norma UNE 71502

española
Febrero 2004

TÍTULO Especificaciones para los Sistemas de Gestión de la Seguridad

de la Información (SGSI)

Specifications for Information Security Management Systems (ISMS).

Spécifications pour les Systèmes de Gestion de la Sécurité de l'information (SGSI).

CORRESPONDENCIA

OBSERVACIONES

ANTECEDENTES Esta norma ha sido elaborada por el comité técnico AEN/CTN 71 Tecnología de la
Información cuya Secretaría desempeña ANIEL.

EXTRACTO DEL DOCUMENTO UNE 71502

Editada e impresa por AENOR LAS OBSERVACIONES A ESTE DOCUMENTO HAN DE DIRIGIRSE A:
Depósito legal: M 6797:2004
14 Páginas

 AENOR 2004 C Génova, 6 Teléfono 91 432 60 00 Grupo 7

Reproducción prohibida 28004 MADRID-España Fax 91 310 40 32
 -3- UNE 71502:2004

ÍNDICE

Página

1 OBJETO Y CAMPO DE APLICACIÓN ....................................................................... 4

2 NORMAS PARA CONSULTA ....................................................................................... 4

3 TÉRMINOS Y DEFINICIONES .................................................................................... 4

4 MARCO GENERAL DEL SISTEMA DE GESTIÓN DE LA SEGURIDAD

DE LA INFORMACIÓN (SGSI) .................................................................................... 5
4.1 Requisitos generales ......................................................................................................... 5
4.2 Planificación y diseño del Sistema de Gestión de la Seguridad de la
Información (SGSI) .......................................................................................................... 5
4.3 Selección de controles ....................................................................................................... 7
4.4 Documentación ................................................................................................................. 7
4.5 Control documental.......................................................................................................... 7
4.6 Registros ............................................................................................................................ 8
4.7 Responsabilidad de la Dirección...................................................................................... 8
4.7.1 Compromiso de la Dirección............................................................................................ 8
4.7.2 Política de seguridad de la Organización ....................................................................... 8

5 IMPLANTACIÓN DEL SISTEMA DE GESTIÓN DE LA SEGURIDAD

DE LA INFORMACIÓN (SGSI) .................................................................................... 8
5.1 Implantación de los controles .......................................................................................... 8
5.2 Eficacia de los controles ................................................................................................... 8

6 EXPLOTACIÓN .............................................................................................................. 9
6.1 Gestión de los recursos ..................................................................................................... 9
6.1.1 Provisión de recursos........................................................................................................ 9
6.1.2 Recursos humanos ............................................................................................................ 9

7 REVISIÓN DEL SISTEMA DE GESTIÓN DE LA SEGURIDAD

DE LA INFORMACIÓN (SGSI) .................................................................................... 9
7.1 Generalidades ................................................................................................................... 9
7.2 Auditorías internas ........................................................................................................... 10

8 PROCESO DE MEJORA ................................................................................................ 10

8.1 Mejora continua................................................................................................................ 11
8.2 Acción correctiva .............................................................................................................. 11
8.3 Acción preventiva ............................................................................................................. 12

9 BIBLIOGRAFÍA .............................................................................................................. 12

ANEXO A (Informativo) RELACIÓN DE PROCEDIMIENTOS PARA ESTABLECER

UN SISTEMA DE GESTIÓN DE LA SEGURIDAD
DE LA INFORMACIÓN (SGSI) ........................................................ 13

EXTRACTO DEL DOCUMENTO UNE 71502

UNE 71502:2004 -4-

1 OBJETO Y CAMPO DE APLICACIÓN

Esta norma especifica los requisitos para establecer, implantar, documentar y evaluar un Sistema de Gestión de la
Seguridad de la Información (en adelante SGSI) de acuerdo con la Norma UNE-ISO/IEC 17799 dentro del contexto de
los riesgos identificados por la Organización.

Este documento especifica los requisitos de los controles de seguridad de acuerdo con las necesidades de una
Organización con independencia de su tipo, tamaño o área de actividad.

2 NORMAS PARA CONSULTA

UNE 71501-1 IN  Tecnología de la Información (TI). Guía para la gestión de la seguridad de TI. Parte 1: Conceptos
y modelos para la seguridad de TI.

UNE 71501-2 IN  Tecnología de la Información (TI). Guía para la gestión de la seguridad de TI. Parte 2: Gestión y
planificación de la seguridad de TI.

UNE 71501-3 IN  Tecnología de la Información (TI). Guía para la gestión de la seguridad de TI. Parte 3: Técnicas
para la gestión de la seguridad de TI.

UNE-ISO/IEC 17799  Tecnología de la Información. Código de buenas prácticas para la gestión de la Seguridad de
la Información.

EXTRACTO DEL DOCUMENTO UNE 71502