03 2016 Requisitos - ISO - 27000 - v01 PDF

Nuestra Estrategia,
EL DESARROLLO
SGI COMPETITIVO.
- Sistema de Gestión de la Calidad
INTEGRAR:
Fusionar N partes, obteniendo un todo, que incluye
partes comunes y partes específicas de cada norma.
Requisitos ISO 27001:2013

SGI Gestión
ISO 14001:2004
de la Seguridad de la Información
(Rev.00 Marzo 2016)
OHSAS 18001:2007
www.intedya.com
Importancia de la seguridad de la información
El vertiginoso desarrollo que han experimentado las tecnologías de la información y la comunicación

(TICs) ha sido crucial para la modernización del tejido empresarial y las administraciones públicas de
muchos países.
Actualmente, las TIC viven una nueva revolución que viene determinada por la generalización del uso
de la tecnología móvil y las redes sociales, y que está conllevando un despliegue de las tecnologías
conocidas como SMAC (por las siglas en inglés de social, móvil, analíticas y la nube).
En este contexto, ahora más que nunca, asegurar la confidencialidad, integridad y

disponibilidad de un sistema de información es crucial.
La importancia y la necesidad de proteger la información
En un mundo en el que se mueven millones de datos, la continua

aparición de vulnerabilidades en los sistemas, las noticias de
accesos no deseados, ….hacen de la seguridad un área de especial
interés para el correcto desarrollo de los negocios en esta era
digital.
Sony. Robo de datos de más de 77 millones

La seguridad absoluta no es posible, no de usuarios de PlayStation.
existe un sistema 100% seguro, de forma que
el elemento de riesgo está siempre presente, Amazon. Bloqueo en sus servicios que
independiente de las medidas que tomemos, supuso una destrucción involuntaria de los
por lo que se debe hablar de niveles de datos de sus clientes.
seguridad.
Stuxnet. Software de espionaje industrial.
La Seguridad de la Información tiene como fin la protección de la información y de los sistemas de la

información del acceso, uso, divulgación, interrupción o destrucción no autorizada.
Paso a paso recolecta adeptos
La primera revisión se publicó en 2005 y fue desarrollada en base

a la norma británica BS 7799-2.
ESTANDAR Nº DE CERTIFIADOS EVOLUCIÓN

(%)
2012 2013
ISO 9001 1.129.446 1.096.987 3%
ISO 14001 301.647 284.654 6%
ISO 27001 22.293 19.620 14%
ISO 22000 26.847 23.278 15%
ISO/TS 16949 53.723 50.071 7%
ISO 50000 4.826 2.236 165%
ISO 13485 25.566 22.317 4%
Datos ISO SURVEY

¿Qué es?
La norma ISO 27001, tiene vocación universal, aplicable a organizaciones de todos los sectores y
tamaños, y que describe de qué debe constar un sistema de gestión de la seguridad de la
información en cualquier tipo de organización.
La norma es especialmente útil cuando la protección de la información es crítica, como por ejemplo,
en las áreas de gobierno, banca y finanzas, salud, empresas de servicios de tecnología de la
información o comunicaciones, o cualquier otro ámbito donde los activos de información requieran
de una adecuada protección.
La seguridad debe ser inherente a los procesos de información y del negocio.

¿Qué es?
La norma ISO 27001 no establece

requisitos absolutos para la gestión
de riesgos de seguridad de la
información, pero si son el medio
más eficaz de minimizar estos, al
asegurar que son identificados,
evaluados y gestionados, Protección de los
considerando el impacto para la activos y la
organización, y adoptando los
controles y procedimientos más
información que
eficaces y coherentes con la manejan
estrategia de negocio.
¿Qué es?
La norma ISO 27001 contiene requisitos que proporcionan claros beneficios para la adecuada gestión de
la organización:
 Comprensión del CONTEXTO DE LA ORGANIZACIÓN Y LAS PARTES INTERESADAS.
 Énfasis en el LIDERAZGO DE LA DIRECCIÓN.
 APRECIACIÓN Y TRATAMIENTO DEL RIESGO; no sólo limitado a la identificación y valoración de los
riesgos, sino asegura que los controles implantados son los adecuados para reducir los riesgos que
amenazan su seguridad y evitar que cualquier deficiencia de su sistema sea explotado.
 MECANISMOS DE PROTECCIÓN de los activos de información de la organización. Implementación de
Medidas técnicas, organizativas y legales, necesarias para preservar la información.
ISO 27001
Consideración de las partes
interesadas y el contexto de
la organización en la
seguridad de la información
Controles organizativos, técnicos y

legales de preservación de la
información
Gestión y mantenimiento de la
confidencialidad, integridad y
disponibilidad de la información
Gestión de los riesgos
de seguridad de la
información
Reforzar el uso de
enfoque basado en
procesos
Antecedentes
El ISO27000 es un conjunto de estándares desarrollados por Organización

Internacional de Normalización (ISO), que proporcionan un marco de gestión de la
seguridad de la información alineados con los objetivos de negocio, y optimizando las
inversiones realizadas en controles o salvaguardas que protejan los activos.
La serie de normas ISO 27001 constan de:

• ISO 27000: Fundamentos y vocabulario: presenta al usuario
los conceptos. No certificable.
• ISO 27001: Requisitos para un Sistema de Gestión de la
Información (SGSI). NORMA CERTIFICABLE.
• ISO 27002: Guía de Buenas prácticas. No certificable.
• ISO 27003: Guía de Implementación. No certificable.
• ISO 27004: Guía para Medición de la Idoneidad de la
implantación. No certificable.
• ISO 27005: Guía para el Análisis de Riesgos. No certificable
Antecedentes
 BS 7799:1995 de BSI, surge con objeto de  La serie de Normas ISO 27000 apareció
proporcionar a cualquier empresa, británica o en 2005, tomando como base la
no, un conjunto de buenas prácticas para la norma británica BS 7799-2 de 2002 y
gestión de la seguridad de su información. dando lugar al estándar ISO/IEC
 BS 7799-2:1998 estableció los requisitos de un 27001:2005.
sistema de seguridad de la información (SGSI)  Actualmente la versión del estándar
para ser certificable por una entidad certificable es ISO 27001:2013.
independiente.
 Las dos partes de la norma BS 7799 se
revisaron en 1999 y la primera parte se adoptó
por ISO, sin cambios sustanciales, como ISO
17799 en el año 2000.
1ª
Aparició 1ª Aparició
Aparició ISO Revisión
1995 n BS7799 1999 n 2000 17799 2002 Revisión 2005 n ISO 2013 ISO
BS7799-2 BS7799 27001
27001
Objetivo
 El OBJETIVO PRINCIPAL DE LA NORMA ISO 27001 es ayudar a las organizaciones a proteger los
activos de la empresa, garantizando su confidencialidad, integridad y disponibilidad, y reducir
riesgos e incidencias.
 Otro de los principales objetivos de la norma, es el ENFOQUE DEL SISTEMA DE GESTIÓN DE
MANERA ALINEADA CON LA ESTRATEGIA DE NEGOCIO DE LA ORGANIZACIÓN.
 Por otro lado, ISO 27001 BUSCA LA INTEGRACIÓN DE ESTA NORMA CON LOS DEMÁS SISTEMAS
DE GESTIÓN para que sean más accesibles a todo tipo de organizaciones. Esto lo consigue con
una ESTRUCTURA DE ALTO NIVEL, común a todas las normas de gestión.
¿Por qué es importante?
Certificado ISO 27001

La importancia y la necesidad de proteger la información
En un mundo en el que se mueven millones de datos, la continua aparición
de vulnerabilidades en los sistemas, las noticias de accesos no deseados,
….hacen de la seguridad un área de especial interés para el correcto
desarrollo de los negocios en esta era digital.
La información es un activo vital para la continuidad y desarrollo de

cualquier organización, su adecuada protección se ha vuelto esencial para
mantener la confianza de los clientes, para proteger la reputación de una
organización, y para protegerse contra la responsabilidad legal.
“Porque el negocio se
sustenta a partir de la
información que
maneja...”
A quién va dirigida
Cualquier organización, grande o pequeña, privada o

de carácter público, con y sin fines de lucro e
independientemente del sector al que pertenezca,
puede implementar y certificar esta norma.
Siendo especialmente útil en empresas de Salud, Despachos de

abogados, Call center, Edición y artes gráficas, gobierno,
banca y finanzas, salud, empresas de servicios de
tecnología de la información o comunicaciones, o cualquier
otro ámbito donde los activos de información requieran de una
adecuada protección.
Requisitos de la norma
ISO 27001:2013
Estructurada en 10 puntos que sirven de base para otros sistemas de gestión y en el Anexo
A, que recoge los controles a ser implementados en la empresa:
 Objeto y campo de aplicación  Soporte

 Referencias normativas  Operación
 Términos y definiciones  Evaluación del desempeño
 Contexto de la organización  Mejora
 Liderazgo  Anexo A
 Planificación
Requisitos de la norma
APOYO Y
Seguridad de la
Organización y Planificar OPERACIÓN información
Hacer
su contexto
Apreciación y
tratamiento Resultados
de Riesgos EVALUACIÓN
PLANIFICACIÓN LIDERAZGO DEL del SGSI
DESEMPEÑO
Necesidades y
expectativas de
las partes
Controles de
interesadas Verificar referencia.
pertinentes Actuar MEJORA
Medidas técnicas,
organizativas, y
legales
Requisitos Clave
 El LIDERAZGO imprescindible de la alta dirección;

 La consideración del CONTEXTO como factor estratégico;
 EVALUACIÓN, GESTIÓN y TRATAMIENTO del RIESGO, como elemento clave,
 MEDIDAS ORGANIZATIVAS, TÉCNICAS y LEGALES, para lograr la protección de la
información;
 Asegurar la seguridad de la información en el SERVICIO A TERCEROS y en el
INTERCAMBIO de la información.
La norma
Cláusula 1,2 y 3 - ISO 27001:2013
1.Objeto y campo de aplicación

No se acepta la exclusión de los
Requisitos genéricos y de aplicación a
requisitos especificados en los capítulos
todas las organizaciones.
4 al 10
Puntos con contenido

informativo, no
contienen requisitos.
2. Referencias normativas
Referencia ISO 27001
3. Términos y definiciones
Referencia ISO 27001

La norma
Cláusula 4 - ISO 27001:2013
Contexto de la organización
 Conocimiento de la organización y su contexto:

La organización debe estudiar y analizar su entorno:
Externo: aspectos de mercado, tecnológicos,
políticos, económicos, sociales,..
Interno: aspectos culturales, económicos,
operativos, de desempeño,…
 ¿Quiénes son sus partes interesadas? ¿Cuáles son sus
necesidades y expectativas?
La norma
FACTORES INTERNOS
• La cultura organizacional, productos y servicios, estructura
organizativa, roles y responsabilidades.
CLIENTES
• Las políticas y objetivos, y las estrategias para alcanzarlos,
activos -instalaciones, bienes, equipos y tecnología,..-,
capacidades, entendidas en términos de recursos y el COMPETIDORES PROVEEDORES
conocimiento -capital, tiempo, personas, procesos, sistemas y
tecnologías,..-.
ORGANIZACIÓN
• Sistemas de información, flujos de información y los procesos de
toma de decisiones, las normas, directrices y modelos
MEDIOS DE
adoptados por la organización, entre otros. COMUNICACIÓN
EMPLEADOS
INVERSIONISTAS
FACTORES EXTERNOS
Impuestos generales, legislación, políticas gubernamentales,
términos y cambio, factores específicos del sector, financiación,
comercio internacional y cuestiones monetarias, los factores sociales,
tecnología,….
La norma
OPORTUNIDADES HERRAMIENTAS PARA CONOCER EL

FORTALEZAS Son aquellos factores CONTEXTO DE LA ORGANIZACIÓN
Capacidades especiales que resultan positivos,
con que cuenta la favorables, explotables,
empresa, y que le que se deben descubrir
permite tener una en el entorno en el que Matriz FODA (Fortalezas, Oportunidades,
posición privilegiada actúa la empresa, y que Debilidades y Amenazas).
frente a la competencia. permiten obtener
ventajas competitivas. Permite hacer una “radiografía” de una
situación puntual de lo particular que se
DEBILIDADES
este estudiando.
Son aquellos factores Las variables analizadas y lo que ellas
que provocan una AMENAZAS
posición desfavorable Son aquellas situaciones
representan en la matriz son particulares de
frente a la competencia, que provienen del ese momento.
recursos de los que se entorno y que pueden
carece, habilidades que llegar a atentar incluso
Luego de analizarlas, se deberán tomar
no se poseen, contra la permanencia decisiones estratégicas para mejorar la
actividades que no se de la organización. situación actual en el futuro.
desarrollan
positivamente, etc.
La norma
Es el punto de partida de los sistemas

de gestión, debe quedar reflejado de
Se ha de definir el ALCANCE forma clara y exacta qué procesos o
de la certificación teniendo qué partes del negocio de la
en cuenta el contexto, y de organización queremos certificar o
forma más detallada. aplicar el SGSI.
La organización debe establecer, implementar, mantener y mejorar continuamente

un sistema de gestión de seguridad de información de acuerdo con los requisitos de
esta norma internacional, e incluyendo los procesos necesarios incluidos en el anexo
normativo A y sus interacciones.
La norma
Liderazgo
La Alta Dirección de la compañía debe demostrar
liderazgo y compromiso a través de las siguientes
acciones:
 Asegurándose de la integración de los requisitos del
sistema de gestión de seguridad de la información
en los procesos de negocio de la Organización.
 Definiendo la Política de Seguridad de la
información.
 Estableciendo roles, responsabilidades y
autoridades.
 Promoviendo el uso del enfoque a procesos y la
gestión y tratamiento de los riesgos.
La norma
Apropiada para el proveedor del

servicio
Incluye :
Compromiso de cumplir con los
requisitos aplicables
Compromiso de mejora
Proporciona un marco para el

establecimiento y revisión de los
objetivos del servicio.
Es comunicada, revisada y entendida

por el personal.
Evidencia
La norma
Planificación
APRECIACIÓN DE
TRATAMIENTO DE
RIESGOS Y
RIESGOS DE SEGURIDAD
OPORTUNIDADES DE
DE LA INFORMACIÓN
MEJORA
Hitos críticos
OBJETIVOS DE
SEGURIDAD DE LA PLANIFICACIÓN DE
INFORMACIÓN Y CAMBIOS
PLANIFICACIÓN
La norma
Apreciación de riesgos
Criterios aceptación apreciaciones de riesgos
Identificación riesgos asociados a la CID y dueños
INFORMACIÓN DOCUMENTADA
Consecuencias materialización riesgos,
probabilidad de ocurrencia y niveles de riesgos
… LAS APRECIACIONES
DEBEN PERMITIR RESULTADOS
Evaluación de riesgos y comparación con los CONSISTENTENS, VÁLIDOS Y
criterios establecidos COMPARABLES
La norma
La metodología a utilizar
deberá tener en cuenta los
principios de seguridad de la
información de
confidencialidad, integridad y
disponibilidad de la misma.
La norma
CONFIDENCIALIDAD
Propiedad de prevenir la divulgación de información a

personas o sistemas no autorizados.
Garantiza que la información es accesible únicamente para

el personal autorizado.
Sólo las personas
La Confidencialidad incluye: autorizadas deben tener
acceso a la información
 La clasificación de la información según la criticidad sensible, crítica y/o
para la organización. privada
 El tratamiento de la información: qué criterios, qué
personas, qué procedimientos, etc.,
La norma
INTEGRIDAD
Propiedad de la información que busca mantener los datos
libres de modificaciones no autorizadas, sin ser manipulada
ni alterada salvo que esté planificado hacerlo.
La información y sus métodos de procesamiento deben ser

exactos y completos y no pueden ser manipulados sin
autorización.
DISPONIBILIDAD
Cualidad de la información de encontrarse disponible en el
momento, formatos adecuados para las personas autorizadas
en cada caso.
La norma
Plan de tratamiento de riesgos
 Determinar qué acciones son adecuadas DEBE INCLUIR
para mitigación de riesgos.
 Establecer los controles necesarios para
llevar a cabo los compromisos establecidos
en el tratamiento de riesgos de SI.
 Contrastar los controles señalados con los • Estimación de costes.
del Anexo A, y confirmar que no se ha • Recursos necesarios.
prescindido de ninguno de ellos. • Plan de trabajo
 Validación del plan de tratamiento de (Prioridades, calendario,
riesgos de la SI y la conformidad de los presupuesto,
riesgos residuales producidos. responsabilidades)
La norma
Plan de tratamiento
de riesgos
Asumirlo
Transferirlo Aceptar el riesgo ya
La decisión de cómo Mediante contratos que está por debajo
de outsourcing o la de los niveles
tratamiento del riesgo se contratación de aceptables.
pólizas de seguro
toma en función de:
• La política de seguridad Mitigar

• El estado de la tecnología Eliminar
Implementando
• La relación coste/beneficio controles que limiten Eliminando la causa.
el impacto (controles
• Las circunstancias empresariales de detección, …)
• etc.
La norma
Declaración de aplicabilidad
Los objetivos de control y controles
seleccionados del anexo A y las
Elaborar una declaración de justificaciones de su selección o de su no
aplicabilidad donde relacione los aplicabilidad.
controles que se aplican en el sistema
de, la demostración de las
inclusiones, y la comprobación para Los objetivos de control y controles
las exclusiones de los controles del actualmente implementados.
Anexo A.
Contenido La exclusión de cualquier control y su

justificación.
La norma
Declaración de aplicabilidad
Control Anexo A Aplicabilidad
A.7.2.1 Responsabilidad de SI, requisitos de la política "seguridad del personal"

Gestión Ver << enlace >>
A.7.2.2 Concienciación,
SI, requisitos según política "formación en seguridad
educación, y capacitación en
de la información" Ver Formación y concienciación
seguridad de la información
SI, requisitos de la política "acción

A.7.2.3 Proceso Disciplinario
disciplinaria" Ver <<enlace >>
La norma
Soporte
El Sistema de Gestión se fundamenta en el uso eficiente de los recursos:
 Recursos: necesarios para el establecimiento, implementación,
mantenimiento y mejora continua del sistema.
 Competencia. Se ha de determinar la competencia necesaria de las
personas que realizan un trabajo que afecta al desempeño y eficacia
del sistema, SUBCONTRATACIÓN INCLUIDA.
 Toma de Conciencia de política, objetivos pertinentes, su
contribución al éxito y las implicaciones de desviarse de lo previsto.
 Comunicación interna y externa.
 Información documentada (Mayor flexibilidad).
La norma
RECURSOS HUMANOS
Determinación del nivel de
competencia
Humanos, técnicos, de información, y
Proporcionar capacitación
financieros para la gestión del servicio, la
satisfacción del cliente, conocimientos Evaluación de la eficacia
organizativos,…
Contribución consecución objetivos
Mantenimiento de registros
La norma
Operación
Aquí se encuentran algunas de las cláusulas más importantes de
la norma:
 Apreciación de riesgos de la seguridad de la información
a intervalos planificados o cuando se propongan o
sucedan cambios relevantes o significativos, y siempre
teniendo en cuenta los criterios definidos en la
metodología de apreciación de riesgos.
 Tratamiento de los riesgos de seguridad de la
información
La norma
Evaluación del desempeño

Una vez implementado el sistema de gestión de
seguridad de la información, la norma exige un
seguimiento permanente y revisiones periódicas
para mejorar su desempeño:
 Seguimiento, medición, análisis y evaluación.
 Auditorías internas a intervalos planificados.
 Revisión del Sistema por la Dirección. Se han
de definir las entradas y salidas de la revisión.
La norma
AUDITORÍA INTERNA
Cumplimiento con los requisitos de la norma ISO 27001
 Información documentada evidencia programa de auditoría y

resultados.
 Realización periódica de auditorías internas según calendario y

procedimientos predeterminados.
 Programa de auditoría debe incluir todo el sistema de gestión del

servicio.
 Realizadas por personal formado y cualificado e independiente de la

actividad auditada.
 Gestión de las no conformidades y acciones correctivas.
“No podemos gestionar lo que no podemos controlar, y no podemos controlar lo que no medimos”
La norma
REVISIÓN POR LA DIRECCIÓN

Se evalúa el sistema de gestión de seguridad de la información de forma periódica para comprobar su
idoneidad y eficacia.
Se introducen los cambios o mejoras pertinentes.
Tener en cuenta:
 Estado de revisiones anteriores

 Cambios
 Información sobre el comportamiento del sistema: no conformidades y acciones correctivas,
seguimiento y resultado de las mediciones, auditoría interna, y cumplimiento objetivos.
 Comentarios partes interesadas
 Resultados apreciación de riegos y plan de tratamiento de riesgos.
 Oportunidades de mejora
La norma
Cláusula 10 - ISO 27001:2013
Mejora
La compañía debe asegurarse de mejorar
continuamente la eficacia y la eficiencia de los
procesos
 No Conformidades y Acciones Correctivas

Ya no aparecen como tal, las Acciones
Preventivas
 Mejora continua
La norma
Anexo A - ISO 27001:2013 Objetivos de control y controles de referencia
Para alcanzar un adecuado nivel de seguridad de la

información en la empresa, se deberá de atender no
solo herramientas del ámbito técnico, sino también el
jurídico y el organizativo.
ORGANIZATIVAS LEGALES TÉCNICAS
Gestión de RRHH, Protección de datos y Seguridad en los sistemas,

proveedores,.. propiedad intelectual. los dispositivos, el software
La norma
Anexo A - ISO 27001:2013 Objetivos de control y controles de referencia
A.5 Política de
A.12 Seguridad de A.13 Seguridad de
seguridad de la
las operaciones las comunicaciones
información
A.14 Adquisición,
A.6 Organización de
A.11 Seguridad física desarrollo y
la seguridad de la
y del entorno mantenimiento de los
información
sistemas de información
A.7 Seguridad
A.15 Relación con
relativa a los A.10 Criptografía A.18 Cumplimiento
proveedores
recursos humanos
A.17 Aspectos de
A.16 Gestión de
seguridad de la
A.8 Gestión de A.9 Control de incidentes de
información para la
activos acceso seguridad de la
gestión de la continuidad
información
del negocio
La norma
Anexo A.5 Políticas de seguridad de la información
La primera y fundamental medida es implantar una política de seguridad

dentro de la organización que transmita a los empleados las obligaciones y
buenas prácticas en relación con la seguridad de la información.
La norma
Anexo A.6 Organización de seguridad de la información
Se debe establecer la administración de la seguridad
de la información, como parte fundamental de los Organización interna
objetivos y actividades de la organización.
• Roles y responsabilidades de SI
1. Organización interna. Establecer un esquema • Segregación de tareas
• Contacto con las autoridades y
directivo de gestión para iniciar y controlar la grupos de interés
implementación y operativa de la seguridad de la • Seguridad en la gestión por
proyectos
información en la organización.
2. Dispositivos móviles y teletrabajo. Garantizar la Dispositivos móviles

seguridad de la información en el uso de recursos de y teletrabajo
informática móvil y teletrabajo.
La norma
Anexo A.7 Seguridad ligada a los RRHH
Establecer la necesidad de formar e

informar al personal desde su ingreso, Antes del empleo
hasta su desvinculación en la empresa,
de forma continua, acerca de las
medidas de seguridad que afectan al Finalización
desarrollo de sus funciones y de las Durante el
del empleo o
cambio
expectativas depositadas en ellos en empleo
puesto de
materia de seguridad y asuntos de trabajo
confidencialidad.
Es necesario reducir los riesgos de error humano, comisión de actos ilícitos, uso inadecuado de instalaciones y recursos y
manejo no autorizado de la información, junto a la definición de posibles sanciones que se aplicarán en caso de
incumplimiento.
La norma
Anexo A.8 Gestión de activos
La seguridad de la información se enfoca a la protección de los activos y de la
información que éstos contienen, para ello es fundamental y necesario su
identificación y una gestión adecuada.
1. Gestión de activos
 IDENTIFICACIÓN DE ACTIVOS. La organización debe identificar todos los activos y
documentar su importancia.
 PROPIETARIOS. Se deben identificar los propietarios para todos los activos y

asignar la responsabilidad para el mantenimiento de los controles adecuados.
 REGLAS DE USO. Se deben identificar, documentar e implementar las reglas sobre

el uso aceptable de la información y de los activos asociados con los servicios de
procesamiento de la información.
 DEVOLUCIÓN. El proceso de finalización debería ser formalizado para incluir la

devolución de todo el software, documentos corporativos y equipos entregados
previamente.
La norma
Documentos en papel
Se considera ACTIVO a los
Software recursos del sistema de
información o relacionados
con éste, necesarios para
Dispositivos físicos
que la Organización funcione
correctamente y alcance los
Personas objetivos propuestos por la
dirección.
Imagen y reputación
Servicios
La norma
2. Clasificación de la información
La información se debe clasificar para indicar la necesidad, las
prioridades y el nivel esperado de protección al manejarla. La
información tiene diferentes grados de sensibilidad e
importancia.
 CLASIFICACIÓN DE LA INFORMACIÓN . La información se debe

clasificar para indicar la necesidad, las prioridades y el nivel esperado
de protección al manejarla.
 ETIQUETADO Y MANIPULADO DE LA INFORMACIÓN. Desarrollar e

implantar un conjunto apropiado de procedimientos para el
etiquetado, tratamiento y manipulado de la información.
La norma
3. Manipulación de soportes
Establecer los procedimientos operativos adecuados para proteger los
documentos, medios informáticos (discos, cintas, etc.), datos de entrada
o salida y documentación del sistema contra la divulgación, modificación,
retirada o destrucción de activos no autorizadas.
 Gestión de soportes extraíbles

 Eliminación de soportes
 Soportes físicos en tránsito
La norma
Anexo A.9 Control de acceso
Requisitos de
acceso a la Controlar el acceso a los recursos de tratamiento
información
de la información y a la información por medio
de un sistema de restricciones y excepciones de
acceso.
Control de
Gestión de
acceso a
acceso a
sistemas y
usuario
aplicaciones
Objetivo de impedir el acceso no

autorizado a la información mantenida
Responsabilidades por los sistemas y aplicaciones.
del usuario
“Todo lo que no está explícitamente permitido debe estar prohibido”

La norma
Anexo A.9 Control de acceso
Gestión del
acceso a las Implantar y configurar un
Limitar la utilización de
aplicaciones, usuarios genéricos y los
antivirus para todos los equipos
de la empresa, incluyendo los
sistemas y permisos de administración.
dispositivos móviles.
recursos de
tratamiento de Restringir los puertos USB a Implantar una política robusta
información puestos determinados de gestión de contraseñas.
La norma
Anexo A.10 Criptografía
Garantizar el uso adecuado de
herramientas de cifrado para proteger la
confidencialidad, autenticidad y/o Políticas de uso
de controles
integridad de la información. criptográficos
Si se protegen las claves de acceso a

sistemas, datos y servicios,
almacenándolas de forma cifrada.
Gestión de
Si la empresa usa certificado digitales claves
para el intercambio de información.

La norma
Anexo A.11 Seguridad física y del entorno
Prevenir el acceso físico no autorizado, minimizando los riesgos,

daños e interferencias a la información, a los recursos de tratamiento
de la información y a las operaciones de la organización.
Emplazamiento de equipos,
SEGURIDAD instalaciones de suministro,
DE LOS manteamiento de equipos,
EQUIPOS seguridad de los equipos,..
La norma
Anexo A.11 Seguridad física y del entorno
Habilitar zonas físicas seguras para el

Perímetro de seguridad
almacenamiento de la documentación
física, controles físicos
sensible, donde los usuarios deben tener
ÁREAS de entrada, seguridad
ubicaciones donde poder dejar la
SEGURAS de oficinas, despachos,
documentación al final del día.
y recursos, protección
contra amenazas, áreas
• Cajones de escritorio con llave.
de carga y descarga,..
• Despachos que se cierren con llave
cuando no haya nadie.
• Salas de archivo específicas.
• Archivadores con llave.
La norma
Anexo A.12 Seguridad de la operaciones
Garantizar el funcionamiento correcto y seguro de la tecnología de la información.
Evaluar el posible impacto operativo de los cambios previstos a sistemas y

GESTIÓN DE CAMBIOS
equipamiento y verificar su correcta implementación.
GESTIÓN DE
CAPACIDADES Supervisión y ajuste de la utilización de recursos.
PROTECCIÓN CONTRA Definir y documentar controles para la detección y prevención del acceso no
EL CÓDIGO autorizado, la protección contra software malicioso y para garantizar la seguridad
MALICIOSO de los datos y los servicios conectados a las redes de la organización.
COPIAS DE
Realización y pruebas periódicas.
SEGURIDAD
Análisis y verificación del cumplimiento de las normas, procedimientos y
REGISTROS Y
controles establecidos mediante auditorías técnicas y registros de actividad de los
SUPERVISIÓN
sistemas (logs).
GESTIÓN DE
VULNERABILIDADES Adaptación de medidas y restricción instalaciones de software
TÉCNICAS
AUDITORÍAS
SISTEMAS Controles de los sistemas operativos.
La norma
Anexo A.13 Seguridad de las comunicaciones
Asegurar la protección de la información, que se

comunica por redes telemáticas, y de la infraestructura de
soporte. La gestión segura de las redes, la cual para
abarcar los límites organizacionales, requiere de la
cuidadosa consideración del flujo de datos, implicaciones
legales, monitoreo y protección.
1. Gestión de la seguridad de redes

2. Intercambio de información
La norma
Anexo A.13 Seguridad de las comunicaciones
Limitar el acceso a la red

corporativa a los equipos que no
estén debidamente protegidos.
Controlar y prohibir el acceso
remoto hacia la propia
organización.
Limitar la navegación a páginas de

ciertos contenidos
Casos de éxito
Segregación de las redes
REQUISITO. Prevenir el acceso no autorizado a los servicios en red
SITUACIÓN DE PARTIDA. Empresa de trabajo temporal que dispone de servicio de red

inalámbrica en sus instalaciones para que todo el personal fijo y eventual pueda acceder a
la Red.
SOLUCIÓN. Se propuso la segmentación de la red para garantizar la seguridad del acceso a

la red corporativa al personal autorizado y ofrecer de forma segura el servicio inalámbrico
al personal eventual. Uso de VLAN y Trunking.
La norma
Anexo A.14 Adquisición desarrollo y mantenimiento de SW
Asegurar la inclusión de controles de seguridad y validación de datos en

la adquisición y el desarrollo de los sistemas informáticos, tanto
desarrollos propios o de terceros, e incluyendo a todos los Sistemas
Operativos y/o Software que integren cualquiera de los ambientes
administrados por la organización.
 Definir y documentar las normas y procedimientos que se aplicarán durante el ciclo

de vida de los aplicativos y en la infraestructura de base en la cual se apoyan.
 Definir los métodos de protección de la información crítica o sensible.
 Aplica a todos los sistemas informáticos, tanto desarrollos propios o de terceros, y a

todos los Sistemas Operativos y/o Software que integren cualquiera de los
ambientes administrados por la organización en donde residan los desarrollos
mencionados.
La norma
Anexo A.15 Relaciones con proveedores
Implementar y mantener el nivel apropiado

de seguridad de la información y la entrega
de los servicios contratados en línea con los
acuerdos de servicios de terceros. ¿Se firman acuerdos que
incluyan los requisitos de
Se debería realizar una evaluación del riesgo
para determinar sus implicaciones sobre la seguridad? ¿se controla el
seguridad y las medidas de control que acceso físico y/o lógico?
requieren. Estas medidas de control deberían
definirse y aceptarse en un contrato con la ¿Se analizan sus riesgos?
tercera parte.
La norma
Anexo A.16 Gestión de incidencias
Garantizar la detección temprana de eventos y

debilidades de seguridad, como también la rápida
reacción y respuesta ante incidencias de seguridad.
Definir la sistemática para tratar las incidencias incidentes

que puedan afectar o afecten a la confidencialidad, integridad
y disponibilidad de la información de este sistema.
La norma
Incidente de seguridad de la información
“Una o varias series de eventos
inesperados y no deseados que tienen
una gran probabilidad de comprometer las
operaciones de negocios y de amenazar la
seguridad de información”
[ISO 27035]
• Un acceso no autorizado.
• El robo de contraseñas.
• Prácticas de Ingeniería Social.
• La utilización de fallas en los procesos de autenticación
para obtener accesos indebidos.
• El robo de información.
• ….
Procedimiento documentado de respuesta de incidencias

La norma
 Registrar los síntomas del problema y los mensajes que

aparecen en pantalla.
¿Qué deben hacer  Establecer las medidas de aplicación inmediata ante la
los usuarios? presencia de una anomalía.
 Alertar inmediatamente al Responsable de Seguridad de la
Información o del Activo de que se trate.
 El desinstalar el software que supuestamente tiene una

anomalía.
¿Qué NO deben  Realizar pruebas para detectar y/o utilizar una supuesta
debilidad o falla de seguridad.
hacer los usuarios?
 Tratar de solucionar por su cuenta los problemas que
pudieran aparecer.
La norma
Anexo A.17 Gestión de la continuidad del negocio
Contrarrestar las interrupciones de las

actividades empresariales y proteger los
procesos críticos de negocio de los efectos
derivados de fallos importantes o catastróficos
de los sistemas de información, así como
garantizar su pronta reanudación.
1. Continuidad de la seguridad de la información
2. Redundancia
Casos de éxito
Desarrollo e implementación de planes de continuidad
REQUISITO. Deben desarrollarse e implementarse planes para mantener o restaurar las operaciones y
garantizar la disponibilidad de la información en el nivel y en el tiempo requeridos, después de una
interrupción o un fallo de los procesos de negocio críticos.
SITUACIÓN DE PARTIDA. Empresa de e-learning con alumnos a nivel mundial y una única plataforma
de formación
SOLUCIÓN. Se propone hacer un Plan de Contingencia para los casos en los que se produzca caída de
servicio por parte del proveedor de servicio e-learning. Se definen las condiciones de inicio y restauración
del Plan, sus características y las condiciones de verificación.
La norma
Anexo A.18 Cumplimiento
Asegurar que los sistemas cumplen las políticas , requisitos legales, normativos y otros
requisitos aplicables a la empresa, con el objeto de evitar incumplimientos de las
obligaciones legales, estatutarias, reglamentarias o contractuales relativas a la
seguridad de la información o de los requisitos de seguridad.
Cumplimiento de los Revisiones de la seguridad

requisitos legales de la información
• Identificación aplicable • Revisiones independientes SI

• Derechos de propiedad intelectual • Comprobación cumplimiento técnico
• Protección de datos • Cumplimiento políticas y normas SI
• Etc.
Nuestra Estrategia,
EL DESARROLLO COMPETITIVO.
Contáctenos ahora y apueste por el

“DESARROLLO COMPETITIVO”
info@intedya.com | www.intedya.com
www.intedya.com

03 2016 Requisitos - ISO - 27000 - v01 PDF

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

03 2016 Requisitos - ISO - 27000 - v01 PDF

Cargado por

Copyright:

Formatos disponibles

Nuestra Estrategia,

Requisitos ISO 27001:2013

El vertiginoso desarrollo que han experimentado las tecnologías de la información y la comunicación

En este contexto, ahora más que nunca, asegurar la confidencialidad, integridad y

En un mundo en el que se mueven millones de datos, la continua

Sony. Robo de datos de más de 77 millones

La Seguridad de la Información tiene como fin la protección de la información y de los sistemas de la

La primera revisión se publicó en 2005 y fue desarrollada en base

ESTANDAR Nº DE CERTIFIADOS EVOLUCIÓN

ISO 9001 1.129.446 1.096.987 3%

ISO 14001 301.647 284.654 6%

ISO 27001 22.293 19.620 14%

ISO 22000 26.847 23.278 15%

ISO/TS 16949 53.723 50.071 7%

ISO 50000 4.826 2.236 165%

ISO 13485 25.566 22.317 4%

Datos ISO SURVEY

La seguridad debe ser inherente a los procesos de información y del negocio.

La norma ISO 27001 no establece

Controles organizativos, técnicos y

El ISO27000 es un conjunto de estándares desarrollados por Organización

La serie de normas ISO 27001 constan de:

Certificado ISO 27001

La información es un activo vital para la continuidad y desarrollo de

Cualquier organización, grande o pequeña, privada o

Siendo especialmente útil en empresas de Salud, Despachos de

 Objeto y campo de aplicación  Soporte

 El LIDERAZGO imprescindible de la alta dirección;

1.Objeto y campo de aplicación

Puntos con contenido

Referencia ISO 27001

Referencia ISO 27001

 Conocimiento de la organización y su contexto:

OPORTUNIDADES HERRAMIENTAS PARA CONOCER EL

Es el punto de partida de los sistemas

La organización debe establecer, implementar, mantener y mejorar continuamente

Apropiada para el proveedor del

Proporciona un marco para el

Es comunicada, revisada y entendida

Identificación riesgos asociados a la CID y dueños

Propiedad de prevenir la divulgación de información a

Garantiza que la información es accesible únicamente para

La información y sus métodos de procesamiento deben ser

• La política de seguridad Mitigar

Contenido La exclusión de cualquier control y su

Control Anexo A Aplicabilidad

A.7.2.1 Responsabilidad de SI, requisitos de la política "seguridad del personal"

SI, requisitos de la política "acción

Evaluación del desempeño

 Información documentada evidencia programa de auditoría y

 Realización periódica de auditorías internas según calendario y

 Programa de auditoría debe incluir todo el sistema de gestión del

 Realizadas por personal formado y cualificado e independiente de la

 Gestión de las no conformidades y acciones correctivas.

REVISIÓN POR LA DIRECCIÓN

Se introducen los cambios o mejoras pertinentes.

 Estado de revisiones anteriores

 No Conformidades y Acciones Correctivas

Para alcanzar un adecuado nivel de seguridad de la

ORGANIZATIVAS LEGALES TÉCNICAS

Gestión de RRHH, Protección de datos y Seguridad en los sistemas,

La primera y fundamental medida es implantar una política de seguridad