ESTÁNDAR ISO/IEC

INTERNACIONAL 27001
Segunda edición
2013-10-01

Tecnología de información – Técnicas de seguridad

– Sistemas de gestión de seguridad de información
– Requerimientos

Número de referencia
ISO/IEC 27001:2013(E)

© ISO/IEC 2013
Contenido

Pág.

Prólogo...............................................................................................................................4
0 Introducción.....................................................................................................................5
0.1 General....................................................................................................................................5
0.2 Compatibilidad con otros sistemas de gestión.........................................................................5

1 Alcance............................................................................................................................6
2 Referencias Normativas...................................................................................................6
3 Términos y definiciones....................................................................................................6
4 Contexto de la organización.............................................................................................6
4.1 Entendimiento de la organización y su contexto......................................................................6
4.2 Entendimiento de las necesidades y expectativas de las partes interesadas............................7
4.3 Determinando el alcance del sistema de gestión de seguridad de información.......................7
4.4 Sistema de gestión de seguridad de información.....................................................................7

5 Liderazgo..........................................................................................................................7
5.1 Liderazgo y compromiso..........................................................................................................7
5.2 Política.....................................................................................................................................8
5.3 Roles organizacionales, responsabilidades y autoridades........................................................9

6. Planificación....................................................................................................................9
6.1 Acciones para atender riesgos y oportunidades.......................................................................9
6.1.1 General..................................................................................................................................9
6.1.2 Valuación de riesgos de seguridad de información.............................................................10
6.1.3 Tratamiento de los riesgos de seguridad de información....................................................10
6.2 Objetivos de seguridad de información y planificación para alcanzarlos................................11

7. Apoyo...........................................................................................................................12
7.1 Recursos................................................................................................................................12
7.2 Competencia..........................................................................................................................12
7.3 Toma de conciencia...............................................................................................................13
7.4 Comunicación........................................................................................................................13
7.5 Información documentada....................................................................................................13
7.5.1 General................................................................................................................................13
7.5.2 Creación y actualización......................................................................................................14
7.5.3 Control de información documentada.................................................................................14

8 Operación......................................................................................................................15
8.1 Control operacional y planificación........................................................................................15
8.2 Valuación del riesgo de la seguridad de información.............................................................15
 ISO/IEC 27001:2013 (E)

8.3 Tratamiento del riesgo de la seguridad de la información.....................................................15

9 Evaluación del desempeño.............................................................................................15

9.1 Monitoreo, medición, análisis y evaluación...........................................................................15
9.2 Auditoría interna...................................................................................................................16
9.3 Revisión gerencial..................................................................................................................17

10 Mejoramiento..............................................................................................................18
10.1 No conformidad y acción correctiva.....................................................................................18
10.2 Mejora continuada..............................................................................................................18

Anexo A............................................................................................................................19
(Normativo)......................................................................................................................19
Referencia Objetivos de control y controles......................................................................19
Bibliografía.......................................................................................................................33

3
 ISO/IEC 27001:2013 (E)

Prólogo

ISO (La Organización Internacional para la Normalización) e IEC (La Comisión Internacional
para la Electrotecnia), conforman el sistema especializado para la estandarización mundial.
Entidades nacionales que son miembros de ISO o IEC participan en el desarrollo de
Estándares Internacionales a través de comités técnicos establecidos por la respectiva
organización para tratar campos particulares de la actividad técnica. Los comités técnicos de
ISO e IEC colaboran en campos de interés mutuo. Otras organizaciones internacionales,
gubernamentales y no gubernamentales, en relación con ISO e IEC, también colaboran con
el trabajo. En el campo de la tecnología de la información, ISO e IEC han establecido una
comisión técnica ISO/IEC JTC 1.
Los borradores de los Estándares Internacionales son elaborados de acuerdo a las reglas
dadas en las directivas ISO/IEC, parte 2.
La tarea fundamental del JCT (Joint Technical Committee) es la de preparar Estándares
Internacionales. Los borradores de Estándares Internacionales elaborados por el JCT son
circulados a cuerpos nacionales para su votación. La publicación como Estándar
Internacional requiere la aprobación de por lo menos un 75% de los cuerpos nacionales.
Se hace hincapié a la posibilidad que algunos de los elementos de este documento,
pudiesen estar sujetos a derechos de patente. ISO e IEC no son responsables de la
identificación de algunos o todos los derechos de patente.
ISO/IEC 2001 fue preparado por el Comité ISO/IEC JTC 1, Tecnología de Información,
Subcomité SC 27, IT, Técnicas de Seguridad.
Esta segunda edición cancela y reemplaza la primera edición (ISO/IEC 27001:2005), la cual
ha sido técnicamente revisada.

4
 ISO/IEC 27001:2013 (E)

0 Introducción

0.1 General

Este Estándar Internacional ha sido preparado para proporcionar los requerimientos para
establecer, implementar, mantener y continuamente mejorar un sistema de gestión de
seguridad de información. La adopción de un sistema de gestión de seguridad de
información es una decisión estratégica para una organización. El establecimiento y la
implementación de un Sistema de Gestión de Seguridad de Información (SGSI) para una
organización está influenciado por sus necesidades y objetivos, requerimientos de
seguridad, los procesos organizacionales empleados y el tamaño y estructura de la
organización. Todos estos factores se espera que cambien con el tiempo.
El SGSI preserva la confidencialidad, integridad y disponibilidad de la información al aplicar
un proceso de gestión de riesgo y asegura a las partes interesadas de que los riesgos son
adecuadamente gestionados.
Es importante que el SGSI sea parte y esté integrado con los procesos de la organización y
la estructura de gestión y que la seguridad de la información esté considerada en el diseño
de procesos, sistemas de información y controles. Es de esperar que el SGSI escalará de
acuerdo con las necesidades de la organización.
Este Estándar Internacional puede ser usado por partes internas y externas para evaluar la
habilidad de la organización para alcanzar sus requerimientos de seguridad de información.
El orden en el cual los requerimientos son presentados en este Estándar Internacional, no
refleja su importancia o implican el orden en el cual van a ser implementados. Los puntos de
la lista son numerados solo para propósito de referencia.
ISO/IEC 27000 describe la revisión y el vocabulario de los sistemas de gestión de seguridad
de información relacionados a la familia de estándares del SGSI (incluyendo ISO/IEC
27003[2], ISO/IEC 27004[3] e ISO/IEC 27005[4], con los términos y definiciones
relacionados.

0.2 Compatibilidad con otros sistemas de gestión

Este Estándar Internacional aplica a la estructura de alto-nivel, títulos de sub-cláusula

idénticas, texto idéntico, términos comunes y definiciones centrales definidas en el Anexo SL
de las Directivas ISO/IEC, Parte 1, Suplemento Consolidado ISO y por consiguiente,
mantiene compatibilidad con otros Estándares de Sistemas de Gestión que han adoptado el
Anexo SL.
Este enfoque común definido en el Anexo SL, será usado por aquellas organizaciones que
decidan operar un sistema de gestión simple para satisfacer los requerimientos de dos o
más sistemas de gestión.

5
 ISO/IEC 27001:2013 (E)

Tecnología de información – Técnicas de seguridad – Sistemas de

gestión de seguridad de información – Requerimientos

1 Alcance

Este Estándar Internacional especifica los requerimientos para establecer, implementar,

mantener y continuamente mejorar un sistema de gestión de seguridad de información
(SGSI) en el contexto de la organización. Este Estándar Internacional también incluye
requerimientos para la evaluación y tratamiento de los riesgos de seguridad de información
diseñados a las necesidades de la organización.
Los requerimientos establecidos en este Estándar Internacional son genéricos y la intención
es que sean aplicables a todo tipo de organización sin interesar el tipo, tamaño o naturaleza.
La exclusión de cualquiera de los requerimientos especificados en las cláusulas 4 a la 10, no
es aceptable cuando la organización busca conformidad con este Estándar Internacional.

2 Referencias Normativas

Los siguientes documentos referenciales, en su totalidad o en parte, son normativamente

referenciados en este documento y son indispensables para su aplicación. Para referencias
fechadas, solo la edición mencionada aplica. Para referencias no fechadas, la última edición
del documento referenciado aplica (incluyendo cualquier modificación).
ISO/IEC 27000, Tecnología de Información – Técnicas de Seguridad – Sistemas de Gestión
de Seguridad de Información – Revisión y Vocabulario

3 Términos y definiciones

Para el propósito de este documento los términos y definiciones dados en ISO/IEC 27000
aplican.

4 Contexto de la organización
4.1 Entendimiento de la organización y su contexto

La organización debe determinar los aspectos internos y externos que son relevantes a su
propósito y que afectan su habilidad para alcanzar los resultados intencionados de su
sistema de gestión de seguridad de información.
Nota: Determinar estos aspectos se refiere a establecer el contexto interno y externo de la
organización considerado en la cláusula 5.3 del ISO 31000:2009[5].

6
 ISO/IEC 27001:2013 (E)

4.2 Entendimiento de las necesidades y expectativas de las partes

interesadas

La organización debe determinar:

a) las partes interesadas que son relevantes a su sistema de seguridad de información; y

b) los requerimientos de estas partes interesadas relevantes a la seguridad de información.

Nota: Los requerimientos de estas partes interesadas pudieran incluir requerimientos legales
y regulatorios así como obligaciones contractuales.

4.3 Determinando el alcance del sistema de gestión de seguridad de

información

La organización debe determinar los límites y la aplicabilidad del sistema de gestión de

seguridad de información para establecer su alcance.
Cuando se determine el alcance la organización debe considerar:

a) los aspectos internos y externos referidos en 4.1;

b) los requerimientos referidos en 4.2; y

c) interfases y dependencias entre actividades desempeñadas por la organización y

aquellas que son desempeñadas por otras organizaciones.

El alcance debe estar disponible como información documentada.

4.4 Sistema de gestión de seguridad de información

La organización debe establecer, implementar, mantener y continuamente mejorar un

sistema de gestión de seguridad de información, en concordancia con los requerimientos de
este estándar internacional.

5 Liderazgo
5.1 Liderazgo y compromiso

La alta gerencia debe demostrar liderazgo y compromiso con respecto al sistema de gestión
de seguridad de información:

7
 ISO/IEC 27001:2013 (E)

a) asegurando que la política de seguridad de información y los objetivos de seguridad de

información se establezcan y sean compatibles con la dirección estratégica de la
organización;

b) asegurando la integración de los requerimientos del sistema de gestión de seguridad de

información con los procesos organizacionales;

c) asegurando que los recursos necesarios para el sistema de gestión de seguridad de

información estén disponibles;

d) comunicando la importancia de la eficacia de la gestión de seguridad de información y su

conformidad con los requerimientos del sistema de gestión de seguridad de información;

e) asegurando que el sistema de gestión de seguridad de información alcanza sus

resultados intencionados;

f) dirigiendo y apoyando a personas para contribuir con la eficacia del sistema de gestión
de seguridad de información;

g) promoviendo la mejora continuada; y

h) apoyando otros roles de gestión relevantes para demostrar su liderazgo en su aplicación

a sus áreas de responsabilidad.

5.2 Política

La alta gerencia debe establecer una política de seguridad de información que:

a) sea apropiada para el propósito de la organización;

b) incluya objetivos de seguridad de información (Ver 6.2) o proporcione el marco para

establecer los objetivos de seguridad de información;

c) incluya un compromiso para satisfacer requerimientos aplicables relacionados con la

seguridad de información; y

d) incluya un compromiso para la mejora continuada del sistema de gestión de seguridad

de información.

La política de seguridad de información debe:

e) estar disponible como información documentada;

f) ser comunicada en la organización; y

8
 ISO/IEC 27001:2013 (E)

g) estar disponible a partes interesadas cuando sea apropiado.

5.3 Roles organizacionales, responsabilidades y autoridades

La alta gerencia debe asegurar que las responsabilidades y autoridades para roles
relevantes a la seguridad de la información, sean asignados y comunicados.
La alta gerencia debe asignar la responsabilidad y autoridad para:

a) asegurar que el sistema de gestión de seguridad de información sea conforme a los

requerimientos de este Estándar Internacional; y

b) reportar el desempeño del sistema de gestión de seguridad de información a la alta

gerencia.

Nota: la alta gerencia puede asignar responsabilidades y autoridades para reportar el

desempeño del sistema de gestión de seguridad de información en la organización.

6. Planificación
6.1 Acciones para atender riesgos y oportunidades
6.1.1 General

Cuando se planifica el sistema de gestión de seguridad de información, la organización debe

considerar los aspectos referidos en 4.1 y los requerimientos referidos en 4.2 y determinar
los riesgos y oportunidades que requieren ser atendidos para:

a) asegurar que el sistema de gestión de seguridad de información pueda alcanzar sus

resultados intencionados;

b) prevenir o reducir efectos no deseados; y

c) alcanzar la mejora continuada.

La organización debe planificar:

d) acciones para atender estos riesgos y oportunidades; y

e) cómo:

1. integrar e implementar las acciones en sus procesos del sistema de gestión de

seguridad de información; y
2. evaluar la efectividad de estas acciones.

9
 ISO/IEC 27001:2013 (E)

6.1.2 Valuación de riesgos de seguridad de información

La organización debe definir y aplicar un proceso para la valuación de los riesgos de

seguridad de información que:

a) establezca y mantenga criterios para los riesgos de seguridad de información que

incluyan:

1. el criterio de aceptación del riesgo; y

2. criterio para desempeñar la valuación de riesgos de seguridad de información;

b) asegurar que repetidas valuaciones de riesgos de seguridad de información, producen

de manera consistente resultados válidos y comparables;

c) identifique los riesgos de seguridad de información:

1. aplicar el proceso de valuación de riesgos de seguridad de información para

identificar los riesgos asociados con la pérdida de confidencialidad, integridad y
disponibilidad de la información dentro del alcance del sistema de gestión de
seguridad de información; y
2. identificar los dueños de los riesgos;

d) analizar los riesgos de seguridad de información:

1. evaluar las potenciales consecuencias que podrían resultar si los riesgos

identificados en 6.1.2 c) 1) se materializaran;
2. evaluar la probabilidad real de la ocurrencia de estos riesgos identificados en 6.1.2
c)1); y
3. determinar los niveles de riesgo;

e) evaluar los riesgos de la seguridad de información:

1. comparar los resultados del análisis de riesgos con los criterios de riesgo
establecidos en 6.1.2 a); y
2. priorizar los riesgos analizados para el tratamiento del riesgo.

La organización debe retener información documentada sobre el proceso de valuación de

riesgos de la seguridad de información.

6.1.3 Tratamiento de los riesgos de seguridad de información

La organización debe definir y aplicar un proceso para el tratamiento de los riesgos de

seguridad de información para:

10
 ISO/IEC 27001:2013 (E)

a) seleccionar opciones apropiadas de tratamiento de riesgos de seguridad de información,

tomando en consideración los resultados de la valuación del riesgo;

b) determinar todos los controles que son necesarios para implementar las opciones del
tratamiento del riesgo de seguridad de información escogidas;
Nota: Las organizaciones pueden diseñar controles en la manera que se requieran o
identificarlos de cualquier fuente.

c) comparar los controles determinados en 6.1.3 b) con los del Anexo A y verificar que se
omitan los controles no necesarios;

Nota 1. El Anexo A contiene una lista completa de objetivos de control y controles. Los
usuarios de este Estándar Internacional son dirigidos al Anexo A para asegurar que no se
pasen por alto los controles necesarios.
Nota 2. Los objetivos de control están implícitamente incluidos en los controles escogidos.
Los objetivos de control y controles listados en el Anexo A no son exhaustivos y pudieran
ser necesarios objetivos de control y controles adicionales.

d) producir una declaración de aplicabilidad que contenga los necesarios controles (Ver
6.1.3 b) y c)) y justificaciones para su inclusión bien sea que estén implementados o no,
y la justificación para la exclusión de controles del Anexo A;

e) formular un plan de tratamiento del riesgo de la seguridad de información; y

f) obtener la aprobación del plan de tratamiento de los riesgos de seguridad de

información y la aceptación de los riesgos residuales de la seguridad de la información
por parte de los dueños de los riesgos.

La organización debe retener información documentada sobre el proceso del plan de

tratamiento de los riesgos de seguridad de información.

Nota: Los procesos de tratamiento y valuación de los riesgos de seguridad de información

en este Estándar Internacional, se alinean con los principios y lineamientos genéricos
proporcionados en ISO 31000.

6.2 Objetivos de seguridad de información y planificación para alcanzarlos

La organización debe establecer objetivos de seguridad de información en funciones y

niveles relevantes. Los objetivos de seguridad de información deben:

a) ser consistentes con las políticas de seguridad de información;

b) ser medibles (si es práctico);

11
 ISO/IEC 27001:2013 (E)

c) tomar en consideración requerimientos de seguridad de información aplicables, y

resultados de la valuación del riesgo y del tratamiento al riesgo;

d) ser comunicados; y

e) estar actualizados según sea apropiado.

La organización debe retener información documentada sobre los objetivos de seguridad de

información.

Cuando se planifica como alcanzar los objetivos de seguridad de información, la

organización debe determinar:

f) qué se debe hacer;

g) qué recursos serán requeridos;

h) quién será responsable;

i) cuándo será completado; y

j) cómo serán evaluados los resultados.

7. Apoyo
7.1 Recursos

La organización debe determinar y proveer los recursos necesarios para el establecimiento,

implementación, mantenimiento y mejoramiento continuado del sistema de gestión de
seguridad de información.

7.2 Competencia

La organización debe:

a) determinar las competencias necesarias de las personas realizando trabajo bajo su

control que afecte el desempeño de su seguridad de información;

b) asegurar que estas personas son competentes en la base de educación apropiada,

capacitación, o experiencia;

c) cuando sea aplicable, tomar acciones para adquirir la necesaria competencia y evaluar
la efectividad de las acciones tomadas; y

d) retener información documentada apropiada como evidencia de las competencias.

12
 ISO/IEC 27001:2013 (E)

7.3 Toma de conciencia

Las personas que realizan el trabajo bajo el control de la organización deben estar
conscientes de:

a) la política de seguridad de información;

b) su contribución a la eficacia del sistema de gestión de seguridad de información,

incluyendo los beneficios de la mejora del desempeño de la seguridad de información; y

c) las implicancias de no estar conformes con los requerimientos del sistema de gestión de
seguridad de información.

7.4 Comunicación

La organización debe determinar la necesidad para las comunicaciones internas y externas

relevantes al sistema de gestión de seguridad de información incluyendo:

a) qué comunicar;

b) cuándo comunicar;

c) con quién comunicarse;

d) quién debe comunicar;

e) los procesos a través de los cuales la comunicación debe ser eficaz.

7.5 Información documentada

7.5.1 General

La información del sistema de gestión de seguridad de información debe incluir:

a) información documentada requerida por este estándar internacional;

b) información documentada determinada por la organización como necesaria para la

eficacia del sistema de gestión de seguridad de información.

Nota: La extensión de la información documentada para un sistema de gestión de seguridad

de información puede diferir de una organización a otra debido a:

1. el tamaño de la organización y su tipo de actividades, procesos, productos y

servicios

13
 ISO/IEC 27001:2013 (E)

2. la complejidad de los procesos y de sus interacciones; y

3. la competencia de las personas.

7.5.2 Creación y actualización

Cuando se crea y actualiza información documentada, la organización debe asegurar

apropiada:

a) identificación y descripción (ejemplo: un título, fecha, autor o número de referencia);

b) formato (ejemplo: lenguaje, versión de software, gráficos) y medio (ejemplo: papel,

electrónico); y

c) revisión y aprobación para su conveniencia y adecuación.

7.5.3 Control de información documentada

La información documentada requerida por el sistema de gestión de seguridad de

información y por este Estándar Internacional, debe ser controlada para asegurar:

a) que está disponible y conveniente para su uso donde y cuando se requiera; y

b) está adecuadamente protegida (ejemplo: pérdida de confidencialidad, uso inapropiado o

pérdida de integridad).

Para el control de la información documentada, la organización debe atender las siguientes

actividades en la manera que sean aplicables:

c) distribución, acceso, recuperación y uso;

d) almacenamiento y preservación, incluyendo la preservación de la legibilidad;

e) control de cambios (ejemplo: control de versión); y

f) retención y disposición.

La información documentada de origen externo, determinada por la organización como

necesaria para la planificación y operación del sistema de gestión de seguridad de
información debe estar identificada en la manera que sea apropiada y controlada.

Nota: Acceso implica una decisión en relación al permiso solamente para ver información
documentada, o el permiso y autoridad para ver y cambiar información documentada, etc.

14
 ISO/IEC 27001:2013 (E)

8 Operación
8.1 Control operacional y planificación

La organización debe planificar, implementar y controlar los procesos necesarios para lograr
los requerimientos de la seguridad de información, e implementar las acciones determinadas
en 6.1. La organización debe también implementar planes para alcanzar los objetivos de
seguridad de información determinados en 6.2.

La organización debe mantener información documentada en la magnitud necesaria para

tener confianza que los procesos han sido llevados a cabo como estaban planificados.

La organización debe controlar los cambios planificados y revisar las consecuencias de

cambios no intencionados tomando acciones para mitigar cualquier efecto adverso, en la
manera que sea necesario.

La organización debe asegurar que los procesos tercerizados son determinados y

controlados.

8.2 Valuación del riesgo de la seguridad de información

La organización debe realizar valuaciones del riesgo de la seguridad de la información a

intervalos planeados, o cuando ocurren o se proponen cambios significativos, considerando
el criterio establecido en 6.1.2 a).

La organización debe retener información documentada de los resultados de la valuación de

los riesgos de la seguridad de la información.

8.3 Tratamiento del riesgo de la seguridad de la información

La organización debe implementar el plan de tratamiento de los riesgos de la seguridad de

la información.

La organización debe retener información documentada de los resultados del tratamiento de

los riesgos de la seguridad de la información.

9 Evaluación del desempeño

9.1 Monitoreo, medición, análisis y evaluación

La organización debe evaluar el desempeño de la seguridad de información y la efectividad

del sistema de gestión de seguridad de información.

15
 ISO/IEC 27001:2013 (E)

La organización debe determinar:

a) qué necesita ser monitoreado y medido, incluyendo controles y procesos de la

seguridad de información;

b) los métodos para el monitoreo, medición, análisis y evaluación en la manera que

aplique, para asegurar resultados válidos.

Nota: Los métodos seleccionados debieran producir resultados comparables y reproducibles

para considerar su validez.

c) cuándo el monitoreo y la medición deben ser desempeñados;

d) quién debe monitorear y medir;

e) cuándo los resultados del monitoreo y medición deben ser analizados y evaluados; y

f) quién debe analizar y evaluar esos resultados.

La organización debe retener información documentada apropiada como evidencia de los

resultados de monitoreo y medición.

9.2 Auditoría interna

La organización debe conducir auditorías internas a intervalos planificados para proveer

información para ver si el sistema de gestión de seguridad de información:

a) está en conformidad con:

1. los requerimientos propios de la organización para su sistema de gestión de

seguridad de información; y
2. los requerimientos de este Estándar Internacional;

b) está efectivamente implementado y mantenido.

La organización debe:

c) planificar, establecer, implementar y mantener un programa(s) de auditoría(s),

incluyendo la frecuencia, métodos, responsabilidades, planificación de requerimientos y
reportes. El programa(s) de auditoría(s) debe(n) tomar en consideración la importancia
de los procesos y los resultados de auditorías previas;

d) definir el criterio de auditoría y alcance para cada auditoría;

16
 ISO/IEC 27001:2013 (E)

e) seleccionar auditores y conducir auditorías que aseguren objetividad y la imparcialidad

del proceso de auditoría;

f) asegurar que los resultados de las auditorías son reportados a la gerencia relevante; y

g) retener información documentada como evidencia del (los) programa(s) de auditoría(s) y

del resultado de las auditorías.

9.3 Revisión gerencial

La alta gerencia debe revisar el sistema de gestión de seguridad de información, a intervalos

planificados para asegurar su continua conveniencia, adecuación y efectividad.

Las revisiones gerenciales deben incluir consideraciones de:

a) el estado de acciones de revisiones gerenciales previas;

b) cambios en los aspectos internos y externos que son relevantes al sistema de gestión
de seguridad de información;

c) retroalimentación sobre el desempeño de la seguridad de información, incluyendo

tendencias en:

1. no conformidades y acciones correctivas

2. resultados de monitoreo y medición;
3. resultados de auditorías; y
4. logro de los objetivos de seguridad de información

d) retroalimentación de las partes interesadas;

e) resultados de la valuación del riesgo y del estado del plan de tratamiento del riesgo; y

f) oportunidades para la mejora continuada.

Los resultados de la revisión gerencial deben incluir decisiones relacionadas con las
oportunidades de mejora continuada y cualquier necesidad de cambio en el sistema de
gestión de seguridad de información.

La organización debe retener información documentada como evidencia de los resultados

de las revisiones gerenciales.

17
 ISO/IEC 27001:2013 (E)

10 Mejoramiento
10.1 No conformidad y acción correctiva

Cuando ocurre una no conformidad, la organización debe:

a) reaccionar a la no conformidad en la manera que sea aplicable:

1. tomar acción para controlarla y corregirla; y

2. tratar sus consecuencias

b) evaluar la necesidad de tomar acciones para eliminar las causas de no conformidades a

fin de que no recurra u ocurra en otro lugar:

1. revisando la no conformidad;
2. determinando las causas de la no conformidad; y
3. determinando si existen no conformidades similares o potencialmente pudieran
ocurrir;

c) implementar cualquier acción necesaria;

d) revisar la eficacia de cualquier acción correctiva tomada; y

e) realizar cambios al sistema de gestión de seguridad de información, si fuese necesario.

Las acciones correctivas deben ser apropiadas a los efectos de las no conformidades
encontradas.

La organización debe retener información documentada como evidencia de:

f) la naturaleza de la no conformidad y cualquier acción tomada subsecuentemente; y

g) los resultados de cualquier acción correctiva.

10.2 Mejora continuada

La organización debe continuamente mejorar la conveniencia, adecuación y eficacia del

sistema de gestión de seguridad de información.

18
 ISO/IEC 27001:2013 (E)

Anexo A
(Normativo)

Referencia Objetivos de control y controles

Los objetivos de control y controles listados en la Tabla A.1 están directamente derivados de
y alineados con los listados en ISO/IEC 27002:2013[1], cláusulas 5 a la 18 y son usados en
el contexto con la cláusula 6.1.3.

Tabla A.1 – Objetivos de control y controles

A.5 Políticas de seguridad de información

A.5.1 Dirección de la gestión para seguridad de información
Objetivo: Proporcionar dirección de la gestión y apoyo para la seguridad de información en
concordancia con requerimientos del negocio y regulaciones y leyes relevantes.
A.5.1.1 Políticas para seguridad de Control
información Se debe definir un conjunto de políticas para
la seguridad de la información aprobadas por
la gerencia, publicadas y comunicadas a los
empleados y partes externas relevantes.
A.5.1.2 Revisión de las políticas Control
para la seguridad de la Las políticas para la seguridad de la
información información deben ser revisadas a intervalos
planificados o si ocurrieran cambios
significativos para asegurar su continua
conveniencia, adecuación y eficacia.
A.6 Organización para la seguridad de la información
A.6.1 Organización Interna
Objetivo: Establecer un enfoque de gestión para iniciar y controlar la implementación y
operación de la seguridad de la información en la organización.
A.6.1.1 Roles y responsabilidades Control
para la seguridad de la Todas las responsabilidades para la seguridad
información de la información deben ser definidas y
asignadas.
A.6.1.2 Segregación de deberes Control
Se deben segregar los deberes conflictivos en
áreas de seguridad para reducir
oportunidades para modificaciones no
autorizadas o no intencionadas o mal uso de
los activos de la organización.
A.6.1.3 Contacto con autoridades Control
Se debe mantener contactos apropiados con
autoridades relevantes.
A.6.1.4 Contacto con grupos de Control
interés especiales Se debe mantener contactos apropiados con
grupos de interés especiales u otros forums
de seguridad especializados y asociaciones

19
 ISO/IEC 27001:2013 (E)

profesionales.
A.6.1.5 Seguridad de la información Control
en gestión de proyectos Se debe atender la seguridad de la
información en la gestión de proyectos al
margen del tipo de proyecto.
A.6.2 Dispositivos móviles y teletrabajo
Objetivo: Asegurar la seguridad del teletrabajo y el uso de dispositivos móviles.
A.6.2.1 Política para dispositivos Control
móviles Se deben adoptar políticas y medidas de
apoyo a la seguridad para gestionar los
riesgos introducidos al usar dispositivos
móviles.
A.6.2.2 Teletrabajo Control
Se deben implementar políticas y medidas de
apoyo en seguridad para proteger el acceso,
el procesamiento y almacenamiento de la
información en lugares de teletrabajo.
A.7 Seguridad de recursos humanos
A.7.1 Antes del empleo
Objetivo: Asegurar que los empleados y contratistas entiendan su responsabilidad y estén
disponibles para los roles para los cuales han sido considerados.
A.7.1.1 Revisión Control
Se deben llevar a cabo verificaciones y
chequeos de antecedentes de todos los
candidatos para empleos en concordancia con
leyes relevantes, regulaciones y ética y deben
ser proporcionales a los requerimientos del
negocio, la clasificación de la información a
ser accesada y los riesgos percibidos.
A.7.1.2 Términos y condiciones de Control
empleo Los acuerdos contractuales con empleados y
contratistas deben estipular su
responsabilidad y las de la organización por la
seguridad de la información.
A.7.2 Durante el empleo
Objetivo: Asegurar que los empleados y contratistas estén conscientes de sus
responsabilidades y cumplimiento por la seguridad de la información.
A.7.2.1 Responsabilidades Control
gerenciales La gerencia debe requerir a todos los
empleados y contratistas que apliquen la
seguridad de la información en concordancia
con las políticas establecidas y
procedimientos de la organización.
A.7.2.2 Capacitación, educación y Control
toma de conciencia para la Todos los empleados de la organización y
seguridad de la información contratistas relevantes, deben recibir
apropiada toma de conciencia, educación,
capacitación y actualizaciones regulares de
las políticas organizacionales y
procedimientos relevantes para su función en
el puesto de trabajo.
A.7.2.3 Proceso disciplinario Control
Debe haber un proceso disciplinario formal y

20
 ISO/IEC 27001:2013 (E)

comunicado establecido para tomar acciones

contra empleados que hayan cometido un
rompimiento en la seguridad de la
información.
A.7.3 Terminación y cambio de empleo
Objetivo: Proteger los intereses organizacionales como parte del proceso de cambio o
terminación del empleo.
A.7.3.1 Terminación o cambio de Control
responsabilidades del Las responsabilidades y deberes para la
empleo seguridad de la información que se mantienen
válidos después de la terminación o cambio
del empleo, deben ser definidos, comunicados
al empleado o contratistas e implementados.
A.8 Gestión de activos
A.8.1 Responsabilidad por los activos
Objetivo: Identificar activos organizacionales y definir la protección apropiada y
responsabilidades.
A.8.1.1 Inventario de activos Control
Los activos asociados con la información y
con ambientes de procesamiento de
información deben ser identificados y un
inventario de dichos activos debe ser
elaborado y mantenido.
A.8.1.2 Propiedad de los activos Control
Los activos mantenidos en el inventario deben
tener propietarios.
A.8.1.3 Uso aceptable de activos Control
Reglas para el uso aceptable de la
información y de activos asociados con la
información y ambientes de procesamiento de
información deben ser identificados,
documentados e implementados.
A.8.1.4 Devolución de activos Control
Todos los empleados y usuarios de tercera
parte deben devolver todos los activos
organizacionales en su posesión al término de
su empleo, contrato u acuerdo.
A.8.2 Clasificación de la información
Objetivo: Para asegurar que la información recibe un apropiado nivel de protección en
concordancia con su importancia a la organización.
A.8.2.1 Clasificación de la Control
información La información debe ser clasificada en
términos de los requerimientos legales, valor,
criticidad y sensibilidad a la divulgación no
autorizada o a modificaciones.
A.8.2.2 Etiquetado de la información Control
Un apropiado conjunto de procedimientos
para el etiquetado de la información deben ser
desarrollados e implementados en
concordancia con el esquema de la
clasificación de la información adoptado por la
organización.
A.8.2.3 Manejo de activos Control

21
 ISO/IEC 27001:2013 (E)

Procedimientos para el manejo de activos

debe ser desarrollado e implementado en
concordancia con el esquema de la
clasificación de la información establecido por
la organización.
A.8.3 Manejo de medios
Objetivo: Prevenir una divulgación no autorizada, modificación, eliminación o destrucción
de la información almacenada en medios.
A.8.3.1 Gestión de medios Control
removibles Deben implementarse procedimientos para la
gestión de medios removibles en
concordancia con el esquema de clasificación
de la información adoptado por la
organización.
A.8.3.2 Disposición de medios Control
La disposición de medios debe efectuarse de
manera segura cuando ya no se requieran,
usando procedimientos formales.
A.8.3.3 Transferencia física de Control
medios Los medios conteniendo información deben
ser protegidos contra acceso no autorizado,
mal uso o corrupción durante el transporte.
A.9 Control de accesos
A.9.1 Requerimiento del negocio para el control de acceso
Objetivo: Limitar el acceso a la información y al ambiente de procesamiento de la
información.
A.9.1.1 Política de control de acceso Control
Una política de control de acceso debe
establecerse, documentarse y revisarse
basada en los requerimientos de seguridad de
información del negocio.
A.9.1.2 Acceso a redes y a servicios Control
de redes Los usuarios deben sólo ser provistos de
acceso a la red y a servicios de red a los que
han sido específicamente autorizados para su
uso.
A.9.2 Gestión de acceso a usuarios
Objetivo: Asegurar el uso autorizado de acceso a usuarios y prevenir el acceso no
autorizado a sistemas y servicios.
A.9.2.1 Registro de usuarios y des- Control
registros Un proceso formal de registro y desregistro de
usuarios debe implementarse para asegurar la
asignación de derechos de acceso.
A.9.2.2 Aprovisionamiento de Control
derecho de acceso de Un sistema formal de aprovisionamiento de
usuarios acceso de usuarios debe ser implementado
para asignar o revocar el derecho de acceso a
todo tipo de usuario para todos los sistemas y
servicios.
A.9.2.3 Gestión de privilegios para el Control
derecho de acceso La asignación y uso de derechos de
privilegios de acceso debe ser restringida y
controlada.

22
 ISO/IEC 27001:2013 (E)

A.9.2.4 Gestión de autenticación Control

secreta de información de La asignación de la autenticación secreta de
usuarios usuarios debe ser controlada a través de un
proceso de gestión formal.
A.9.2.5 Revisión de los derechos de Control
acceso de usuarios Los propietarios de activos deben revisar los
derechos de acceso a intervalos regulares.
A.9.2.6 Eliminación o ajuste a Control
derechos de acceso El derecho de acceso de todos los empleados
y los usuarios de tercera parte a la
información y a los ambientes de
procesamiento de información, deben ser
eliminados al término del empleo, contrato u
acuerdo, o ajustado al haber cambios.
A.9.3 Responsabilidades del usuario
Objetivo: Hacer que los usuarios sean responsables por la salvaguarda de su
autenticación de información.
A.9.3.1 Uso de autenticación secreta Control
de la información A los usuarios se les debe requerir que sigan
las prácticas organizacionales en el uso de la
autenticación secreta de la información.
A.9.4 Control de acceso a aplicaciones y sistemas
Objetivo: Prevenir el acceso no autorizado a sistemas y aplicaciones.
A.9.4.1 Restricción de acceso a la Control
información El acceso a la información y a las funciones
del sistema de aplicaciones deben ser
restringidas en concordancia con la política de
control de acceso.
A.9.4.2 Procedimientos para Control
comienzo de sesión segura Cuando sea requerido por la política de
control de accesos, los accesos a sistemas y
aplicaciones deben ser controlados por un
procedimiento de comienzo de sesión segura.
A.9.4.3 Sistema de gestión de Control
contraseña Los sistemas de gestión de contraseñas
deben ser interactivos y deben asegurar
contraseñas de calidad.
A.9.4.4 Uso de privilegios de Control
programas de utilidad El uso de programas de utilidad que pudieran
tener la capacidad de modificar controles de
los sistemas y aplicaciones deben restringirse
y controlarse estrechamente.
A.9.4.5 Control de acceso a Control
programas de código fuente Los accesos a los programas de código fuente
deben restringirse.
A.10 Criptografía
A.10.1 Controles criptográficos
Objetivo: Asegurar un uso criptográfico apropiado y eficaz para proteger la
confidencialidad, autenticación y/o integridad de la información.

23
 ISO/IEC 27001:2013 (E)

A.10.1.1 Política para el uso de Control

controles criptográficos Una política para el uso de controles
criptográficos para la protección de la
información debe ser desarrollada e
implementada.
A.10.1.2 Gestión de claves Control
Una política sobre el uso, protección y el
tiempo de vida de las llaves criptográficas,
debe desarrollarse e implementarse a través
de todo el ciclo de vida.
A.11 Seguridad física y ambiental
A.11.1 Áreas seguras
Objetivo: Prevenir el acceso físico no autorizado, daño e interferencia a la información
organizacional y a los ambientes de procesamiento de la información.
A.11.1.1 Perímetro de seguridad Control
física Los perímetros de seguridad física deben
definirse y usarse para proteger áreas que
contienen información sensible o crítica y
ambientes de procesamiento de la
información.
A.11.1.2 Controles de entrada física Control
Las áreas seguras deben protegerse a través
de apropiados controles de entrada para
asegurar que sólo se le permite el ingreso a
las personas autorizadas.
A.11.1.3 Seguridad de oficinas, Control
cuartos y ambientes La seguridad física para las oficinas, cuartos y
ambientes debe asignarse y aplicarse.
A.11.1.4 Protección contra amenazas Control
externas y ambientales Protección física contra desastres naturales,
ataques maliciosos o accidentes debe ser
diseñada y aplicada.
A.11.1.5 Trabajando en áreas Control
seguras Procedimientos para el trabajo en áreas
seguras debe ser diseñado y aplicado.
A.11.1.6 Áreas de entrega y descarga Control
Puntos de acceso tales como entrega y áreas
de descarga y otros puntos donde personal no
autorizado pudiera penetrar a las
instalaciones debe ser controlado y si es
posible, aislados de ambientes de
procesamiento de la información para evitar
accesos no autorizados.
A.11.2 Equipo
Objetivo: Para prevenir pérdida, daño, robo o comprometer a los activos y la interrupción
de las operaciones de la organización.
A.11.2.1 Ubicación del equipo y Control
protección El equipo debe ser ubicado y protegido para
reducir los riesgos de amenazas ambientales,
peligros y oportunidades para el acceso no
autorizado.
A.11.2.2 Apoyo de servicios públicos Control
El equipo debe estar protegido de fallas

24
 ISO/IEC 27001:2013 (E)

eléctricas y otras alteraciones causadas por

fallas de los servicios públicos.
A.11.2.3 Seguridad en el cableado Control
El cableado de energía y de
telecomunicaciones transportando datos o
servicios de apoyo de información, debe
protegerse de intercepción, interferencia o
daño.
A.11.2.4 Mantenimiento de equipos Control
El equipo debe mantenerse correctamente
para asegurar su continua disponibilidad e
integridad.
A.11.2.5 Traslado de activos Control
Los equipos, información o software no deben
sacarse de las instalaciones sin una
autorización previa.
A.11.2.6 Seguridad del equipo y Control
activos fuera de las La seguridad debe ser aplicada a activos
instalaciones fuera de las instalaciones, considerando los
distintos riesgos de estar trabajando fuera de
las instalaciones de la organización.
A.11.2.7 Segura disposición o reuso Control
de equipos Todos los elementos de los equipos que
contengan almacenamiento de medios, deben
ser verificados para asegurar que cualquier
dato sensitivo y software con licencia ha sido
removido o, de manera segura, copiado previo
a la disposición o reuso.
A.11.2.8 Equipo de usuario Control
desatendido Los
A.11.2.9 Política de escritorio y Control
pantalla limpia Una clara política para papeles, y medios de
almacenamiento removibles, y una política
sobre pantalla limpia para ambientes de
procesamiento de información debe ser
adoptada.
A.12 Seguridad en Operaciones
A.12.1 Procedimientos operativos y responsabilidades
Objetivo: Asegurar una correcta y segura operación en los ambientes de procesamiento
de la información.
A.12.1.1 Procedimientos operativos Control
documentados Los procedimientos operativos deben
documentarse y estar disponibles a aquellos
usuarios que los necesiten.
A.12.1.2 Gestión de cambio Control
Cambios a la organización, procesos de
negocios, ambientes de procesamiento de la
información y sistemas que afectan la
seguridad de la información, deben
controlarse.
A.12.1.3 Gestión de la capacidad Control
El uso de recursos debe ser monitoreado,
afinados y realizar proyecciones de futuros

25
 ISO/IEC 27001:2013 (E)

requerimientos de capacidades, para asegurar

el desempeño requerido del sistema.
A.12.1.4 Separación de desarrollo, Control
pruebas y ambientes El desarrollo, pruebas y ambientes
operacionales. operacionales deben separarse para reducir
los riesgos de accesos no autorizados o
cambios a los ambientes operacionales.
A.12.2 Protección contra códigos maliciosos
Objetivo: Asegurar que la información y los ambientes de procesamiento de información
están protegidos contra código malicioso.
A.12.2.1 Control contra código Control
malicioso La detección, prevención y controles de
recuperación para la protección contra
códigos maliciosos deben implementarse, y
combinarse con apropiada concientización de
los usuarios.
A.12.3 Respaldo
Objetivo: Protección contra pérdida de datos
A.12.3.1 Copias de respaldo de la Control
información Copias de respaldo de la información,
software e imágenes de sistemas, deben ser
tomadas y probadas, regularmente en
concordancia con una política de respaldos
acordada.
A.12.4 Registro y monitoreo
Objetivo: Registrar eventos y generar evidencias.
A.12.4.1 Registro de eventos Control
Registros de eventos de las actividades de los
usuarios, excepciones, errores, y los eventos
de seguridad de información, deben ser
producidos, mantenidos y regularmente
revisados.
A.12.4.2 Protección de información Control
registrada Ambientes de registro e información
registrada deben ser protegidos contra
sabotaje y acceso no autorizado.
A.12.4.3 Administrador y operador de Control
registros Las actividades del sistema administrador y
operador deben ser registradas y los registros
protegidos y regularmente revisados.
A.12.4.4 Sincronización de relojes Control
Los relojes de todo sistema de procesamiento
de la información, relevante en una
organización en un dominio de seguridad,
deben sincronizarse a una fuente de tiempo
referencial única.
A.12.5 Control de software operativo
Objetivo: Asegurar la integridad del sistema operativo
A.12.5.1 Instalación de software en Control
sistemas operativos Se deben implementar procedimientos para
controlar la instalación del software en
sistemas operativos.

26
 ISO/IEC 27001:2013 (E)

A.12.6 Gestión de la vulnerabilidad técnica

Objetivo: Prevenir la explotación de vulnerabilidades técnicas.
A.12.6.1 Gestión de vulnerabilidades Control
técnicas La información sobre vulnerabilidades
técnicas de sistemas de información
utilizados, debe ser obtenida oportunamente,
la exposición de la organización a tales
vulnerabilidades evaluada, y apropiadas
medidas tomadas para atender los riesgos
asociados.
A.12.6.2 Restricciones en las Control
instalaciones de software Reglas gobernando la instalación del software
por usuarios deben de establecerse e
implementarse
A.12.7 Auditorías de sistemas de información y consideraciones
Objetivo: Minimizar el impacto de actividades de auditoría en sistemas operativos
A.12.7.1 Controles para auditorías de Control
sistemas de información Los requerimientos de auditoría y actividades
que involucren verificación de sistemas
operativos deben cuidadosamente ser
planificados y acordados para minimizar
paralizaciones a los procesos de negocios.
A.13 Seguridad en las comunicaciones
A.13.1 Gestión de seguridad de redes
Objetivo: Asegurar la protección de la información en redes y en su ambiente de apoyo de
procesamiento de la información.
A.13.1.1 Controles de redes Control
Las redes deben ser manejadas y controladas
para proteger la información en sistemas y
aplicaciones.
A.13.1.2 Servicios de seguridad de Control
redes Mecanismos de seguridad, niveles de servicio
y la gestión de requerimientos de todos los
servicios en red deben identificarse e incluirse
en acuerdos de servicios de red, al margen
que estos servicios se provean en la empresa
o se hayan tercerizado.
A.13.1.3 Segregación en redes Control
Grupos de servicios de información, usuarios
y sistemas de información, deben segregarse
en redes.
A.13.2 Transferencia de información
Objetivo: Mantener la seguridad de la información transferida en una organización y con
cualquier entidad externa.
A.13.2.1 Procedimientos y políticas Control
para la transferencia de Políticas formales de transferencia,
información procedimientos y controles deben estar, para
poder proteger la transferencia de información
a través del uso de todos los tipos de
ambientes de comunicación.
A.13.2.2 Acuerdos en transferencia Control
de información Los acuerdos deben atender la seguridad de
la transferencia de la información del negocio,

27
 ISO/IEC 27001:2013 (E)

entre la organización y partes externas.

A.13.2.3 Mensaje electrónico Control
La información involucrada en mensajes
electrónicos debe protegerse apropiadamente.
A.13.2.4 Confidencialidad y acuerdos Control
de no divulgación Requerimientos para la confidencialidad o
acuerdos de no divulgación, que reflejen las
necesidades organizacionales para la
protección de la información, deben ser
identificados, regularmente revisarse y
documentarse.
A.14 Adquisición de sistemas, desarrollo y mantenimiento
A.14.1 Requerimientos de seguridad de sistemas de información
Objetivo: Asegurar que la seguridad de la información es una parte integral de los
sistemas de información a través de todo el ciclo de vida. Esto incluye los requerimientos
de los sistemas de información que proveen servicios sobre redes públicas,
A.14.1.1 Requerimientos de análisis y Control
especificación de la Los requerimientos relacionados de seguridad
seguridad de información. de información, deben ser incluidos en
requerimientos para nuevos sistemas o
mejoramiento de sistemas de información
existentes.
A.14.1.2 Seguridad de servicios de Control
aplicación en redes públicas. La información involucrada en servicios de
aplicación que pasan por redes públicas,
deben protegerse de actividad fraudulenta,
disputa de contratos y de modificaciones y
revelaciones no autorizadas.
A.14.1.3 Protección de servicios de Control
aplicaciones en La información involucrada en transacciones
transacciones. de aplicaciones de servicios, debe protegerse
para prevenir transmisiones incompletas, mis
routing, alteración de mensajes no
autorizados, revelaciones no autorizadas,
duplicación de mensajes no autorizados o
replay.
A.14.2 Seguridad en desarrollo y procesos de apoyo
Objetivo: Asegurar que la seguridad de información este diseñada e implementada en el
ciclo de desarrollo de sistemas de información.
A.14.2.1 Política de desarrollo seguro Control
Las reglas para el desarrollo del software y
sistemas deben de establecerse y aplicarse
para desarrollos en la organización.
A.14.2.2 Procedimientos para los Control
cambios de sistemas Cambios a los sistemas en el desarrollo del
ciclo de vida deben controlarse con el uso de
procedimientos de control de cambios
formales.
A.14.2.3 Revisiones técnicas de Control
aplicaciones después de Cuando las plataformas operativas han sido
cambios en plataformas cambiadas, las aplicaciones críticas deben
operativas revisarse y probarse para asegurar que no
haya un impacto adverso en las operaciones

28

A.14.2.4 Restricciones a cambios en
paquetes de software
A.14.2.5 Principios de seguridad en
ingeniería de sistemas
A.14.2.6 Ambiente seguro de
desarrollo
A.14.2.7 Desarrollo tercerizado
A.14.2.8 Seguridad en pruebas del
sistema
A.14.2.9 Pruebas de aceptación del
sistema
A.14.3 Prueba de datos
Objetivo: Asegurar la protección de datos usados en pruebas.
A.14.3.1 Protección de datos de
prueba
A.15 Relaciones con suplidores
A.15.1 Seguridad de información en relaciones con suplidores.
Objetivo: Asegurar protección a los activos organizacionales que son accesibles a los
suplidores.
A.15.1.1 Política de seguridad de
información para relaciones
con suplidores
A.15.1.2 Atención a la seguridad en
los acuerdos con suplidores
ISO/IEC 27001:2013 (E)
organizacionales o en la seguridad.
Control
Las modificaciones a paquetes de software no
deben ser alentadas, limitándolas sólo a
cambios necesarios y todos los cambios
deben ser estrictamente controlados.
Control
Los principios de seguridad de sistemas para
ingeniería deben establecerse, documentarse,
mantenerse y aplicarse a cualquier esfuerzo
de implementación de sistemas de
información.
Control
Las organizaciones deben establecer y
apropiadamente proteger ambientes seguros
para el desarrollo, para sistemas de
desarrollo y la integración de esfuerzos que
cubran el sistema completo de desarrollo del
ciclo de vida
Control
La organización debe supervisar y monitorear
la actividad del desarrollo de sistemas
tercerizados.
Control
Pruebas de la funcionalidad de la seguridad
deben llevarse a cabo durante el desarrollo.
Control
La aceptación de programas de aceptación y
criterios relacionados deben establecerse
para nuevos sistemas de información,
actualizaciones y nuevas versiones.
Control
Los datos de prueba deben ser seleccionados
cuidadosamente, protegidos y controlados.
Control
Los requerimientos de seguridad de
información para mitigar los riesgos asociados
con el acceso del suplidor a los activos
organizacionales, deben ser acordados con el
suplidor y documentados.
Control
Toda la información relevante a
requerimientos de seguridad de información,
debe ser establecida y acordada con cada
suplidor que pueda acceder, procesar,
almacenar, comunicar o proveer componentes
de infraestructura de TI para la información en
29
 ISO/IEC 27001:2013 (E)

la organización.
A.15.1.3 La información y la Control
tecnología de comunicación Los acuerdos con suplidores deben incluir
en la cadena de suministros. requerimientos para atender riesgos de
seguridad de información, asociados con
información y servicios de tecnología de
comunicación y productos de la cadena de
suministros.
A.15.2 Gestión de los servicios de entrega del suplidor
Objetivo: Mantener un nivel de acuerdo de seguridad de información y servicios de
entrega en línea con acuerdos con suplidores
A.15.2.1 Monitoreo y revisión de Control
servicios de suplidores Las organizaciones deben regularmente
monitorear, revisar y auditar los servicios de
entrega de suplidores.
A.15.2.2 Gestión de cambios a Control
servicios con suplidores Cambios a la provisión de servicios por
suplidores, incluyendo mantenimiento y
mejoramiento a políticas de seguridad de
información existentes, procedimientos y
controles deben ser gestionados,
considerando la criticidad de la información
del negocio, sistemas y procesos involucrados
y revaluación del riesgo.
A.16 Gestión de incidentes de seguridad de información
A.16.1 Gestión de incidentes de seguridad de información y mejoras
Objetivo: Asegurar un consistente y efectivo enfoque a la gestión de incidentes de
seguridad de información, incluyendo comunicación en eventos de seguridad de
información y debilidades.
A.16.1.1 Responsabilidades y Control
procedimientos Se deben establecer responsabilidades por la
gestión y procedimientos para asegurar una
respuesta rápida, eficaz y ordenada a
incidentes de seguridad de información.
A.16.1.2 Reporte de eventos de Control
seguridad de información Los eventos de seguridad de información
deben reportarse a través de los canales de
gestión apropiados tan rápido como sea
posible.
A.16.1.3 Reporte de debilidades en la Control
seguridad de información Los empleados y contratistas que utilizan los
sistemas y servicios de información
organizacional, deben ser exigidos de reportar
cualquier debilidad observada o sospechada,
en los sistemas o servicios de seguridad de
información
A.16.1.4 Evaluación y decisión sobre Control
eventos de seguridad de Los eventos de seguridad de información
información deben ser evaluados y se debe decidir si
deben ser clasificados como incidentes de
seguridad de información
A.16.1.5 Respuesta a incidentes de Control
seguridad de información Los incidentes de seguridad de información

30
 ISO/IEC 27001:2013 (E)

deben ser respondidos en concordancia con

los procedimientos documentados.
A.16.1.6 Aprendizaje de los Control
incidentes de seguridad de El aprendizaje obtenido al analizar y resolver
información incidentes de seguridad de información, debe
ser usado para reducir la probabilidad o
impacto de incidentes futuros.
A.16.1.7 Colección de evidencia Control
La organización debe definir y aplicar
procedimientos para la identificación,
colección, adquisición, y preservación de la
información, que pueda servir como evidencia.
A.17 Aspectos de seguridad de la información de la gestión de continuidad del
negocio
A.17.1 Continuidad de la seguridad de información
Objetivo: La continuidad de la seguridad de la información debe estar insertada en el
sistema de gestión de continuidad del negocio de la organización.
A.17.1.1 Planificando la continuidad Control
de la seguridad de la La organización debe determinar sus
información requerimientos para la seguridad de la
información y la continuidad de la gestión de
la seguridad de la información en situaciones
adversas, ej.: durante una crisis o un
desastre.
A.17.1.2 Implementando la Control
continuidad de la seguridad La organización debe establecer, documentar,
de información implementar y mantener procesos,
procedimientos y controles para asegurar el
requerido nivel de continuidad para la
seguridad de información durante una
situación adversa.
A.17.1.3 Verificación, revisión y Control
evaluación de la continuidad La organización debe verificar el
de la seguridad de la establecimiento e implementación de los
información controles de la continuidad de la seguridad de
información a intervalos regulares, para así
poder asegurar que son válidos y eficaces
durante una situación adversa.
A.17.2 Redundancias
Objetivo: Asegurar la disponibilidad del ambiente de procesamiento de la información
A.17.2.1 Disponibilidad del ambiente Control
para el procesamiento de la Se deben implementar ambientes para el
información procesamiento de la información con
suficiente redundancia para alcanzar
requerimientos de disponibilidad.
A.18 Cumplimiento
A.18.1 Cumplimiento con requerimientos legales y contractuales
Objetivo: Para evitar el rompimiento de obligaciones contractuales, estatutarias, legales o
contractuales, relacionadas con la seguridad de información y de cualquier requerimiento
de seguridad.
A.18.1.1 Identificación de legislación Control
aplicable y requerimientos Toda legislación relevante, estatutaria,
contractuales regulatoria, requerimientos contractuales y el

31
 ISO/IEC 27001:2013 (E)

enfoque de la organización para alcanzar

estos requerimientos, deben estar
explícitamente identificados, documentados y
mantenidos actualizados para cada sistema
de información y la organización.
A.18.1.2 Derechos de propiedad Control
intelectual Procedimientos apropiados deben ser
implementados para asegurar cumplimiento
con aspectos legislativos, regulatorios y
requerimientos contractuales relacionados con
los derechos de la propiedad intelectual y
utilización de software patentado.
A.18.1.3 Protección de registros Control
Los registros deben protegerse de pérdida,
destrucción, falsificación, acceso no
autorizado, liberación no autorizada, en
concordancia con aspectos legales,
regulatorios, contractuales y requerimientos
del negocio.
A.18.1.4 Privacidad y protección de Control
información personal La privacidad y protección de la a información
identificable personalmente identificable, debe ser
asegurada tal como es requerido en la
legislación relevante y regulaciones donde
aplique.
A.18.1.5 Regulación de controles Control
criptográficos Los controles criptográficos deben usarse en
cumplimiento con todos los acuerdos
relevantes, legislación y regulaciones.
A.18.2 Revisiones a la seguridad de información
Objetivo: Asegurar que la seguridad de la información es implementada y operada en
concordancia con políticas y procedimientos organizacionales.
A.18.2.1 Revisión independiente de la Control
seguridad de la información El enfoque de la organización para gestionar
la seguridad de la información y su
implementación (Ej.: objetivos de control,
controles, políticas, procesos y
procedimientos para la seguridad de la
información) deben ser revisados
independientemente a intervalos planificados
o cuando ocurra un cambio significativo.
A.18.2.2 Cumplimiento con políticas Control
de seguridad y estándares Los gerentes deben regularmente revisar el
cumplimiento del procesamiento de la
información y procedimientos con su área de
responsabilidad con las apropiadas políticas
de seguridad, estándares y cualquier otro
requerimiento de seguridad.
A.18.2.3 Revisión del cumplimiento Control
técnico Los sistemas de información deben
regularmente revisarse para ver su
cumplimiento con las políticas y estándares de
la seguridad de información organizacional.

32
 ISO/IEC 27001:2013 (E)

Bibliografía

[1] ISO/IEC 27002:2013, Information technology – Security Techniques – Code of practice

for information security controls

[2] ISO/IEC 27003, Information technology – Security Techniques – Information security

management system implementation guidance

[3] ISO/IEC 27004, Information technology – Security techniques – Information security

management – Measurement

[4] ISO/IEC 27005, Information technology – Security techniques – Information security

risk management

[5] ISO/IEC 31000:2009, Risk management – Principles and guidelines

[6] ISO/IEC Directives, Part 1, Consolidated ISO Supplement – Procedures specific to

ISO, 2012

33