Documentos de Académico
Documentos de Profesional
Documentos de Cultura
INTERNACIONAL 27001
Segunda edición
2013-10-01
Número de referencia
ISO/IEC 27001:2013(E)
© ISO/IEC 2013
Contenido
Pág.
Prólogo...............................................................................................................................4
0 Introducción.....................................................................................................................5
0.1 General....................................................................................................................................5
0.2 Compatibilidad con otros sistemas de gestión.........................................................................5
1 Alcance............................................................................................................................6
2 Referencias Normativas...................................................................................................6
3 Términos y definiciones....................................................................................................6
4 Contexto de la organización.............................................................................................6
4.1 Entendimiento de la organización y su contexto......................................................................6
4.2 Entendimiento de las necesidades y expectativas de las partes interesadas............................7
4.3 Determinando el alcance del sistema de gestión de seguridad de información.......................7
4.4 Sistema de gestión de seguridad de información.....................................................................7
5 Liderazgo..........................................................................................................................7
5.1 Liderazgo y compromiso..........................................................................................................7
5.2 Política.....................................................................................................................................8
5.3 Roles organizacionales, responsabilidades y autoridades........................................................9
6. Planificación....................................................................................................................9
6.1 Acciones para atender riesgos y oportunidades.......................................................................9
6.1.1 General..................................................................................................................................9
6.1.2 Valuación de riesgos de seguridad de información.............................................................10
6.1.3 Tratamiento de los riesgos de seguridad de información....................................................10
6.2 Objetivos de seguridad de información y planificación para alcanzarlos................................11
7. Apoyo...........................................................................................................................12
7.1 Recursos................................................................................................................................12
7.2 Competencia..........................................................................................................................12
7.3 Toma de conciencia...............................................................................................................13
7.4 Comunicación........................................................................................................................13
7.5 Información documentada....................................................................................................13
7.5.1 General................................................................................................................................13
7.5.2 Creación y actualización......................................................................................................14
7.5.3 Control de información documentada.................................................................................14
8 Operación......................................................................................................................15
8.1 Control operacional y planificación........................................................................................15
8.2 Valuación del riesgo de la seguridad de información.............................................................15
ISO/IEC 27001:2013 (E)
10 Mejoramiento..............................................................................................................18
10.1 No conformidad y acción correctiva.....................................................................................18
10.2 Mejora continuada..............................................................................................................18
Anexo A............................................................................................................................19
(Normativo)......................................................................................................................19
Referencia Objetivos de control y controles......................................................................19
Bibliografía.......................................................................................................................33
3
ISO/IEC 27001:2013 (E)
Prólogo
ISO (La Organización Internacional para la Normalización) e IEC (La Comisión Internacional
para la Electrotecnia), conforman el sistema especializado para la estandarización mundial.
Entidades nacionales que son miembros de ISO o IEC participan en el desarrollo de
Estándares Internacionales a través de comités técnicos establecidos por la respectiva
organización para tratar campos particulares de la actividad técnica. Los comités técnicos de
ISO e IEC colaboran en campos de interés mutuo. Otras organizaciones internacionales,
gubernamentales y no gubernamentales, en relación con ISO e IEC, también colaboran con
el trabajo. En el campo de la tecnología de la información, ISO e IEC han establecido una
comisión técnica ISO/IEC JTC 1.
Los borradores de los Estándares Internacionales son elaborados de acuerdo a las reglas
dadas en las directivas ISO/IEC, parte 2.
La tarea fundamental del JCT (Joint Technical Committee) es la de preparar Estándares
Internacionales. Los borradores de Estándares Internacionales elaborados por el JCT son
circulados a cuerpos nacionales para su votación. La publicación como Estándar
Internacional requiere la aprobación de por lo menos un 75% de los cuerpos nacionales.
Se hace hincapié a la posibilidad que algunos de los elementos de este documento,
pudiesen estar sujetos a derechos de patente. ISO e IEC no son responsables de la
identificación de algunos o todos los derechos de patente.
ISO/IEC 2001 fue preparado por el Comité ISO/IEC JTC 1, Tecnología de Información,
Subcomité SC 27, IT, Técnicas de Seguridad.
Esta segunda edición cancela y reemplaza la primera edición (ISO/IEC 27001:2005), la cual
ha sido técnicamente revisada.
4
ISO/IEC 27001:2013 (E)
0 Introducción
0.1 General
Este Estándar Internacional ha sido preparado para proporcionar los requerimientos para
establecer, implementar, mantener y continuamente mejorar un sistema de gestión de
seguridad de información. La adopción de un sistema de gestión de seguridad de
información es una decisión estratégica para una organización. El establecimiento y la
implementación de un Sistema de Gestión de Seguridad de Información (SGSI) para una
organización está influenciado por sus necesidades y objetivos, requerimientos de
seguridad, los procesos organizacionales empleados y el tamaño y estructura de la
organización. Todos estos factores se espera que cambien con el tiempo.
El SGSI preserva la confidencialidad, integridad y disponibilidad de la información al aplicar
un proceso de gestión de riesgo y asegura a las partes interesadas de que los riesgos son
adecuadamente gestionados.
Es importante que el SGSI sea parte y esté integrado con los procesos de la organización y
la estructura de gestión y que la seguridad de la información esté considerada en el diseño
de procesos, sistemas de información y controles. Es de esperar que el SGSI escalará de
acuerdo con las necesidades de la organización.
Este Estándar Internacional puede ser usado por partes internas y externas para evaluar la
habilidad de la organización para alcanzar sus requerimientos de seguridad de información.
El orden en el cual los requerimientos son presentados en este Estándar Internacional, no
refleja su importancia o implican el orden en el cual van a ser implementados. Los puntos de
la lista son numerados solo para propósito de referencia.
ISO/IEC 27000 describe la revisión y el vocabulario de los sistemas de gestión de seguridad
de información relacionados a la familia de estándares del SGSI (incluyendo ISO/IEC
27003[2], ISO/IEC 27004[3] e ISO/IEC 27005[4], con los términos y definiciones
relacionados.
5
ISO/IEC 27001:2013 (E)
1 Alcance
2 Referencias Normativas
3 Términos y definiciones
Para el propósito de este documento los términos y definiciones dados en ISO/IEC 27000
aplican.
4 Contexto de la organización
4.1 Entendimiento de la organización y su contexto
La organización debe determinar los aspectos internos y externos que son relevantes a su
propósito y que afectan su habilidad para alcanzar los resultados intencionados de su
sistema de gestión de seguridad de información.
Nota: Determinar estos aspectos se refiere a establecer el contexto interno y externo de la
organización considerado en la cláusula 5.3 del ISO 31000:2009[5].
6
ISO/IEC 27001:2013 (E)
Nota: Los requerimientos de estas partes interesadas pudieran incluir requerimientos legales
y regulatorios así como obligaciones contractuales.
5 Liderazgo
5.1 Liderazgo y compromiso
La alta gerencia debe demostrar liderazgo y compromiso con respecto al sistema de gestión
de seguridad de información:
7
ISO/IEC 27001:2013 (E)
f) dirigiendo y apoyando a personas para contribuir con la eficacia del sistema de gestión
de seguridad de información;
5.2 Política
8
ISO/IEC 27001:2013 (E)
La alta gerencia debe asegurar que las responsabilidades y autoridades para roles
relevantes a la seguridad de la información, sean asignados y comunicados.
La alta gerencia debe asignar la responsabilidad y autoridad para:
6. Planificación
6.1 Acciones para atender riesgos y oportunidades
6.1.1 General
e) cómo:
9
ISO/IEC 27001:2013 (E)
1. comparar los resultados del análisis de riesgos con los criterios de riesgo
establecidos en 6.1.2 a); y
2. priorizar los riesgos analizados para el tratamiento del riesgo.
10
ISO/IEC 27001:2013 (E)
b) determinar todos los controles que son necesarios para implementar las opciones del
tratamiento del riesgo de seguridad de información escogidas;
Nota: Las organizaciones pueden diseñar controles en la manera que se requieran o
identificarlos de cualquier fuente.
c) comparar los controles determinados en 6.1.3 b) con los del Anexo A y verificar que se
omitan los controles no necesarios;
Nota 1. El Anexo A contiene una lista completa de objetivos de control y controles. Los
usuarios de este Estándar Internacional son dirigidos al Anexo A para asegurar que no se
pasen por alto los controles necesarios.
Nota 2. Los objetivos de control están implícitamente incluidos en los controles escogidos.
Los objetivos de control y controles listados en el Anexo A no son exhaustivos y pudieran
ser necesarios objetivos de control y controles adicionales.
d) producir una declaración de aplicabilidad que contenga los necesarios controles (Ver
6.1.3 b) y c)) y justificaciones para su inclusión bien sea que estén implementados o no,
y la justificación para la exclusión de controles del Anexo A;
11
ISO/IEC 27001:2013 (E)
d) ser comunicados; y
7. Apoyo
7.1 Recursos
7.2 Competencia
La organización debe:
c) cuando sea aplicable, tomar acciones para adquirir la necesaria competencia y evaluar
la efectividad de las acciones tomadas; y
12
ISO/IEC 27001:2013 (E)
Las personas que realizan el trabajo bajo el control de la organización deben estar
conscientes de:
c) las implicancias de no estar conformes con los requerimientos del sistema de gestión de
seguridad de información.
7.4 Comunicación
a) qué comunicar;
b) cuándo comunicar;
7.5.1 General
13
ISO/IEC 27001:2013 (E)
f) retención y disposición.
Nota: Acceso implica una decisión en relación al permiso solamente para ver información
documentada, o el permiso y autoridad para ver y cambiar información documentada, etc.
14
ISO/IEC 27001:2013 (E)
8 Operación
8.1 Control operacional y planificación
La organización debe planificar, implementar y controlar los procesos necesarios para lograr
los requerimientos de la seguridad de información, e implementar las acciones determinadas
en 6.1. La organización debe también implementar planes para alcanzar los objetivos de
seguridad de información determinados en 6.2.
15
ISO/IEC 27001:2013 (E)
e) cuándo los resultados del monitoreo y medición deben ser analizados y evaluados; y
La organización debe:
16
ISO/IEC 27001:2013 (E)
f) asegurar que los resultados de las auditorías son reportados a la gerencia relevante; y
b) cambios en los aspectos internos y externos que son relevantes al sistema de gestión
de seguridad de información;
e) resultados de la valuación del riesgo y del estado del plan de tratamiento del riesgo; y
Los resultados de la revisión gerencial deben incluir decisiones relacionadas con las
oportunidades de mejora continuada y cualquier necesidad de cambio en el sistema de
gestión de seguridad de información.
17
ISO/IEC 27001:2013 (E)
10 Mejoramiento
10.1 No conformidad y acción correctiva
1. revisando la no conformidad;
2. determinando las causas de la no conformidad; y
3. determinando si existen no conformidades similares o potencialmente pudieran
ocurrir;
Las acciones correctivas deben ser apropiadas a los efectos de las no conformidades
encontradas.
18
ISO/IEC 27001:2013 (E)
Anexo A
(Normativo)
19
ISO/IEC 27001:2013 (E)
profesionales.
A.6.1.5 Seguridad de la información Control
en gestión de proyectos Se debe atender la seguridad de la
información en la gestión de proyectos al
margen del tipo de proyecto.
A.6.2 Dispositivos móviles y teletrabajo
Objetivo: Asegurar la seguridad del teletrabajo y el uso de dispositivos móviles.
A.6.2.1 Política para dispositivos Control
móviles Se deben adoptar políticas y medidas de
apoyo a la seguridad para gestionar los
riesgos introducidos al usar dispositivos
móviles.
A.6.2.2 Teletrabajo Control
Se deben implementar políticas y medidas de
apoyo en seguridad para proteger el acceso,
el procesamiento y almacenamiento de la
información en lugares de teletrabajo.
A.7 Seguridad de recursos humanos
A.7.1 Antes del empleo
Objetivo: Asegurar que los empleados y contratistas entiendan su responsabilidad y estén
disponibles para los roles para los cuales han sido considerados.
A.7.1.1 Revisión Control
Se deben llevar a cabo verificaciones y
chequeos de antecedentes de todos los
candidatos para empleos en concordancia con
leyes relevantes, regulaciones y ética y deben
ser proporcionales a los requerimientos del
negocio, la clasificación de la información a
ser accesada y los riesgos percibidos.
A.7.1.2 Términos y condiciones de Control
empleo Los acuerdos contractuales con empleados y
contratistas deben estipular su
responsabilidad y las de la organización por la
seguridad de la información.
A.7.2 Durante el empleo
Objetivo: Asegurar que los empleados y contratistas estén conscientes de sus
responsabilidades y cumplimiento por la seguridad de la información.
A.7.2.1 Responsabilidades Control
gerenciales La gerencia debe requerir a todos los
empleados y contratistas que apliquen la
seguridad de la información en concordancia
con las políticas establecidas y
procedimientos de la organización.
A.7.2.2 Capacitación, educación y Control
toma de conciencia para la Todos los empleados de la organización y
seguridad de la información contratistas relevantes, deben recibir
apropiada toma de conciencia, educación,
capacitación y actualizaciones regulares de
las políticas organizacionales y
procedimientos relevantes para su función en
el puesto de trabajo.
A.7.2.3 Proceso disciplinario Control
Debe haber un proceso disciplinario formal y
20
ISO/IEC 27001:2013 (E)
21
ISO/IEC 27001:2013 (E)
22
ISO/IEC 27001:2013 (E)
23
ISO/IEC 27001:2013 (E)
24
ISO/IEC 27001:2013 (E)
25
ISO/IEC 27001:2013 (E)
26
ISO/IEC 27001:2013 (E)
27
ISO/IEC 27001:2013 (E)
28
ISO/IEC 27001:2013 (E)
organizacionales o en la seguridad.
A.14.2.4 Restricciones a cambios en Control
paquetes de software Las modificaciones a paquetes de software no
deben ser alentadas, limitándolas sólo a
cambios necesarios y todos los cambios
deben ser estrictamente controlados.
A.14.2.5 Principios de seguridad en Control
ingeniería de sistemas Los principios de seguridad de sistemas para
ingeniería deben establecerse, documentarse,
mantenerse y aplicarse a cualquier esfuerzo
de implementación de sistemas de
información.
A.14.2.6 Ambiente seguro de Control
desarrollo Las organizaciones deben establecer y
apropiadamente proteger ambientes seguros
para el desarrollo, para sistemas de
desarrollo y la integración de esfuerzos que
cubran el sistema completo de desarrollo del
ciclo de vida
A.14.2.7 Desarrollo tercerizado Control
La organización debe supervisar y monitorear
la actividad del desarrollo de sistemas
tercerizados.
A.14.2.8 Seguridad en pruebas del Control
sistema Pruebas de la funcionalidad de la seguridad
deben llevarse a cabo durante el desarrollo.
A.14.2.9 Pruebas de aceptación del Control
sistema La aceptación de programas de aceptación y
criterios relacionados deben establecerse
para nuevos sistemas de información,
actualizaciones y nuevas versiones.
A.14.3 Prueba de datos
Objetivo: Asegurar la protección de datos usados en pruebas.
A.14.3.1 Protección de datos de Control
prueba Los datos de prueba deben ser seleccionados
cuidadosamente, protegidos y controlados.
A.15 Relaciones con suplidores
A.15.1 Seguridad de información en relaciones con suplidores.
Objetivo: Asegurar protección a los activos organizacionales que son accesibles a los
suplidores.
A.15.1.1 Política de seguridad de Control
información para relaciones Los requerimientos de seguridad de
con suplidores información para mitigar los riesgos asociados
con el acceso del suplidor a los activos
organizacionales, deben ser acordados con el
suplidor y documentados.
A.15.1.2 Atención a la seguridad en Control
los acuerdos con suplidores Toda la información relevante a
requerimientos de seguridad de información,
debe ser establecida y acordada con cada
suplidor que pueda acceder, procesar,
almacenar, comunicar o proveer componentes
de infraestructura de TI para la información en
29
ISO/IEC 27001:2013 (E)
la organización.
A.15.1.3 La información y la Control
tecnología de comunicación Los acuerdos con suplidores deben incluir
en la cadena de suministros. requerimientos para atender riesgos de
seguridad de información, asociados con
información y servicios de tecnología de
comunicación y productos de la cadena de
suministros.
A.15.2 Gestión de los servicios de entrega del suplidor
Objetivo: Mantener un nivel de acuerdo de seguridad de información y servicios de
entrega en línea con acuerdos con suplidores
A.15.2.1 Monitoreo y revisión de Control
servicios de suplidores Las organizaciones deben regularmente
monitorear, revisar y auditar los servicios de
entrega de suplidores.
A.15.2.2 Gestión de cambios a Control
servicios con suplidores Cambios a la provisión de servicios por
suplidores, incluyendo mantenimiento y
mejoramiento a políticas de seguridad de
información existentes, procedimientos y
controles deben ser gestionados,
considerando la criticidad de la información
del negocio, sistemas y procesos involucrados
y revaluación del riesgo.
A.16 Gestión de incidentes de seguridad de información
A.16.1 Gestión de incidentes de seguridad de información y mejoras
Objetivo: Asegurar un consistente y efectivo enfoque a la gestión de incidentes de
seguridad de información, incluyendo comunicación en eventos de seguridad de
información y debilidades.
A.16.1.1 Responsabilidades y Control
procedimientos Se deben establecer responsabilidades por la
gestión y procedimientos para asegurar una
respuesta rápida, eficaz y ordenada a
incidentes de seguridad de información.
A.16.1.2 Reporte de eventos de Control
seguridad de información Los eventos de seguridad de información
deben reportarse a través de los canales de
gestión apropiados tan rápido como sea
posible.
A.16.1.3 Reporte de debilidades en la Control
seguridad de información Los empleados y contratistas que utilizan los
sistemas y servicios de información
organizacional, deben ser exigidos de reportar
cualquier debilidad observada o sospechada,
en los sistemas o servicios de seguridad de
información
A.16.1.4 Evaluación y decisión sobre Control
eventos de seguridad de Los eventos de seguridad de información
información deben ser evaluados y se debe decidir si
deben ser clasificados como incidentes de
seguridad de información
A.16.1.5 Respuesta a incidentes de Control
seguridad de información Los incidentes de seguridad de información
30
ISO/IEC 27001:2013 (E)
31
ISO/IEC 27001:2013 (E)
32
ISO/IEC 27001:2013 (E)
Bibliografía
33