ISO IEC 27001 Tecnologia de La Informaci

ISO / IEC 27001
Ersetzt / Remplace / Sustituye a: Ausgabe / Edición: 2013-11
SN ISO / IEC 27001: 2005 Código ICS: 35.040
Tecnología de la información - Técnicas de seguridad - Sistemas

de gestión de seguridad de la información - Requisitos
En vorliegenden der Schweizer Norma ist die ISO / IEC 27001: 2013 abgedruckt identisch. Dans la présente Norme
Suisse le ISO / IEC 27001: 2013 est reproduit identiquement. En esta norma ISO suiza / IEC 27001: 2013 se reproduce
de forma idéntica.
Für diese Norma ist das Normen-Komitee INB / NK 149 << >> Informationstechnologie des interdisziplinären Normenbereichs zuständig.
La présente norme est de la compétence du comité de normalización INB / NK 149 << Technologie de l'information >> Interdisciplinaire del Sector de Normalización.
El / NK 149 << Tecnología de la información comité de normalización INB >> del sector interdisciplinario se encarga de la presente norma.
Ref Nr. / Nº de REF / N ref .: Herausgeber / Editeur / Editor Vertrieb / Distribución

Anzahl Seiten / Nombre de pages / Número de páginas:
SN ISO / IEC 27001: 2013 en SNV Schweizerische SNV Schweizerische 23

Normen-Vereinigung Normen-Vereinigung
Bürglistrasse 29 CH-8400 Bürglistrasse 29 CH-8400
Gültig ab / Valide de / Válido a partir de: Preisklasse / Classe clase de prix / Precio:
Winterthur Winterthur
11/01/2013 © SNV 0012 SNV
- Leerseite / Página Blanche -
ESTÁNDAR ISO / IEC
INTERNACIONAL 27001
Segunda edicion
01/10/2013
Tecnología de la información - Técnicas de seguridad

- Sistemas de gestión de seguridad de la información
- Requisitos
Tecnologías de la información - Técnicas de sécurité - Systèmes de gestión de

la sécurité de l'information - exigences
Número de referencia ISO

/ IEC 27001: 2013 (E)
© ISO / IEC 2013

ISO / IEC 27001: 2013 (E)
COPYRIGHT documento protegido
© ISO / IEC 2013

Todos los derechos reservados. A menos que se especifique lo contrario, ninguna parte de esta publicación puede ser reproducida o utilizada de otro modo, en cualquier forma o
por cualquier medio, electrónico o mecánico, incluyendo fotocopia, o publicar en Internet o en una intranet, sin el permiso previo por escrito. El permiso puede ser solicitada de
cualquiera de ISO en la dirección abajo o organismo miembro de ISO en el país del solicitante.
Oficina de Copyright de la norma ISO

Case postale 56 • CH-1211 Ginebra 20 Tel. +
41 22 749 01 11 Fax + 41 22 749 09 47 E-mail
Web www.iso.org copyright@iso.org Publicado
en Suiza
ii © ISO / IEC 2013 - Todos los derechos reservados

ISO / IEC 27001: 2013 (E)
Contenido Página
Prefacio .................................................. .................................................. .................................................. .................................................. ................................ iv 0
Introducción .................................................. .................................................. .................................................. .................................................. ....... v 1
Alcance .................................................. .................................................. .................................................. .................................................. ......................... 1 2
Referencias normativas .................................................. .................................................. .................................................. ................................ 1 3
Términos y definiciones .................................................. .................................................. .................................................. ............................... 1 4
Contexto de la organización .................................................. .................................................. .................................................. ................. 1

4.1 La comprensión de la organización y su contexto .................................................. .................................................. ... 1
4.2 La comprensión de las necesidades y expectativas de las partes interesadas .................................................. ............ 1
4.3 Determinación del alcance del sistema de gestión de seguridad de la información .......................................... 1
4.4 sistema de gestión de seguridad de la información .................................................. .................................................. ................. 2
5 Liderazgo .................................................. .................................................. .................................................. .................................................. .......... 2

5.1 Liderazgo y compromiso .................................................. .................................................. ................................................. 2
5.2 Política .................................................. .................................................. .................................................. .................................................. ....... 2
5.3 roles organizacionales, responsabilidades y autoridades .................................................. ........................................ 3
6 Planificación .................................................. .................................................. .................................................. .................................................. ................. 3

6.1 Las acciones para abordar los riesgos y oportunidades .................................................. .................................................. ............... 3
6.2 objetivos y la planificación para alcanzarlos seguridad de la información .................................................. ................. 5
7 Apoyo .................................................. .................................................. .................................................. .................................................. ................... 5

7.1 recursos .................................................. .................................................. .................................................. ............................................... 5
7.2 Competencia .................................................. .................................................. .................................................. ......................................... 5
7.3 Conciencia .................................................. .................................................. .................................................. ............................................. 5
7.4 Comunicación .................................................. .................................................. .................................................. ................................ 6
7.5 Información documentada .................................................. .................................................. .................................................. ......... 6
8 Operación .................................................. .................................................. .................................................. .................................................. ............. 7

8.1 planificación y control operacional .................................................. .................................................. ...................................... 7
8.2 evaluación de los riesgos de seguridad de información .................................................. .................................................. ............................. 7
8.3 tratamiento de los riesgos de seguridad de información .................................................. .................................................. ................................ 7
9 Evaluación del desempeño .................................................. .................................................. .................................................. ......................... 7

9,1, la medición, análisis y evaluación .................................................. ............................................. 7
9.2 Auditoría interna .................................................. .................................................. .................................................. ...................................... 8
9.3 Gestión de opinión .................................................. .................................................. .................................................. ..................... 8
10 Mejora .................................................. .................................................. .................................................. .................................................. .... 9

10.1 La no conformidad y acciones correctivas .................................................. .................................................. ............................. 9
10.2 Mejora continua .................................................. .................................................. .................................................. ............ 9
Anexo A ( normativo) objetivos de control de referencia y los controles .................................................. ...................................... 10 Bibliografía ..................................................
.................................................. .................................................. .................................................. ..................... 23
© ISO / IEC 2013 - Todos los derechos reservados iii

ISO / IEC 27001: 2013 (E)
Prefacio
La ISO (Organización Internacional de Normalización) e IEC (Comisión Electrotécnica Internacional del) forman el sistema
especializado para la normalización en todo el mundo. Los organismos nacionales que son miembros de ISO e IEC participan en el
desarrollo de Normas Internacionales a través de comités técnicos establecidos por la organización respectiva, para hacer frente a
determinados campos de actividad técnica. comités técnicos de ISO e IEC colaboran en campos de interés mutuo. Otras
organizaciones internacionales, gubernamentales y no gubernamentales, en coordinación con ISO e IEC, también participan en el
trabajo. En el campo de la tecnología de la información, ISO e IEC han establecido un comité técnico conjunto, ISO / IEC JTC 1.
Normas Internacionales se redactan de acuerdo con las reglas dadas en las Directivas ISO / IEC, Parte 2. La tarea principal del comité técnico
conjunto es preparar Normas Internacionales. Los Proyectos de Normas Internacionales adoptados por el comité técnico conjunto son
enviados a los organismos nacionales para su votación. La publicación como Norma Internacional requiere la aprobación por al menos el 75%
de los organismos nacionales con derecho a voto.
Se llama la atención a la posibilidad de que algunos de los elementos de este documento puede ser objeto de derechos de patente. ISO e IEC
no se hace responsable de la identificación de cualquiera o todos los derechos de patente. ISO / IEC 27001 fue preparada por el Comité
Técnico Conjunto ISO / IEC JTC 1, Tecnología Información,

Subcomité SC 27, Técnicas de seguridad de TI.
Esta segunda edición anula y sustituye a la primera edición (ISO / IEC 27001: 2005), que ha sido revisada técnicamente.
iv © ISO / IEC 2013 - Todos los derechos reservados

ISO / IEC 27001: 2013 (E)
0 Introducción
0.1 General
Esta norma internacional se ha preparado para proporcionar los requisitos para establecer, implementar, mantener y mejorar continuamente un
sistema de gestión de seguridad de la información. La adopción de un sistema de gestión de seguridad de la información es una decisión
estratégica para una organización. El establecimiento e implementación de sistema de gestión de seguridad de la información de una
organización están influenciados por las necesidades de la organización y los objetivos, requisitos de seguridad, los procesos organizativos
utilizados y el tamaño y estructura de la organización. Se espera que todos estos factores influyen a cambiar con el tiempo. El sistema de
gestión de seguridad de la información preserva la confidencialidad, integridad y disponibilidad de la información mediante la aplicación de un
proceso de gestión de riesgos y da confianza a las partes interesadas que los riesgos se gestionan adecuadamente.
Es importante que el sistema de gestión de seguridad de la información es parte de e integrado con los procesos de la organización y la
estructura general de gestión y seguridad de la información que se considera en el diseño de procesos, sistemas de información y
controles. Se espera que una información de gestión de seguridad de la implementación del sistema se ampliará de acuerdo con las
necesidades de la organización. Esta Norma Internacional pueden utilizarla partes internas y externas para evaluar la capacidad de la
organización para cumplir los requisitos de seguridad de la información propios de la organización.
El orden en que se presentan los requisitos de esta norma internacional no refleja su importancia ni implica el orden en el que
han de ponerse en práctica. Los elementos de la lista se enumeran para fines de referencia.
ISO / IEC 27000 describe la visión de conjunto y el vocabulario de los sistemas de gestión de seguridad de la información, haciendo referencia a la
familia de sistemas de gestión de seguridad de la información de normas (incluyendo la norma ISO / IEC 27003 [ 2 ], ISO / IEC 27004 [ 3 ] e ISO / IEC
27005 [ 4 ]), con los términos y definiciones relacionadas.
0.2 Compatibilidad con otras normas de sistemas de gestión
Esta norma se aplica la estructura de alto nivel, los títulos de sub-cláusula idénticos, texto idéntico, términos comunes, y las
definiciones básicas definidas en el anexo SL de ISO Directivas / IEC, Parte 1, Consolidated ISO Suplemento, y por lo tanto mantiene
la compatibilidad con otro sistema de gestión normas que han adoptado el anexo SL.
Este enfoque común definido en el anexo SL será útil para aquellas organizaciones que optan por operar un sistema de gestión
que cumple con los requisitos de dos o más normas de sistemas de gestión.
© ISO / IEC 2013 - Todos los derechos reservados v

ESTÁNDAR INTERNACIONAL ISO / IEC 27001: 2013 (E)
Tecnología de la información - Técnicas de seguridad - Sistemas de gestión de

seguridad de la información - Requisitos
1 Alcance
Esta norma especifica los requisitos para establecer, implementar, mantener y mejorar continuamente un sistema de gestión de
seguridad de la información en el contexto de la organización. Esta Norma Internacional también incluye los requisitos para la
evaluación y el tratamiento de los riesgos de seguridad de la información a medida de las necesidades de la organización. Los
requisitos establecidos en esta Norma Internacional son genéricos y se pretende que sean aplicables a todas las organizaciones,
independientemente del tipo, tamaño o naturaleza. Excluir ninguno de los requisitos especificados en las cláusulas 4 a 10 no es aceptable
cuando una organización afirma la conformidad con esta norma internacional.
2 Referencias normativas
Los siguientes documentos, en su totalidad o en parte, se hace referencia a normativamente en este documento y son indispensables para su
aplicación. Para las referencias con fecha, sólo se aplica la edición citada. Para las referencias sin fecha se aplica la última edición del documento
de referencia (incluyendo cualquier modificación). ISO / IEC 27000, Tecnología de la información - Técnicas de seguridad - Sistemas de gestión de
seguridad de la información - Información general y vocabulario
3 Términos y definiciones
A los efectos de este documento, los términos y definiciones dados en la Norma ISO / IEC 27000 se aplican.
4 Contexto de la organización
4.1 La comprensión de la organización y su contexto
La organización debe determinar los problemas externos e internos que son relevantes para su propósito y que afecta a su capacidad para lograr
el resultado deseado (s) de su sistema de gestión de seguridad de la información. NOTA
La determinación de estas cuestiones se refiere al establecimiento del contexto externo e interno de la organización considerada en la cláusula 5.3 de la
norma ISO 31000: 2009 [ 5 ].
4.2 La comprensión de las necesidades y expectativas de las partes interesadas
La organización debe determinar:
un) las partes interesadas que son relevantes para el sistema de gestión de seguridad de la información; y
b) los requisitos de estas partes interesadas pertinentes a la seguridad de la información. NOTA
Los requisitos de las partes interesadas pueden incluir requisitos legales y reglamentarios y obligaciones contractuales.
4.3 Determinación del alcance del sistema de gestión de seguridad de la información
La organización debe determinar los límites y la aplicabilidad del sistema de gestión de seguridad de la información para
establecer su alcance.
© ISO / IEC 2013 - Todos los derechos reservados 1

ISO / IEC 27001: 2013 (E)
Al determinar este alcance, la organización debe considerar:
a) los problemas externos e internos que se refiere el 4.1 ;
b) los requisitos indicados en el 4.2 ; y
do) interfaces y las dependencias entre las actividades realizadas por la organización, y los que se llevan a cabo por otras
organizaciones.
El alcance deberá estar disponible como información documentada.
sistema de gestión de la seguridad 4.4 Información
La organización debe establecer, implementar, mantener y mejorar continuamente un sistema de gestión de seguridad de la
información, de conformidad con los requisitos de esta norma internacional.
5 Liderazgo
5.1 Liderazgo y compromiso
La alta dirección debe demostrar su liderazgo y compromiso con respecto a la información del sistema de gestión de la seguridad a
través de:
a) garantizar la política de seguridad de la información y los objetivos de seguridad de la información están establecidos y son compatibles
con la dirección estratégica de la organización;
b) garantizar la integración de los requisitos del sistema de gestión de seguridad de la información en los procesos de la organización;
c) velar por que los recursos necesarios para el sistema de gestión de seguridad de la información están disponibles;
d) comunicar la importancia de la gestión eficaz de la seguridad de la información y de ajustarse a los requisitos del sistema de
gestión de seguridad de la información;
e) asegurar que el sistema de gestión de seguridad de la información alcanza su resultado (s) que está destinado;
f) la dirección y el apoyo a las personas para contribuir a la eficacia del sistema de gestión de seguridad de la información;
g) la promoción de la mejora continua; y
h) el apoyo a otras funciones de gestión pertinentes para demostrar su liderazgo, ya que se aplica a sus áreas de responsabilidad.
5.2 política
La alta dirección debe establecer una política de seguridad de la información que:
un) que es apropiado para el propósito de la organización;
b) incluye los objetivos de seguridad de la información (véase 6.2 ) O proporciona el marco para establecer los objetivos de seguridad de la información;
do) incluye un compromiso de cumplir con los requisitos aplicables relacionadas con la seguridad de la información; y
d) incluye un compromiso de mejora continua del sistema de gestión de seguridad de la información. La política de seguridad de la
información deberá:
e) estará disponible como información documentada;
2 © ISO / IEC 2013 - Todos los derechos reservados

ISO / IEC 27001: 2013 (E)
f) ser comunicada dentro de la organización; y
g) estar disponible para las partes interesadas, según sea apropiado.
5.3 roles organizacionales, responsabilidades y autoridades
La alta dirección debe asegurarse de que las responsabilidades y autoridades para las funciones relevantes para la seguridad informática son
asignados y comunicados.
La alta dirección debe asignar la responsabilidad y autoridad para:
a) asegurar que el sistema de gestión de seguridad de la información se ajusta a los requisitos de esta norma internacional; y
b) informar sobre el desempeño del sistema de gestión de seguridad de la información a la alta dirección. NOTA
La alta dirección también puede asignar responsabilidades y autoridades para informar sobre el desempeño del sistema de gestión de
seguridad de la información dentro de la organización.
6 Planificación
6.1 acciones para abordar los riesgos y oportunidades
6.1.1 Generalidades
Cuando se planifica para el sistema de gestión de seguridad de la información, la organización debe considerar las cuestiones mencionadas
en el 4.1 y los requisitos indicados en el 4.2 y determinar los riesgos y las oportunidades que necesitan ser abordados a:
a) asegurar que el sistema de gestión de seguridad de la información puede alcanzar su resultado (s) que está destinado;
b) prevenir, o reducir, los efectos no deseados; y
c) lograr la mejora continua. La organización
debe planificar:
d) acciones para abordar estos riesgos y oportunidades; y
e) cómo
1) integrar e implementar las acciones en sus procesos del sistema de gestión de seguridad de la información; y
2) evaluar la eficacia de estas acciones.
evaluación de riesgos de seguridad 6.1.2 Información
La organización debe definir y aplicar un proceso de evaluación de riesgos de seguridad la información que:
a) establece y mantiene los criterios de riesgo de seguridad de información que incluyen:
1) los criterios de aceptación del riesgo; y
2) los criterios para la realización de evaluaciones de riesgos de seguridad de la información;
b) asegura que las repetidas evaluaciones de riesgo de seguridad de información producen resultados consistentes, válidos y comparables;

ISO / IEC 27001: 2013 (E)
do) identifica los riesgos de seguridad de la información:
1) aplicar el proceso de evaluación de riesgos de seguridad de información para identificar los riesgos asociados con la pérdida de
confidencialidad, integridad y disponibilidad de la información en el ámbito del sistema de gestión de seguridad de la información; y
2) identificar a los propietarios de los riesgos;
d) analiza los riesgos de seguridad de la información:
1) evaluar las posibles consecuencias que resultaría si los riesgos identificados en 6.1.2 c) 1) fueron a materializarse;
2) evaluar la probabilidad realista de la ocurrencia de los riesgos identificados en 6.1.2 c) 1); y
3) determinar los niveles de riesgo;
e) evalúa los riesgos de seguridad de la información:
1) comparar los resultados de análisis de riesgos con los criterios de riesgo establecidos en 6.1.2 un); y
2) priorizar los riesgos analizados para el tratamiento del riesgo.
La organización conservará información documentada sobre el proceso de evaluación de riesgos de seguridad de la información.
tratamiento de los riesgos de seguridad 6.1.3 Información
La organización debe definir y aplicar un proceso de tratamiento del riesgo seguridad de la información a:
a) seleccionar las opciones de tratamiento de la información sobre riesgos de seguridad apropiadas, teniendo en cuenta los resultados de la evaluación de riesgos;
b) determinar todos los controles que son necesarios para implementar la opción (s) de tratamiento de riesgos de seguridad de información elegido; NOTA
Las organizaciones pueden diseñar controles según sea necesario, o identificarlos de cualquier fuente.
c) comparación de los controles determinados en 6.1.3 b) anterior con los de Anexo A y verificar que no es necesario
los controles se han omitido; NOTA 1 Anexo A contiene una lista completa de los objetivos de control y controles. Los usuarios de esta norma se
dirigen a Anexo A para asegurarse de que no hay controles necesarios se pasan por alto. NOTA 2 objetivos de control se incluyen de forma implícita
en los controles seleccionados. Los objetivos de control y los controles listados en Anexo A no son exhaustivas y pueden ser necesarios objetivos de
control y de control adicionales.
d) producir una Declaración de aplicabilidad que contiene los controles necesarios (véase 6.1.3 b) y c)) y la justificación de las
inclusiones, si se implementan o no, y la justificación de las exclusiones de controles de Anexo A ;
e) formular un plan de información de seguridad del tratamiento del riesgo; y
f) obtener la aprobación del plan de tratamiento de riesgos de seguridad de la información y la aceptación de los riesgos de seguridad de la información residuales
propietarios de los riesgos.
La organización conservará información documentada sobre el proceso de tratamiento de los riesgos de seguridad de la información. NOTA
La evaluación de los riesgos de seguridad de la información y proceso de tratamiento en esta norma se alinea con los principios y directrices
genéricas previstas en la norma ISO 31000 [ 5 ].

ISO / IEC 27001: 2013 (E)
objetivos de seguridad 6.2 Información y la planificación para alcanzarlos
La organización debe establecer objetivos de seguridad de la información en las funciones y niveles pertinentes. Los objetivos de seguridad de
la información deberá:
a) ser coherente con la política de seguridad de la información;
b) ser medibles (si es posible);
c) tener en cuenta los requisitos de seguridad de la información aplicable, y los resultados de la evaluación y tratamiento de riesgos;
d) ser comunicada; y
e) ser actualizado según sea apropiado.
La organización conservará información documentada sobre los objetivos de seguridad de la información. Al planear la forma de lograr
sus objetivos de seguridad de la información, la organización debe determinar:
f) lo que se hará;
g) qué recursos se requiere;
h) que será responsable;
i) cuando se completará; y
j) cómo se evaluarán los resultados.
7 Apoyo
7.1 Recursos
La organización debe determinar y proporcionar los recursos necesarios para el establecimiento, implementación, mantenimiento y
mejora continua del sistema de gestión de seguridad de la información.
7.2 Competencia
La organización debe:
a) determinar la competencia necesaria de la persona (s) que hace el trabajo bajo su control que afecta a su rendimiento seguridad de la
información;
b) garantizar que dichas personas son competentes en la base en la educación, la formación o la experiencia;
c) en su caso, tomar acciones para adquirir la competencia necesaria, y evaluar la eficacia de las acciones tomadas; y
d) retener la información adecuada y documentada como evidencia de la competencia. NOTA
acciones aplicables pueden incluir, por ejemplo: el suministro de capacitación a, la tutoría, o la reasignación de los empleados
actuales; o la contratación o contratación de personas competentes.
7.3 conciencia
Las personas que realizan un trabajo bajo el control de la organización debe tener en cuenta:
a) la política de seguridad de la información;

ISO / IEC 27001: 2013 (E)
b) su contribución a la eficacia del sistema de gestión de seguridad de la información, incluyendo los beneficios de rendimiento de la
seguridad mejorada de la información; y
c) las consecuencias de que no cumple con los requisitos del sistema de gestión de seguridad de la información.
7.4 Comunicación
La organización debe determinar la necesidad de comunicaciones internas y externas pertinentes para el sistema de gestión de seguridad
de la información, incluyendo:
a) por lo que para comunicarse;
b) cuando comunicarse;
c) con la que comunicarse;
d) el cual comunicará; y
e) los procesos por los cuales se efectuará la comunicación.
7.5 Información documentada
7.5.1 Generalidades
sistema de gestión de seguridad de la información de la organización debe incluir:
a) la información requerida por esta norma internacional documentado; y
b) documentado información determinada por la organización por ser necesarios para la eficacia del sistema de gestión de
seguridad de la información. NOTA
El alcance de la información documentada para un sistema de gestión de seguridad de la información puede diferir de una organización
a otra debido a:
1) el tamaño de la organización y su tipo de actividades, procesos, productos y servicios;
2) la complejidad de los procesos y sus interacciones; y
3) la competencia de las personas.
7.5.2 Creación y actualización
Al crear y actualizar información documentada la organización debe asegurarse apropiado:
un) identificación y descripción (por ejemplo, un título, fecha, autor, o número de referencia);
b) formato (por ejemplo, el idioma, la versión del software, gráficos) y medios de comunicación (por ejemplo, papel, electrónicos); y
c) la revisión y aprobación de idoneidad y adecuación.
7.5.3 Control de la información documentada
Información documentada requerida por el sistema de gestión de seguridad de la información y por esta norma internacional se
deben controlar para asegurar:
un) que está disponible y adecuado para su uso, donde y cuando sea necesario; y
b) que está protegido adecuadamente (por ejemplo, de pérdida de confidencialidad, uso incorrecto o pérdida de la integridad).

ISO / IEC 27001: 2013 (E)
Para el control de la información documentada, la organización debe responder a las siguientes actividades, según corresponda:
c) distribución, el acceso, recuperación y uso;
d) almacenamiento y conservación, incluyendo la preservación de la legibilidad;
e) el control de cambios (por ejemplo, control de versiones); y
f) retención y la disposición.
Información documentada de origen externo, que la organización determina que son necesarios para la planificación y
operación del sistema de gestión de seguridad de la información, se identificó como apropiada y controlada. NOTA
El acceso implica una decisión sobre la autorización para ver sólo la información documentada, o el permiso y la autoridad
para ver y cambiar la información documentada, etc.
8 Funcionamiento
8.1 planificación y control operacional
La organización debe planificar, ejecutar y controlar los procesos necesarios para cumplir los requisitos de seguridad de la información, y para poner en
práctica las acciones determinadas en 6.1 . La organización también debe implementar planes para lograr los objetivos de seguridad de la información en
determinados 6.2 .
La organización debe mantener la información documentada en la medida necesaria para tener confianza en que los procesos se han llevado a
cabo como estaba previsto.
La organización debe controlar los cambios planificados y revisar las consecuencias de los cambios no deseados, la adopción de medidas para mitigar los
efectos adversos, según sea necesario.
La organización debe asegurarse de que los procesos externalizados son determinadas y controladas.
evaluación de riesgos de seguridad 8.2 Información
La organización debe llevar a cabo las evaluaciones de riesgos de seguridad de información a intervalos planificados o cuando se proponen o se producen
cambios significativos, teniendo en cuenta los criterios establecidos en el 6.1.2 un). La organización debe retener la información documentada de los
resultados de las evaluaciones de los riesgos de seguridad de la información.
el tratamiento del riesgo de seguridad 8.3 Información
La organización debe implementar el plan de tratamiento de riesgos de seguridad de la información.
La organización debe retener la información documentada de los resultados del tratamiento de los riesgos de seguridad de la información.
Evaluación 9 Rendimiento
9,1, la medición, análisis y evaluación
La organización debe evaluar el rendimiento de la seguridad de la información y la eficacia del sistema de gestión de seguridad
de la información. La organización debe determinar:
a) lo que necesita ser monitorizado y medido, incluyendo los procesos de seguridad de la información y los controles;

ISO / IEC 27001: 2013 (E)
b) los métodos para el seguimiento, la medición, análisis y evaluación, según sea aplicable, para asegurar resultados válidos; NOTA
Los métodos seleccionados deben producir resultados comparables y reproducibles sean considerados válidos.
c) cuando se llevarán a cabo el seguimiento y la medición;
d) quien deberá supervisar y medir;
e) cuando los resultados de seguimiento y medición serán analizados y evaluados; y
f) quien deberá analizar y evaluar estos resultados.
La organización debe retener la información adecuada y documentada como evidencia de los resultados de seguimiento y medición.
9.2 La auditoría interna
La organización debe llevar a cabo auditorías internas a intervalos planificados para proporcionar información sobre si el sistema de gestión de
seguridad de la información:
a) cumple
1) los propios de la organización para su sistema de gestión de seguridad de la información; y
2) los requisitos de esta norma internacional;
b) se aplican y mantienen de manera efectiva. La
organización debe:
c) planificar, establecer, implementar y mantener un programa (s) de auditoría, incluyendo la frecuencia, los métodos, las responsabilidades, los
requisitos de planificación y presentación de informes. El programa (s) de auditoría deberá tener en cuenta la importancia de los procesos en
cuestión y los resultados de auditorías anteriores;
d) definir los criterios de auditoría y el alcance de cada auditoría;
e) seleccionar los auditores y la realización de auditorías que garanticen la objetividad y la imparcialidad del proceso de auditoría;
f) asegurarse de que los resultados de las auditorías se reportan a la administración pertinente; y
g) conservar la información documentada como prueba del programa (s) de auditoría y los resultados de la auditoría.
9.3 Gestión de opinión
La alta dirección debe revisar el sistema de gestión de seguridad de la información de la organización a intervalos planificados para
asegurarse de su conveniencia, adecuación y eficacia. La revisión por la dirección debe incluir la consideración de:
a) el estado de las acciones de anteriores revisiones de la dirección;
b) los cambios en cuestiones externas e internas que son relevantes para el sistema de gestión de seguridad de la información;
do) retroalimentación sobre el rendimiento de seguridad de la información, incluyendo las tendencias en:
1) no conformidades y acciones correctivas;
2) Resultados de seguimiento y medición;
3) los resultados de auditoría; y

ISO / IEC 27001: 2013 (E)
4) el cumplimiento de los objetivos de seguridad de la información;
d) la retroalimentación de las partes interesadas;
e) los resultados de la evaluación de riesgos y el estado del plan de tratamiento de riesgos; y
f) oportunidades para la mejora continua.
Las salidas de la revisión por la dirección deben incluir decisiones relacionadas con las oportunidades de mejora continua y de cualquier necesidad
de cambios en el sistema de gestión de seguridad de la información. La organización conservará información documentada como evidencia de los
resultados de las revisiones por la dirección.
10 Mejora
10.1 La no conformidad y acciones correctivas
Cuando se produce una no conformidad, la organización deberá:
a) reaccionan a la no conformidad, y en su caso:
1) tomar medidas para controlar y corregirlo; y
2) hacer frente a las consecuencias;
b) evaluar la necesidad de actuar para eliminar las causas de no conformidad, con el fin de que no vuelva a ocurrir o se producen en otros lugares, por:
1) revisar la no conformidad;
2) determinar las causas de la no conformidad; y
3) determinar si existen no conformidades similares, o potencialmente podría ocurrir;
do) implementar cualquier acción necesaria;
d) examinar la eficacia de cualquier acción correctiva tomada; y
e) realizar cambios en el sistema de gestión de seguridad de la información, si es necesario. Las acciones correctivas deben
ser apropiadas a los efectos de las no conformidades encontradas. La organización conservará información documentada
como evidencia de:
f) la naturaleza de las conformidades y de cualquier acción tomada posteriormente, y
g) los resultados de cualquier acción correctiva.
10.2 Mejora continua
La organización debe mejorar continuamente la conveniencia, adecuación y eficacia del sistema de gestión de seguridad de la
información.

ISO / IEC 27001: 2013 (E)
Anexo A
(normativo)
objetivos de control de referencia y los controles
Los objetivos de control y los controles listados en Tabla A.1 se derivan directamente de y alineada con los enumerados en ISO / IEC 27002:
2013 [ 1 ], Las cláusulas 5 a 18 y se van a utilizar en el contexto de cláusula 6.1.3 .
Tabla A.1 - objetivos de control y controles
A.5 las políticas de seguridad de la información
A.5.1 dirección de Gestión de Seguridad de la Información
Objetivo: Proporcionar orientación y apoyo a la gestión de seguridad de la información, de acuerdo con los requerimientos del negocio y
las leyes y reglamentos pertinentes.
Controlar
A.5.1.1 Las políticas de seguridad infor- Un conjunto de políticas de seguridad de la información se definirá, aprobado por la
mación Administración, publicar y comunicar a los empleados y partes externas relevantes.
Controlar
A.5.1.2 Revisión de los CIES POLI de Las políticas de seguridad de la información deben ser revisados a intervalos planificados
seguridad de la información o si se produjeran cambios significativos para asegurar su conveniencia, adecuación y
eficacia.
A.6 Organización de la seguridad de la información
A.6.1 organización interna

Objetivo: Establecer un marco de gestión para iniciar y controlar la implementación y operación de seguridad de la
información dentro de la organización.
roles de seguridad de la Controlar
A.6.1.1 información y responsabilidades Todas las responsabilidades de seguridad de la información se definirán y asigna- do.
A.6.1.2 La segregación de funciones Controlar deberes en conflicto y áreas de responsabilidad deben estar separados a reducir las
oportunidades de ción o mal uso de los activos de la organización modifi- no autorizado o
involuntario.
Controlar
A.6.1.3 Contacto con autoridades
Se mantendrán los contactos apropiados con las autoridades pertinentes.
Controlar
A.6.1.4 El contacto con los grupos de intereses los contactos adecuados con los grupos de intereses especiales u otros foros de seguridad no
especiales está en especial- y asociaciones profesionales serán mantenidos.
proyectos Controlar
seguridad de la información en la gestión de
A.6.1.5 seguridad de la información se dirigirá en dirección de proyectos, independientemente
del tipo de proyecto.
A.6.2 dispositivos móviles y el teletrabajo
Objetivo: Para garantizar la seguridad del teletrabajo y el uso de dispositivos móviles.

ISO / IEC 27001: 2013 (E)
Tabla A.1 ( continuado)
Controlar
política de dispositivo móvil A.6.2.1 Una política de apoyo y medidas de seguridad serán adoptadas para gestionar los riesgos
introducidos mediante el uso de dispositivos móviles.
Controlar
A.6.2.2 El teletrabajo Una política de apoyo y medidas de seguridad se aplicarán para proteger la información
visitada, procesada o almacenada en los sitios de teletrabajo.
A.7 la seguridad de los recursos humanos
A.7.1 Antes de empleo

Objetivo: Asegurar que los empleados y contratistas entiendan sus responsabilidades y son capaces traje- para los roles para los
que fueron considerados.
Controlar
controles de verificación de fondo sobre todos los candidatos para el empleo se

A.7.1.1 Cribado llevarán a cabo de acuerdo con las leyes, regulaciones y ética pertinente y deberá ser
proporcional a las necesidades de negocio, la clasificación de la información para
acceder y los riesgos percibida.
Controlar
A.7.1.2 Términos y condiciones de Los acuerdos contractuales con los empleados y contratistas deben indicar sus
empleo responsabilidades y de la organización para la seguridad de la información.
A.7.2 Durante el empleo

Objetivo: Asegurar que los empleados y contratistas están al tanto y cumplir con sus responsabilidades de seguridad de la información.
Controlar
Gestión A.7.2.1 responsabilidades Gestión deberá exigir que todos los empleados y contratistas para aplicar seguridad de la
información de acuerdo con las políticas y procedimientos establecidos por la
organización.
Controlar
conciencia de seguridad de la Todos los empleados de la organización y, en su caso, res contratistas relevantes recibirán la
A.7.2.2 información, la educación y la educación sobre el adecuado y la capacitación y actualizaciones regulares en las políticas y
formación procedimientos de la organización, como relevantes para su función de trabajo.
Controlar
Proceso disciplinario A.7.2.3 Habrá un proceso disciplinario formal y comunicado en su sitio para tomar medidas
contra los empleados que han cometido una violación de la seguridad de la información.
Terminación A.7.3 y cambio de empleo

Objetivo: Para proteger los intereses de la organización como parte del proceso de cambiar o terminar el empleo.
Controlar
Terminación A.7.3.1 o cambio de empleo las responsabilidades de seguridad de la información y las obligaciones que permanecen
responsabilidades válidas después de la terminación o cambio de empleo se definirán, com- municated al
empleado o contratista y ejecutadas.
A.8 Gestión de activos

Responsabilidad A.8.1 para los activos

ISO / IEC 27001: 2013 (E)
Objetivo: Identificar los activos de la organización y definir las responsabilidades de protección adecuados.
Controlar
A.8.1.1 Inventario de activos Activos asociados a las instalaciones de procesamiento de información y la información deben
ser identificados y un inventario de estos bienes serán establecimiento y el mantenimiento.
Controlar
A.8.1.2 La propiedad de activos
Los activos mantenidos en el inventario serán propiedad.
Controlar
A.8.1.3 El uso aceptable de los activos Se identificarán las reglas para el uso aceptable de la información y de los activos asociados a
las instalaciones de procesamiento de información y de información, documentados e
implementados.
Controlar
A.8.1.4 retorno de los activos Todos los empleados y usuarios externos del partido deberán devolver todos los activos
de la organización en su posesión a la terminación de su empleo, contrato o acuerdo.
Clasificación de la información A.8.2
Objetivo: asegurar que la información reciba un nivel adecuado de protección de acuerdo con su importancia para la
organización.
Controlar
Clasificación A.8.2.1 de informa- ción La información se clasificará en términos de requisitos legales, el valor, la
criticidad y sensibilidad a la divulgación o modificación no autorizada.
Controlar
A.8.2.2 Etiquetado de informa- ción Un conjunto apropiado de procedimientos para el etiquetado de información deberá ser
desarrollado e implementado de acuerdo con el esquema de clasificación de la información
adoptado por la organización.
Controlar
A.8.2.3 Manejo de activos Los procedimientos para el manejo de los activos deberán desarrollarse y implementado de
acuerdo con el esquema de clasificación de la información adoptado por la organización.
A.8.3 manejo de medios
Objetivo: Para evitar la divulgación no autorizada, modificación, eliminación o destrucción de la información almacenada en los medios de comunicación.
Controlar
Gestión de A.8.3.1 obligan a quitarse los medios Procedimientos se aplicarán para la gestión de los medios de comunicación obligan a quitarse
capaces capaces de acuerdo con el esquema de clasificación adoptado por la organización.
Controlar
Eliminación de los medios A.8.3.2 Los medios de comunicación deberán ser desechados de forma segura cuando ya no sea necesario,
utilizando procedimientos formales.
Controlar
A.8.3.3 medios físicos trans fer Los medios que contienen información estarán protegidos contra unauthor- izada acceso, uso
indebido o la corrupción durante el transporte.
A.9 Control de acceso
A.9.1 requisitos comerciales de control de acceso

ISO / IEC 27001: 2013 (E)
Objetivo: Para limitar el acceso a las instalaciones de procesamiento de información y de información.
política de control de acceso A.9.1.1 Controlar Se establecerá una política de control de acceso, documentado y revisado en base a
los requisitos de seguridad y de información de negocios.
A.9.1.2 El acceso a las redes y servicios de

Losred Controlar
usuarios sólo deberán estar provistos de acceso a los servicios de red y de la red
que han sido específicamente autorizados para su uso.
gestión de acceso del usuario A.9.2
Objetivo: garantizar el acceso de usuarios autorizados y prevenir el acceso no autorizado a sistemas y servicios.
Controlar
El registro de usuarios A.9.2.1 y cancelación de la Un proceso de registro del usuario y de-registro formal se llevará a cabo para permitir
matrícula
la asignación de derechos de acceso.
Controlar
A.9.2.2 El acceso del usuario provisionalmente ing Un proceso formal de provisión de acceso del usuario se llevará a cabo para asignar o revocar los
derechos de acceso para todo tipo de usuario a todos los sistemas y servicios.
Controlar
Gestión de derechos de acceso A.9.2.3 La asignación y uso de los derechos de acceso privilegiados serán restringidas y
privile- gios
controladas.
Controlar
Gestión A.9.2.4 de autenticación secreta

infor- mación de los usuarios La asignación de la información secreta de autentificación se controlado a través
de un proceso de gestión formal.
Controlar
A.9.2.5 Revisión de los derechos de acceso de
usuario Los propietarios de activos deberán revisar los derechos de acceso de los usuarios a intervalos regulares.
Controlar
Los derechos de acceso de todos los empleados y los usuarios parte externa a las instalaciones
La eliminación A.9.2.6 o el ajuste de los derechos de de procesamiento de información y de información deberán ser retirados después de la
acceso
terminación de su empleo, contrato o acuerdo, o se ajustan al cambio.
A.9.3 responsabilidades de los usuarios
Objetivo: hacer que los usuarios responsables de salvaguardar su información de autenticación.
Controlar
A.9.3.1 Uso de la información secreta Los usuarios estarán obligados a seguir las prácticas de la organización en el uso de la
autenti- cación
información de autenticación secreta.
Sistema A.9.4 y control de acceso de aplicaciones
Objetivo: Para prevenir el acceso no autorizado a sistemas y aplicaciones.
Controlar
restricción de acceso a la
A.9.4.1 El acceso a las funciones de información y sistema de aplicación se limitará de
información
acuerdo con la política de control de acceso.
Controlar
A.9.4.2 inicio de sesión seguro procedimientos Cuando lo requiera la política de control de acceso, el acceso a los sistemas y aplicaciones se
controla mediante un procedimiento de conexión segura.

ISO / IEC 27001: 2013 (E)
Controlar
A.9.4.3 sistema de manage- ment sistemas de gestión de contraseñas deben ser interactivas y se asegurarán de
contraseña
contraseñas de calidad.
Controlar
A.9.4.4 El uso de programas privilegiados El uso de programas de utilidades que podrían ser capaces de anular los controles del
dad util- sistema y de las aplicaciones será restringido y estrechamente controlada.
Controlar
A.9.4.5 control de acceso al código fuente
programa El acceso al código fuente del programa estará restringido.
A.10 Criptografía
A.10.1 controles criptográficos
Objetivo: Para garantizar el uso adecuado y eficaz de la criptografía para proteger la confidencialidad, ticidad y / o integridad de la
información autenti-.
A.10.1.1 Política sobre el uso de controles criptográficos Controlar

Una política sobre el uso de controles criptográficos para la protección de la información
deberá ser desarrollado e implementado.
Controlar
La administración de claves A.10.1.2 Una política sobre el uso, la protección y la duración de las claves criptográficas se
desarrolló e implementó a través de todo su ciclo de vida.
A.11 física y la seguridad ambiental

Las áreas seguras A.11.1
Objetivo: Para prevenir el acceso no autorizado física, daño e interferencia a las instalaciones de procesamiento de información y la
información de la organización.
Controlar
A.11.1.1 perímetro de seguridad perímetros de seguridad se definirán y se utilizan para proteger áreas que contienen los servicios
física de información y procesamiento de la información, ya sea sensibles o críticas.
controles de entrada físicas A.11.1.2 Controlar Las áreas seguras estarán protegidos por controles de entrada apropiadas para garantizar que
sólo el personal autorizado se permite el acceso.
Controlar
A.11.1.3 Protección de oficinas, habitaciones e La seguridad física para oficinas, salas e instalaciones deberá estar diseñado y aplicado.
instalaciones
Controlar
A.11.1.4 La protección contra amenazas La protección física contra los desastres naturales, ataques maliciosos o accidentes debe
externas mentales y
ambientales ser diseñado y aplicado.
Controlar
A.11.1.5 El trabajo en áreas seguras Procedimientos para trabajar en las áreas de seguridad deberán ser diseñados y aplicados.
Controlar
Los puntos de acceso tales como las áreas de entrega y de carga y otros puntos en los que
A.11.1.6 áreas de entrega y carga personas no autorizadas podrían entrar los locales deben ser controladas y, si es posible, aislado
de instalaciones de procesamiento de información para evitar el acceso no autorizado.

ISO / IEC 27001: 2013 (E)
Equipo A.11.2
Objetivo: Para evitar la pérdida, daño, robo o el compromiso de los activos y la interrupción de las operaciones de la organiza- ción.
Controlar
A.11.2.1 emplazamiento y la protección del El equipo deberá estar situado y protegido para reducir los riesgos de las amenazas
equipo ambientales y los riesgos y oportunidades para el acceso indebido.
Controlar
utilidades A.11.2.2 Apoyando El equipo debe ser protegido de fallas de energía y otros ruptions dis- causados por
fallas en el apoyo a los servicios públicos.
Controlar
A.11.2.3 la seguridad de cableado Energía y telecomunicaciones cableado que transporta datos o apoyando actividades de gestión de
servicios de información deberá estar protegido contra interceptación, interferencia o daños.
Controlar
Nance A.11.2.4 Equipo nimiento El equipo debe mantenerse correctamente para asegurar su continua disponibilidad e
integridad.
Controlar
La eliminación de los activos A.11.2.5 Equipos, información o software no se tendrán fuera de las instalaciones sin
autorización previa.
Controlar
A.11.2.6 seguridad de los equipos y activos Garantía se aplica a los activos fuera de las instalaciones, teniendo en cuenta los diferentes riesgos
ISES fuera de PREM
de trabajar fuera de las instalaciones de la organización.
Controlar
A.11.2.7 La eliminación segura o la reutilización de Todos los elementos del equipo que contiene los medios de almacenamiento deberán ser verificados para
los equipos asegurar que los datos sensibles y software con licencia ha sido eliminado o sobrescrito de forma segura
antes de su eliminación o reutilización.
Controlar
equipos de usuario desatendida Los usuarios deberán asegurarse de que el equipo desatendido tiene la protección adecuada.
A.11.2.8
Controlar
A.11.2.9 Claro escritorio y la política de pantalla se adoptará una política de escritorio limpio para los papeles y medios de almacenamiento extraíbles y
transparente una política clara para la pantalla de instalaciones de procesamiento de información.
Operaciones de seguridad A.12
Procedimientos operacionales A.12.1 y responsabilidades
Objetivo: Para garantizar operaciones correctas y seguras de instalaciones de procesamiento de información.
Controlar
A.12.1.1 procedimientos operativos procedimientos de operación deberán ser documentados y puestos a disposición de todos los usuarios que
documentados
lo necesiten.
Controlar
A.12.1.2 Gestión del cambio Los cambios en la organización, los procesos de negocio, la información pro instalaciones y
sistemas que afectan deberá ser controlado seguridad de la información cessing.

ISO / IEC 27001: 2013 (E)
Gestión de la capacidad A.12.1.3 Controlar El uso de los recursos será supervisado, se ajusta y proyecciones de las futuras
necesidades de capacidad para asegurar el rendimiento sistema requerido.
Controlar
A.12.1.4 Separación de desarrollo, Desarrollo, prueba y entornos operativos se sepa- clasificados para reducir los
pruebas y entornos riesgos de acceso o cambios no autorizados en el entorno operacional.
operativos
Protección contra el malware A.12.2
Objetivo: Para asegurar que las instalaciones de procesamiento de información y la información están protegidos contra el malware.
Controlar
Controles A.12.2.1 contra las mercancías mal- Detección, prevención y recuperación de controles para proteger contra el malware se
aplicarán, en combinación con el conocimiento del usuario apropiado.
A.12.3 de copia de seguridad
Objetivo: Para evitar la pérdida de datos.

Controlar
copia de seguridad de información A.12.3.1 copias de seguridad de la información, software y del sistema imágenes serán tomadas y analizadas
regularmente de acuerdo con una política de copia de seguridad acordado.
Registro y monitoreo A.12.4

Objetivo: Para registrar los eventos y generar evidencia.
Controlar
A.12.4.1 registro de eventos grabación de registros de eventos de las actividades del usuario, excepciones, fallas y eventos de
seguridad infor- mación deberán ser producidos, mantenidos y revisados con regularidad.
Controlar
Protección A.12.4.2 de registro de informa- ción Registro de instalaciones y registrar información estará protegido contra la manipulación y
acceso no autorizado.
Controlar
A.12.4.3 administrador y los registros del administrador del sistema y las actividades del operador del sistema deberán ser registrados y
operador
los registros protegidos y regularmente revisados.
la sincronización del reloj A.12.4.4 Controlar Los relojes de todos los sistemas de procesamiento de información pertinentes dentro de una
organización o dominio de seguridad se sincronizan a una fuente de tiempo de referencia GLE pecado.
A.12.5 control del software operativo

Objetivo: Para garantizar la integridad de los sistemas operativos.
Controlar
Instalación A.12.5.1 de software en los Los procedimientos deberán ser implementadas para controlar la instalación de software en los
sistemas operativos
sistemas operativos.
A.12.6 Gestión técnica vulnerabilidad

Objetivo: Prevenir la explotación de vulnerabilidades técnicas.
dieciséis © ISO / IEC 2013 - Todos los derechos reservados

ISO / IEC 27001: 2013 (E)
Controlar
Información acerca de las vulnerabilidades técnicas de los sistemas de información siendo

Gestión de vulnerabilidades A.12.6.1 cal utilizadas se obtienen en el momento oportuno, la exposición de la organización a tales
técnicamente
vulnerabilidades evaluado y Ures medi- apropiadas tomado para hacer frente a los riesgos
asociados.
Controlar
Restricciones A.12.6.2 sobre la instalación de se establecen e implementan las reglas que rigen la instalación de software
software
de los usuarios.
consideraciones de auditoría de sistemas de información A.12.7
Objetivo: Para minimizar el impacto de las actividades de auditoría en los sistemas operativos.
Controlar
Información A.12.7.1 controles de auditoría de requisitos y las actividades relacionadas con la verificación de los sistemas de fun- cional de auditoría
sistemas deberán ser cuidadosamente planificadas y acordadas para reducir al mínimo las interrupciones en los
procesos de negocio.
A.13 seguridad Comunicaciones

A.13.1 gestión de la seguridad de la red
Objetivo: Para garantizar la protección de la información en redes y sus instalaciones de apoyo de información procesamiento.
Controlar
A.13.1.1 controles de red Las redes deberán ser gestionados y controlados para proteger la información en los sistemas y
aplicaciones.
Controlar
Se identificarán los mecanismos de seguridad, niveles de servicio y los requisitos de gestión

A.13.1.2 Seguridad de los servicios de red de todos los servicios de red y se incluyen en los acuerdos de servicios de red, si estos
servicios se proporcionan en la empresa o subcontratado.
Controlar
A.13.1.3 La segregación en las obras Net- Grupos de servicios de información, usuarios y sistemas de información estarán
separados en las redes.
La transferencia de información A.13.2
Objetivo: Mantener la seguridad de la información transferida dentro de una organización y con cualquier entidad externa.
Controlar
políticas de transferencia de información Formales de transferencia de políticas, procedimientos y controles deben estar en su lugar para
A.13.2.1 y procedimientos proteger la transferencia de información a través del uso de todo tipo de instalaciones de comunicación.
Controlar
Acuerdos A.13.2.2 sobre la transferencia de Acuerdos deberán dirigirse a la transferencia segura de informa- ción comercial entre
informa- ción
la organización y las partes externas.
La mensajería electrónica A.13.2.3 Controlar Información involucrada en la mensajería electrónica se apro- tamente protegida.

ISO / IEC 27001: 2013 (E)
divulgación Controlar
La confidencialidad A.13.2.4 o acuerdos de no Se identificarán los requisitos para los acuerdos de confidencialidad o de no divulgación que
reflejen las necesidades de la organización para la protección de la informa- ción,
regularmente revisados y documentados.
A.14 Sistema de adquisición, desarrollo y mantenimiento
A.14.1 requisitos de seguridad de los sistemas de información
Objetivo: Para asegurarse de que la seguridad informática es una parte integral de los sistemas de información a través de todo el ciclo de vida.
Esto también incluye los requisitos para los sistemas de información que prestan servicios a través de redes públicas.
Controlar
A.14.1.1 Información de análisis de requisitos Los requisitos relacionados con la seguridad de la información se incluirán en los requisitos
de seguridad y las para los nuevos sistemas de información o mejoras a los sistemas de información existentes.
especificaciones
Controlar
A.14.1.2 Protección de servicios de Información involucrada en servicios de aplicaciones que pasan a través de redes públicas
aplicaciones en las redes deberá estar protegido contra uso fraudulento, contrato de pute dis- autorizado y la
públicas
divulgación y modificación.
aplicaciones Controlar
Información involucrados en transacciones de servicios de aplicación debe ser protegido para

A.14.1.3 La protección de las transacciones de serviciosevitar
de la transmisión incompleta, mis-enrutamiento, alteración mensaje no autorizado, la
divulgación no autorizada, la reproducción no autorizada de mensajes o de repetición.
A.14.2 Seguridad en los procesos de desarrollo y soporte
Objetivo: Para asegurarse de que la seguridad de información se diseña e implementa dentro del ciclo de vida de desarrollo de sistemas de
información.
Controlar
política de desarrollo seguro A.14.2.1 Reglas para el desarrollo de software y sistemas serán esta- cado y aplicado a
la evolución de la organización.
Controlar
procedimientos de control de cambios del sistema Los cambios en los sistemas dentro del ciclo de desarrollo se Controlados por el uso de
A.14.2.2
procedimientos formales de control de cambios.
Controlar
A.14.2.3 Revisión técnica de las aplicaciones Cuando se cambian las plataformas que operan, aplicaciones críticas de negocio deben ser
después de operar cambios revisados y probados para asegurar que no hay impacto adverso sobre las operaciones o la
en la plataforma
seguridad de la organización.
Controlar
Restricciones A.14.2.4 sobre cambios en los Las modificaciones a los paquetes de software se pondrán trabas, limitados a los cambios necesarios y
paquetes de software
todos los cambios deberán ser controlados estrictamente.
Controlar
niería principios A.14.2.5 sistema Se establecerán principios para sistemas seguros de ingeniería, documentados, mantenidos
seguro inge- y aplicados a cualquier esfuerzo de implementación del sistema de información.

ISO / IEC 27001: 2013 (E)
Controlar
A.14.2.6 entorno de desarrollo seguro Las organizaciones deberán establecer y proteger adecuadamente los entornos de desarrollo
seguras para el desarrollo del sistema y los esfuerzos de inte- gración que cubren todo el ciclo
de vida de desarrollo del sistema.
Controlar
desarrollo A.14.2.7 Outsourced La organización debe supervisar y controlar la actividad de desarrollo de sistemas
con fuente OUT-.
Controlar
La seguridad del sistema A.14.2.8 de Exámenes Pruebas de la funcionalidad de seguridad se llevará a cabo durante el desarrollo.
Controlar
Sistema de pruebas de aceptación A.14.2.9 los programas de pruebas de aceptación y los criterios correspondientes, serán esta- cado para los
nuevos sistemas de información, actualizaciones y nuevas versiones.
Los datos de prueba A.14.3
Objetivo: Para garantizar la protección de los datos utilizados para la prueba.
Protección de datos de prueba A.14.3.1 Controlar

los datos de prueba deben seleccionarse cuidadosamente, protegidos y controlados.
Relaciones con los proveedores A.15
Seguridad de la información A.15.1 en relaciones con los proveedores
Objetivo: Para garantizar la protección de los activos de la organización que sea accesible por los proveedores.
Controlar
la política de seguridad de la información A.15.1.1 requisitos de seguridad de la información para la mitigación de los riesgos asociados con el
de relaciones con los proveedores acceso del proveedor de bienes de la organización, será acordado con el proveedor y
documentados.
Controlar
Todos los requisitos de seguridad de la información pertinentes serán establecidos y acordados con
A.15.1.2 Abordar la seguridad dentro mentos cada proveedor que pueden acceder, procesar, almacenar, comunicar, o proporcionar componentes
proveedor Agreement
de infraestructura de TI para, información de la organización.
Controlar
Información A.15.1.3 y cadena de suministro Acuerdos con los proveedores incluirán requisitos para hacer frente a los riesgos de seguridad
tecnología de comuni- cación asociados con la información de los servicios de tecnología de la información y las comunicaciones
y la cadena de suministro de productos.
la gestión de la prestación de servicios del proveedor A.15.2
Objetivo: Mantener un nivel acordado de seguridad de la información y la prestación de servicios en línea con los acuerdos proveedor.
Controlar
A.15.2.1 Control y revisión de los servicios de Las organizaciones deberán controlar regularmente, revisión y auditoría de proveedores de prestación
proveedores
de servicios.
Controlar
Los cambios en la prestación de servicios por parte de proveedores, incluyendo el mantenimiento y la
A.15.2.2 Gestión de cambios en los servicios de mejora de las políticas de seguridad de la información existentes, procedimientos y controles, serán
proveedores administrados, teniendo en cuenta la criticidad de la información empresarial, los sistemas y los
procesos involucrados y re-evaluación de riesgos.

ISO / IEC 27001: 2013 (E)
gestión de incidentes de seguridad Información A.16
A.16.1 Gestión de incidentes de seguridad de la información y mejoras

Objetivo: Para garantizar un enfoque coherente y eficaz para la gestión de los incidentes de seguridad de la información, incluida la
comunicación de eventos y debilidades de seguridad.
Controlar
Responsabilidades y procedimientos Se establecerán las responsabilidades y los procedimientos de gestión para asegurar una
A.16.1.1 respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información.
Controlar
A.16.1.2 informar sobre los eventos de seguridad de los eventos de seguridad de la información deben ser reportados a través de canales de gestión
información
adecuadas tan pronto como sea posible.
Información Controlar
Se requiere que los empleados y contratistas que utilizan los sistemas y servicios de
debilidades de seguridad de información A.16.1.3 deinformación de la organización para observar y reportar cualquier debilidad seguridad de la
información que observen o sospechen en los sistemas o servicios.
Controlar
Evaluación de A.16.1.4 y decisión sobre los los eventos de seguridad de la información deben ser evaluados y se decidirá si han de ser
eventos de seguridad infor- clasificados como abolladuras seguridad de la información inci-.
mación
seguridad Controlar
Respuesta A.16.1.5 a informa- ción incidentes deincidentes de seguridad de la información deberán recibir una respuesta de acuerdo con los
procedimientos documentados.
Controlar
A.16.1.6 Aprender de los incidentes de Conocimiento obtenido de análisis y la resolución de información seguridad incidentes se
seguridad de la información utilizarán para reducir la probabilidad o el impacto de los incidentes en el futuro.
A.16.1.7 Reunión de pruebas Controlar La organización debe definir y aplicar procedimientos para la identifica- ción,
recolección, adquisición y conservación de la información, que puede servir como
prueba.
aspectos de seguridad Información A.17 de la gestión de la continuidad del negocio
la continuidad seguridad de la información A.17.1
Objetivo: la continuidad seguridad de la información deberá estar integrada en los sistemas de gestión de continuidad de negocio de la organización.
Controlar
Planificación A.17.1.1 continuidad seguridad de La organización debe determinar sus requisitos de seguridad de la información y la continuidad
la información de la gestión de seguridad de la información en situaciones adversas, por ejemplo, durante una
crisis o desastre.
Controlar
La organización debe establecer, documentar, implementar y procesos Tain Principal-,

A.17.1.2 La implementación nuidad de seguridad procedimientos y controles para garantizar el nivel necesario de continuidad para seguridad de
infor- mación conti-
la información durante una situa- ción adversa.

ISO / IEC 27001: 2013 (E)
Controlar
La organización debe verificar los controles de seguridad de la información de

A.17.1.3 Verify, revisión y evaluar la continuidad establecido y aplicado a intervalos regulares con el fin de asegurarse de
información de seguridad de
continuidad que son válidos y eficaces en situaciones adversas.
Las redundancias A.17.2
Objetivo: asegurar la disponibilidad de instalaciones de procesamiento de información.
Controlar
A.17.2.1 La disponibilidad de las instalaciones de instalaciones de procesamiento de información se llevarán a cabo con redundancia suficiente para
procesamiento de información
establecidos satisfacer los requisitos de disponibilidad.
A.18 cumplimiento
El cumplimiento de los requisitos legales A.18.1 y contractuales
Objetivo: Para evitar violaciones de las obligaciones legales, estatutarias, reglamentarias o contractuales relacionadas con la infor- mación de seguridad y de
cualquier requisito de seguridad.
Controlar
Todo legal legislativo pertinente, los requisitos contractuales, regulatorias y el enfoque de la

A.18.1.1 Identificación de la legislación organización para cumplir con estos requisitos deberán ser identificados de forma explícita,
aplicable y los requisitos
contractuales documentados y mantienen actualizados para cada sistema de información y la organización.
Controlar
se aplicarán los procedimientos adecuados para garantizar el cumplimiento de los requisitos

Derechos de propiedad intelectual A.18.1.2 legales, reglamentarios y contractuales relacionados con los derechos de propiedad intelectual y
el uso de productos de artículos blandos propietarias.
Protección de los registros A.18.1.3 Controlar Los registros deben ser protegidos de la pérdida, destrucción, falsificación, acceso no
autorizado y la liberación no autorizada, de conformidad con los requisitos legislatory,
reglamentarios, contractuales y de negocios.
Controlar
A.18.1.4 de privacidad y protección de la Privacidad y protección de la información de identificación personal que se garantizará como
información personal identifica- se requiere en la legislación y la regulación en su caso relevante.
poder
Controlar
A.18.1.5 Reglamento de controles controles criptográficos se utilizan en el cumplimiento de todos los acuerdos
criptográficos
rel Evant, leyes y reglamentos.
Información A.18.2 revisiones de seguridad
Objetivo: garantizar que la seguridad informática es implementado y operado de acuerdo con las políticas y procedimientos de
la organización.
información Controlar
El enfoque de la organización para la gestión de seguridad de la información y su aplicación (es
A.18.2.1 Revisión independiente de la seguridad de ladecir, objetivos de control, controles, políticas y procedimientos para cesos seguridad de la
información pro) se revisará de forma independiente a intervalos planificados o cuando se
producen cambios significativos.

ISO / IEC 27001: 2013 (E)
Controlar
Los gestores deberán revisar periódicamente el cumplimiento del tratamiento y los

El cumplimiento A.18.2.2 con las políticas y procedimientos de información dentro de su área de responsabilidad con las políticas de
normas de seguridad
seguridad, las normas y cualquier otro requisito de seguridad.
Controlar
A.18.2.3 revisión de cumplimiento técnico Los sistemas de información deben ser revisados regularmente por el cumplimiento de las políticas de
seguridad de la información de la organización y el SDRA Standards.

ISO / IEC 27001: 2013 (E)
Bibliografía
[1] ISO / IEC 27002: 2013, Tecnología de la información - Técnicas de seguridad - Código de prácticas para los controles de seguridad de la
información
[2] ISO / IEC 27003, Tecnología de la información - Técnicas de seguridad - Información de gestión de seguridad de la guía de implementación
del sistema
[3] ISO / IEC 27004, Tecnología de la información - Técnicas de seguridad - gestión de la seguridad de la información -
Medición
[4] ISO / IEC 27005, Tecnología de la información - Técnicas de seguridad - la gestión de riesgos de seguridad de información
[5] ISO 31000: 2009, gestión de riesgos - Principios y directrices
[6] ISO / IEC Directivas, Parte 1, Consolidada ISO Suplemento - Procedimientos específicos de la norma ISO, 2012

ISO / IEC 27001: 2013 (E)
ICS 35.040
© ISO / IEC 2013 - Todos los derechos reservados

ISO IEC 27001 Tecnologia de La Informaci

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

ISO IEC 27001 Tecnologia de La Informaci

Cargado por

Copyright:

Formatos disponibles

ISO / IEC 27001

Ersetzt / Remplace / Sustituye a: Ausgabe / Edición: 2013-11

SN ISO / IEC 27001: 2005 Código ICS: 35.040

Tecnología de la información - Técnicas de seguridad - Sistemas

Ref Nr. / Nº de REF / N ref .: Herausgeber / Editeur / Editor Vertrieb / Distribución

SN ISO / IEC 27001: 2013 en SNV Schweizerische SNV Schweizerische 23

Tecnología de la información - Técnicas de seguridad

Tecnologías de la información - Técnicas de sécurité - Systèmes de gestión de

Número de referencia ISO

© ISO / IEC 2013

COPYRIGHT documento protegido

© ISO / IEC 2013

Oficina de Copyright de la norma ISO

ii © ISO / IEC 2013 - Todos los derechos reservados

Prefacio .................................................. .................................................. .................................................. .................................................. ................................ iv 0

Introducción .................................................. .................................................. .................................................. .................................................. ....... v 1

Alcance .................................................. .................................................. .................................................. .................................................. ......................... 1 2

Referencias normativas .................................................. .................................................. .................................................. ................................ 1 3

Términos y definiciones .................................................. .................................................. .................................................. ............................... 1 4

Contexto de la organización .................................................. .................................................. .................................................. ................. 1

5 Liderazgo .................................................. .................................................. .................................................. .................................................. .......... 2

6 Planificación .................................................. .................................................. .................................................. .................................................. ................. 3

7 Apoyo .................................................. .................................................. .................................................. .................................................. ................... 5

8 Operación .................................................. .................................................. .................................................. .................................................. ............. 7

9 Evaluación del desempeño .................................................. .................................................. .................................................. ......................... 7

10 Mejora .................................................. .................................................. .................................................. .................................................. .... 9

.................................................. .................................................. .................................................. ..................... 23

© ISO / IEC 2013 - Todos los derechos reservados iii

Técnico Conjunto ISO / IEC JTC 1, Tecnología Información,

iv © ISO / IEC 2013 - Todos los derechos reservados

0.2 Compatibilidad con otras normas de sistemas de gestión

© ISO / IEC 2013 - Todos los derechos reservados v

Tecnología de la información - Técnicas de seguridad - Sistemas de gestión de

4.1 La comprensión de la organización y su contexto

el resultado deseado (s) de su sistema de gestión de seguridad de la información. NOTA

4.2 La comprensión de las necesidades y expectativas de las partes interesadas

La organización debe determinar:

b) los requisitos de estas partes interesadas pertinentes a la seguridad de la información. NOTA

4.3 Determinación del alcance del sistema de gestión de seguridad de la información

© ISO / IEC 2013 - Todos los derechos reservados 1

Al determinar este alcance, la organización debe considerar:

a) los problemas externos e internos que se refiere el 4.1 ;

b) los requisitos indicados en el 4.2 ; y

El alcance deberá estar disponible como información documentada.

sistema de gestión de la seguridad 4.4 Información

5.1 Liderazgo y compromiso

g) la promoción de la mejora continua; y

La alta dirección debe establecer una política de seguridad de la información que:

un) que es apropiado para el propósito de la organización;

e) estará disponible como información documentada;

2 © ISO / IEC 2013 - Todos los derechos reservados

f) ser comunicada dentro de la organización; y

g) estar disponible para las partes interesadas, según sea apropiado.

5.3 roles organizacionales, responsabilidades y autoridades

La alta dirección debe asignar la responsabilidad y autoridad para:

6.1 acciones para abordar los riesgos y oportunidades

b) prevenir, o reducir, los efectos no deseados; y

c) lograr la mejora continua. La organización

d) acciones para abordar estos riesgos y oportunidades; y

2) evaluar la eficacia de estas acciones.

evaluación de riesgos de seguridad 6.1.2 Información

a) establece y mantiene los criterios de riesgo de seguridad de información que incluyen:

1) los criterios de aceptación del riesgo; y

2) los criterios para la realización de evaluaciones de riesgos de seguridad de la información;