operación

7. Revisión por la Dirección 9. Evaluación de desempeño