Documentos de Académico
Documentos de Profesional
Documentos de Cultura
En vorliegenden der Schweizer Norma ist die ISO / IEC 27001: 2013 abgedruckt identisch. Dans la présente Norme
Suisse le ISO / IEC 27001: 2013 est reproduit identiquement. En esta norma ISO suiza / IEC 27001: 2013 se reproduce
de forma idéntica.
Für diese Norma ist das Normen-Komitee INB / NK 149 << >> Informationstechnologie des interdisziplinären Normenbereichs zuständig.
La présente norme est de la compétence du comité de normalización INB / NK 149 << Technologie de l'information >> Interdisciplinaire del Sector de Normalización.
El / NK 149 << Tecnología de la información comité de normalización INB >> del sector interdisciplinario se encarga de la presente norma.
Segunda edicion
01/10/2013
Contenido Página
Anexo A ( normativo) objetivos de control de referencia y los controles .................................................. ...................................... 10 Bibliografía ..................................................
Prefacio
La ISO (Organización Internacional de Normalización) e IEC (Comisión Electrotécnica Internacional del) forman el sistema
especializado para la normalización en todo el mundo. Los organismos nacionales que son miembros de ISO e IEC participan en el
desarrollo de Normas Internacionales a través de comités técnicos establecidos por la organización respectiva, para hacer frente a
determinados campos de actividad técnica. comités técnicos de ISO e IEC colaboran en campos de interés mutuo. Otras
organizaciones internacionales, gubernamentales y no gubernamentales, en coordinación con ISO e IEC, también participan en el
trabajo. En el campo de la tecnología de la información, ISO e IEC han establecido un comité técnico conjunto, ISO / IEC JTC 1.
Normas Internacionales se redactan de acuerdo con las reglas dadas en las Directivas ISO / IEC, Parte 2. La tarea principal del comité técnico
conjunto es preparar Normas Internacionales. Los Proyectos de Normas Internacionales adoptados por el comité técnico conjunto son
enviados a los organismos nacionales para su votación. La publicación como Norma Internacional requiere la aprobación por al menos el 75%
de los organismos nacionales con derecho a voto.
Se llama la atención a la posibilidad de que algunos de los elementos de este documento puede ser objeto de derechos de patente. ISO e IEC
no se hace responsable de la identificación de cualquiera o todos los derechos de patente. ISO / IEC 27001 fue preparada por el Comité
Esta segunda edición anula y sustituye a la primera edición (ISO / IEC 27001: 2005), que ha sido revisada técnicamente.
0 Introducción
0.1 General
Esta norma internacional se ha preparado para proporcionar los requisitos para establecer, implementar, mantener y mejorar continuamente un
sistema de gestión de seguridad de la información. La adopción de un sistema de gestión de seguridad de la información es una decisión
estratégica para una organización. El establecimiento e implementación de sistema de gestión de seguridad de la información de una
organización están influenciados por las necesidades de la organización y los objetivos, requisitos de seguridad, los procesos organizativos
utilizados y el tamaño y estructura de la organización. Se espera que todos estos factores influyen a cambiar con el tiempo. El sistema de
gestión de seguridad de la información preserva la confidencialidad, integridad y disponibilidad de la información mediante la aplicación de un
proceso de gestión de riesgos y da confianza a las partes interesadas que los riesgos se gestionan adecuadamente.
Es importante que el sistema de gestión de seguridad de la información es parte de e integrado con los procesos de la organización y la
estructura general de gestión y seguridad de la información que se considera en el diseño de procesos, sistemas de información y
controles. Se espera que una información de gestión de seguridad de la implementación del sistema se ampliará de acuerdo con las
necesidades de la organización. Esta Norma Internacional pueden utilizarla partes internas y externas para evaluar la capacidad de la
organización para cumplir los requisitos de seguridad de la información propios de la organización.
El orden en que se presentan los requisitos de esta norma internacional no refleja su importancia ni implica el orden en el que
han de ponerse en práctica. Los elementos de la lista se enumeran para fines de referencia.
ISO / IEC 27000 describe la visión de conjunto y el vocabulario de los sistemas de gestión de seguridad de la información, haciendo referencia a la
familia de sistemas de gestión de seguridad de la información de normas (incluyendo la norma ISO / IEC 27003 [ 2 ], ISO / IEC 27004 [ 3 ] e ISO / IEC
27005 [ 4 ]), con los términos y definiciones relacionadas.
Esta norma se aplica la estructura de alto nivel, los títulos de sub-cláusula idénticos, texto idéntico, términos comunes, y las
definiciones básicas definidas en el anexo SL de ISO Directivas / IEC, Parte 1, Consolidated ISO Suplemento, y por lo tanto mantiene
la compatibilidad con otro sistema de gestión normas que han adoptado el anexo SL.
Este enfoque común definido en el anexo SL será útil para aquellas organizaciones que optan por operar un sistema de gestión
que cumple con los requisitos de dos o más normas de sistemas de gestión.
1 Alcance
Esta norma especifica los requisitos para establecer, implementar, mantener y mejorar continuamente un sistema de gestión de
seguridad de la información en el contexto de la organización. Esta Norma Internacional también incluye los requisitos para la
evaluación y el tratamiento de los riesgos de seguridad de la información a medida de las necesidades de la organización. Los
requisitos establecidos en esta Norma Internacional son genéricos y se pretende que sean aplicables a todas las organizaciones,
independientemente del tipo, tamaño o naturaleza. Excluir ninguno de los requisitos especificados en las cláusulas 4 a 10 no es aceptable
cuando una organización afirma la conformidad con esta norma internacional.
2 Referencias normativas
Los siguientes documentos, en su totalidad o en parte, se hace referencia a normativamente en este documento y son indispensables para su
aplicación. Para las referencias con fecha, sólo se aplica la edición citada. Para las referencias sin fecha se aplica la última edición del documento
de referencia (incluyendo cualquier modificación). ISO / IEC 27000, Tecnología de la información - Técnicas de seguridad - Sistemas de gestión de
seguridad de la información - Información general y vocabulario
3 Términos y definiciones
A los efectos de este documento, los términos y definiciones dados en la Norma ISO / IEC 27000 se aplican.
4 Contexto de la organización
La organización debe determinar los problemas externos e internos que son relevantes para su propósito y que afecta a su capacidad para lograr
La determinación de estas cuestiones se refiere al establecimiento del contexto externo e interno de la organización considerada en la cláusula 5.3 de la
norma ISO 31000: 2009 [ 5 ].
un) las partes interesadas que son relevantes para el sistema de gestión de seguridad de la información; y
Los requisitos de las partes interesadas pueden incluir requisitos legales y reglamentarios y obligaciones contractuales.
La organización debe determinar los límites y la aplicabilidad del sistema de gestión de seguridad de la información para
establecer su alcance.
do) interfaces y las dependencias entre las actividades realizadas por la organización, y los que se llevan a cabo por otras
organizaciones.
La organización debe establecer, implementar, mantener y mejorar continuamente un sistema de gestión de seguridad de la
información, de conformidad con los requisitos de esta norma internacional.
5 Liderazgo
La alta dirección debe demostrar su liderazgo y compromiso con respecto a la información del sistema de gestión de la seguridad a
través de:
a) garantizar la política de seguridad de la información y los objetivos de seguridad de la información están establecidos y son compatibles
con la dirección estratégica de la organización;
b) garantizar la integración de los requisitos del sistema de gestión de seguridad de la información en los procesos de la organización;
c) velar por que los recursos necesarios para el sistema de gestión de seguridad de la información están disponibles;
d) comunicar la importancia de la gestión eficaz de la seguridad de la información y de ajustarse a los requisitos del sistema de
gestión de seguridad de la información;
e) asegurar que el sistema de gestión de seguridad de la información alcanza su resultado (s) que está destinado;
f) la dirección y el apoyo a las personas para contribuir a la eficacia del sistema de gestión de seguridad de la información;
h) el apoyo a otras funciones de gestión pertinentes para demostrar su liderazgo, ya que se aplica a sus áreas de responsabilidad.
5.2 política
b) incluye los objetivos de seguridad de la información (véase 6.2 ) O proporciona el marco para establecer los objetivos de seguridad de la información;
do) incluye un compromiso de cumplir con los requisitos aplicables relacionadas con la seguridad de la información; y
d) incluye un compromiso de mejora continua del sistema de gestión de seguridad de la información. La política de seguridad de la
información deberá:
La alta dirección debe asegurarse de que las responsabilidades y autoridades para las funciones relevantes para la seguridad informática son
asignados y comunicados.
a) asegurar que el sistema de gestión de seguridad de la información se ajusta a los requisitos de esta norma internacional; y
b) informar sobre el desempeño del sistema de gestión de seguridad de la información a la alta dirección. NOTA
La alta dirección también puede asignar responsabilidades y autoridades para informar sobre el desempeño del sistema de gestión de
seguridad de la información dentro de la organización.
6 Planificación
6.1.1 Generalidades
Cuando se planifica para el sistema de gestión de seguridad de la información, la organización debe considerar las cuestiones mencionadas
en el 4.1 y los requisitos indicados en el 4.2 y determinar los riesgos y las oportunidades que necesitan ser abordados a:
a) asegurar que el sistema de gestión de seguridad de la información puede alcanzar su resultado (s) que está destinado;
debe planificar:
e) cómo
1) integrar e implementar las acciones en sus procesos del sistema de gestión de seguridad de la información; y
La organización debe definir y aplicar un proceso de evaluación de riesgos de seguridad la información que:
b) asegura que las repetidas evaluaciones de riesgo de seguridad de información producen resultados consistentes, válidos y comparables;
1) aplicar el proceso de evaluación de riesgos de seguridad de información para identificar los riesgos asociados con la pérdida de
confidencialidad, integridad y disponibilidad de la información en el ámbito del sistema de gestión de seguridad de la información; y
1) evaluar las posibles consecuencias que resultaría si los riesgos identificados en 6.1.2 c) 1) fueron a materializarse;
1) comparar los resultados de análisis de riesgos con los criterios de riesgo establecidos en 6.1.2 un); y
La organización conservará información documentada sobre el proceso de evaluación de riesgos de seguridad de la información.
La organización debe definir y aplicar un proceso de tratamiento del riesgo seguridad de la información a:
a) seleccionar las opciones de tratamiento de la información sobre riesgos de seguridad apropiadas, teniendo en cuenta los resultados de la evaluación de riesgos;
b) determinar todos los controles que son necesarios para implementar la opción (s) de tratamiento de riesgos de seguridad de información elegido; NOTA
Las organizaciones pueden diseñar controles según sea necesario, o identificarlos de cualquier fuente.
c) comparación de los controles determinados en 6.1.3 b) anterior con los de Anexo A y verificar que no es necesario
los controles se han omitido; NOTA 1 Anexo A contiene una lista completa de los objetivos de control y controles. Los usuarios de esta norma se
dirigen a Anexo A para asegurarse de que no hay controles necesarios se pasan por alto. NOTA 2 objetivos de control se incluyen de forma implícita
en los controles seleccionados. Los objetivos de control y los controles listados en Anexo A no son exhaustivas y pueden ser necesarios objetivos de
d) producir una Declaración de aplicabilidad que contiene los controles necesarios (véase 6.1.3 b) y c)) y la justificación de las
inclusiones, si se implementan o no, y la justificación de las exclusiones de controles de Anexo A ;
f) obtener la aprobación del plan de tratamiento de riesgos de seguridad de la información y la aceptación de los riesgos de seguridad de la información residuales
propietarios de los riesgos.
La organización conservará información documentada sobre el proceso de tratamiento de los riesgos de seguridad de la información. NOTA
La evaluación de los riesgos de seguridad de la información y proceso de tratamiento en esta norma se alinea con los principios y directrices
genéricas previstas en la norma ISO 31000 [ 5 ].
La organización debe establecer objetivos de seguridad de la información en las funciones y niveles pertinentes. Los objetivos de seguridad de
la información deberá:
c) tener en cuenta los requisitos de seguridad de la información aplicable, y los resultados de la evaluación y tratamiento de riesgos;
d) ser comunicada; y
La organización conservará información documentada sobre los objetivos de seguridad de la información. Al planear la forma de lograr
f) lo que se hará;
i) cuando se completará; y
7 Apoyo
7.1 Recursos
La organización debe determinar y proporcionar los recursos necesarios para el establecimiento, implementación, mantenimiento y
mejora continua del sistema de gestión de seguridad de la información.
7.2 Competencia
La organización debe:
a) determinar la competencia necesaria de la persona (s) que hace el trabajo bajo su control que afecta a su rendimiento seguridad de la
información;
b) garantizar que dichas personas son competentes en la base en la educación, la formación o la experiencia;
c) en su caso, tomar acciones para adquirir la competencia necesaria, y evaluar la eficacia de las acciones tomadas; y
acciones aplicables pueden incluir, por ejemplo: el suministro de capacitación a, la tutoría, o la reasignación de los empleados
actuales; o la contratación o contratación de personas competentes.
7.3 conciencia
Las personas que realizan un trabajo bajo el control de la organización debe tener en cuenta:
b) su contribución a la eficacia del sistema de gestión de seguridad de la información, incluyendo los beneficios de rendimiento de la
seguridad mejorada de la información; y
c) las consecuencias de que no cumple con los requisitos del sistema de gestión de seguridad de la información.
7.4 Comunicación
La organización debe determinar la necesidad de comunicaciones internas y externas pertinentes para el sistema de gestión de seguridad
de la información, incluyendo:
b) cuando comunicarse;
d) el cual comunicará; y
7.5.1 Generalidades
b) documentado información determinada por la organización por ser necesarios para la eficacia del sistema de gestión de
seguridad de la información. NOTA
El alcance de la información documentada para un sistema de gestión de seguridad de la información puede diferir de una organización
a otra debido a:
un) identificación y descripción (por ejemplo, un título, fecha, autor, o número de referencia);
b) formato (por ejemplo, el idioma, la versión del software, gráficos) y medios de comunicación (por ejemplo, papel, electrónicos); y
Información documentada requerida por el sistema de gestión de seguridad de la información y por esta norma internacional se
deben controlar para asegurar:
un) que está disponible y adecuado para su uso, donde y cuando sea necesario; y
b) que está protegido adecuadamente (por ejemplo, de pérdida de confidencialidad, uso incorrecto o pérdida de la integridad).
Para el control de la información documentada, la organización debe responder a las siguientes actividades, según corresponda:
f) retención y la disposición.
Información documentada de origen externo, que la organización determina que son necesarios para la planificación y
operación del sistema de gestión de seguridad de la información, se identificó como apropiada y controlada. NOTA
El acceso implica una decisión sobre la autorización para ver sólo la información documentada, o el permiso y la autoridad
para ver y cambiar la información documentada, etc.
8 Funcionamiento
La organización debe planificar, ejecutar y controlar los procesos necesarios para cumplir los requisitos de seguridad de la información, y para poner en
práctica las acciones determinadas en 6.1 . La organización también debe implementar planes para lograr los objetivos de seguridad de la información en
determinados 6.2 .
La organización debe mantener la información documentada en la medida necesaria para tener confianza en que los procesos se han llevado a
cabo como estaba previsto.
La organización debe controlar los cambios planificados y revisar las consecuencias de los cambios no deseados, la adopción de medidas para mitigar los
efectos adversos, según sea necesario.
La organización debe asegurarse de que los procesos externalizados son determinadas y controladas.
La organización debe llevar a cabo las evaluaciones de riesgos de seguridad de información a intervalos planificados o cuando se proponen o se producen
cambios significativos, teniendo en cuenta los criterios establecidos en el 6.1.2 un). La organización debe retener la información documentada de los
La organización debe retener la información documentada de los resultados del tratamiento de los riesgos de seguridad de la información.
Evaluación 9 Rendimiento
La organización debe evaluar el rendimiento de la seguridad de la información y la eficacia del sistema de gestión de seguridad
de la información. La organización debe determinar:
a) lo que necesita ser monitorizado y medido, incluyendo los procesos de seguridad de la información y los controles;
b) los métodos para el seguimiento, la medición, análisis y evaluación, según sea aplicable, para asegurar resultados válidos; NOTA
Los métodos seleccionados deben producir resultados comparables y reproducibles sean considerados válidos.
La organización debe retener la información adecuada y documentada como evidencia de los resultados de seguimiento y medición.
La organización debe llevar a cabo auditorías internas a intervalos planificados para proporcionar información sobre si el sistema de gestión de
seguridad de la información:
a) cumple
organización debe:
c) planificar, establecer, implementar y mantener un programa (s) de auditoría, incluyendo la frecuencia, los métodos, las responsabilidades, los
requisitos de planificación y presentación de informes. El programa (s) de auditoría deberá tener en cuenta la importancia de los procesos en
cuestión y los resultados de auditorías anteriores;
e) seleccionar los auditores y la realización de auditorías que garanticen la objetividad y la imparcialidad del proceso de auditoría;
g) conservar la información documentada como prueba del programa (s) de auditoría y los resultados de la auditoría.
La alta dirección debe revisar el sistema de gestión de seguridad de la información de la organización a intervalos planificados para
asegurarse de su conveniencia, adecuación y eficacia. La revisión por la dirección debe incluir la consideración de:
b) los cambios en cuestiones externas e internas que son relevantes para el sistema de gestión de seguridad de la información;
do) retroalimentación sobre el rendimiento de seguridad de la información, incluyendo las tendencias en:
Las salidas de la revisión por la dirección deben incluir decisiones relacionadas con las oportunidades de mejora continua y de cualquier necesidad
de cambios en el sistema de gestión de seguridad de la información. La organización conservará información documentada como evidencia de los
10 Mejora
b) evaluar la necesidad de actuar para eliminar las causas de no conformidad, con el fin de que no vuelva a ocurrir o se producen en otros lugares, por:
1) revisar la no conformidad;
e) realizar cambios en el sistema de gestión de seguridad de la información, si es necesario. Las acciones correctivas deben
ser apropiadas a los efectos de las no conformidades encontradas. La organización conservará información documentada
La organización debe mejorar continuamente la conveniencia, adecuación y eficacia del sistema de gestión de seguridad de la
información.
Anexo A
(normativo)
Los objetivos de control y los controles listados en Tabla A.1 se derivan directamente de y alineada con los enumerados en ISO / IEC 27002:
2013 [ 1 ], Las cláusulas 5 a 18 y se van a utilizar en el contexto de cláusula 6.1.3 .
Objetivo: Proporcionar orientación y apoyo a la gestión de seguridad de la información, de acuerdo con los requerimientos del negocio y
las leyes y reglamentos pertinentes.
Controlar
A.5.1.1 Las políticas de seguridad infor- Un conjunto de políticas de seguridad de la información se definirá, aprobado por la
mación Administración, publicar y comunicar a los empleados y partes externas relevantes.
Controlar
A.5.1.2 Revisión de los CIES POLI de Las políticas de seguridad de la información deben ser revisados a intervalos planificados
seguridad de la información o si se produjeran cambios significativos para asegurar su conveniencia, adecuación y
eficacia.
A.6.1.1 información y responsabilidades Todas las responsabilidades de seguridad de la información se definirán y asigna- do.
A.6.1.2 La segregación de funciones Controlar deberes en conflicto y áreas de responsabilidad deben estar separados a reducir las
oportunidades de ción o mal uso de los activos de la organización modifi- no autorizado o
involuntario.
Controlar
A.6.1.3 Contacto con auto- ridades
Se mantendrán los contactos apropiados con las autoridades pertinentes.
Controlar
A.6.1.4 El contacto con los grupos de intereses los contactos adecuados con los grupos de intereses especiales u otros foros de seguridad no
especiales está en especial- y asociaciones profesionales serán mantenidos.
proyectos Controlar
seguridad de la información en la gestión de
A.6.1.5 seguridad de la información se dirigirá en dirección de proyectos, independientemente
del tipo de proyecto.
Controlar
política de dispositivo móvil A.6.2.1 Una política de apoyo y medidas de seguridad serán adoptadas para gestionar los riesgos
introducidos mediante el uso de dispositivos móviles.
Controlar
A.6.2.2 El teletrabajo Una política de apoyo y medidas de seguridad se aplicarán para proteger la información
visitada, procesada o almacenada en los sitios de teletrabajo.
Controlar
Controlar
A.7.1.2 Términos y condiciones de Los acuerdos contractuales con los empleados y contratistas deben indicar sus
empleo responsabilidades y de la organización para la seguridad de la información.
Controlar
Gestión A.7.2.1 responsabilidades Gestión deberá exigir que todos los empleados y contratistas para aplicar seguridad de la
información de acuerdo con las políticas y procedimientos establecidos por la
organización.
Controlar
conciencia de seguridad de la Todos los empleados de la organización y, en su caso, res contratistas relevantes recibirán la
A.7.2.2 información, la educación y la educación sobre el adecuado y la capacitación y actualizaciones regulares en las políticas y
formación procedimientos de la organización, como relevantes para su función de trabajo.
Controlar
Proceso disciplinario A.7.2.3 Habrá un proceso disciplinario formal y comunicado en su sitio para tomar medidas
contra los empleados que han cometido una violación de la seguridad de la información.
Controlar
Terminación A.7.3.1 o cambio de empleo las responsabilidades de seguridad de la información y las obligaciones que permanecen
responsabilidades válidas después de la terminación o cambio de empleo se definirán, com- municated al
empleado o contratista y ejecutadas.
Objetivo: Identificar los activos de la organización y definir las responsabilidades de protección adecuados.
Controlar
A.8.1.1 Inventario de activos Activos asociados a las instalaciones de procesamiento de información y la información deben
ser identificados y un inventario de estos bienes serán establecimiento y el mantenimiento.
Controlar
A.8.1.2 La propiedad de activos
Los activos mantenidos en el inventario serán propiedad.
Controlar
A.8.1.3 El uso aceptable de los activos Se identificarán las reglas para el uso aceptable de la información y de los activos asociados a
las instalaciones de procesamiento de información y de información, documentados e
implementados.
Controlar
A.8.1.4 retorno de los activos Todos los empleados y usuarios externos del partido deberán devolver todos los activos
de la organización en su posesión a la terminación de su empleo, contrato o acuerdo.
Objetivo: asegurar que la información reciba un nivel adecuado de protección de acuerdo con su importancia para la
organización.
Controlar
Clasificación A.8.2.1 de informa- ción La información se clasificará en términos de requisitos legales, el valor, la
criticidad y sensibilidad a la divulgación o modificación no autorizada.
Controlar
A.8.2.2 Etiquetado de informa- ción Un conjunto apropiado de procedimientos para el etiquetado de información deberá ser
desarrollado e implementado de acuerdo con el esquema de clasificación de la información
adoptado por la organización.
Controlar
A.8.2.3 Manejo de activos Los procedimientos para el manejo de los activos deberán desarrollarse y implementado de
acuerdo con el esquema de clasificación de la información adoptado por la organización.
Objetivo: Para evitar la divulgación no autorizada, modificación, eliminación o destrucción de la información almacenada en los medios de comunicación.
Controlar
Gestión de A.8.3.1 obligan a quitarse los medios Procedimientos se aplicarán para la gestión de los medios de comunicación obligan a quitarse
capaces capaces de acuerdo con el esquema de clasificación adoptado por la organización.
Controlar
Eliminación de los medios A.8.3.2 Los medios de comunicación deberán ser desechados de forma segura cuando ya no sea necesario,
utilizando procedimientos formales.
Controlar
A.8.3.3 medios físicos trans fer Los medios que contienen información estarán protegidos contra unauthor- izada acceso, uso
indebido o la corrupción durante el transporte.
política de control de acceso A.9.1.1 Controlar Se establecerá una política de control de acceso, documentado y revisado en base a
los requisitos de seguridad y de información de negocios.
Objetivo: garantizar el acceso de usuarios autorizados y prevenir el acceso no autorizado a sistemas y servi- cios.
Controlar
El registro de usuarios A.9.2.1 y cancelación de la Un proceso de registro del usuario y de-registro formal se llevará a cabo para permitir
matrícula
la asignación de derechos de acceso.
Controlar
A.9.2.2 El acceso del usuario provisionalmente ing Un proceso formal de provisión de acceso del usuario se llevará a cabo para asignar o revocar los
derechos de acceso para todo tipo de usuario a todos los sistemas y servicios.
Controlar
Gestión de derechos de acceso A.9.2.3 La asignación y uso de los derechos de acceso privilegiados serán restringidas y
privile- gios
controladas.
Controlar
Controlar
A.9.2.5 Revisión de los derechos de acceso de
usuario Los propietarios de activos deberán revisar los derechos de acceso de los usuarios a intervalos regulares.
Controlar
Los derechos de acceso de todos los empleados y los usuarios parte externa a las instalaciones
La eliminación A.9.2.6 o el ajuste de los derechos de de procesamiento de información y de información deberán ser retirados después de la
acceso
terminación de su empleo, contrato o acuerdo, o se ajustan al cambio.
Controlar
A.9.3.1 Uso de la información secreta Los usuarios estarán obligados a seguir las prácticas de la organización en el uso de la
autenti- cación
información de autenticación secreta.
Controlar
restricción de acceso a la
A.9.4.1 El acceso a las funciones de información y sistema de aplicación se limitará de
información
acuerdo con la política de control de acceso.
Controlar
A.9.4.2 inicio de sesión seguro proce- dimientos Cuando lo requiera la política de control de acceso, el acceso a los sistemas y aplicaciones se
controla mediante un procedimiento de conexión segura.
Controlar
A.9.4.3 sistema de manage- ment sistemas de gestión de contraseñas deben ser interactivas y se asegurarán de
contraseña
contraseñas de calidad.
Controlar
A.9.4.4 El uso de programas privilegiados El uso de programas de utilidades que podrían ser capaces de anular los controles del
dad util- sistema y de las aplicaciones será restringido y estrechamente controlada.
Controlar
A.9.4.5 control de acceso al código fuente
pro- grama El acceso al código fuente del programa estará restringido.
A.10 Criptografía
A.10.1 controles criptográficos
Objetivo: Para garantizar el uso adecuado y eficaz de la criptografía para proteger la confidencialidad, ticidad y / o integridad de la
información autenti-.
Controlar
La administración de claves A.10.1.2 Una política sobre el uso, la protección y la duración de las claves criptográficas se
desarrolló e implementó a través de todo su ciclo de vida.
Objetivo: Para prevenir el acceso no autorizado física, daño e interferencia a las instalaciones de procesamiento de información y la
información de la organización.
Controlar
A.11.1.1 perímetro de seguridad perímetros de seguridad se definirán y se utilizan para proteger áreas que contienen los servicios
física de información y procesamiento de la información, ya sea sensibles o críticas.
controles de entrada físicas A.11.1.2 Controlar Las áreas seguras estarán protegidos por controles de entrada apropiadas para garantizar que
sólo el personal autorizado se permite el acceso.
Controlar
A.11.1.3 Protección de oficinas, habitaciones e La seguridad física para oficinas, salas e instalaciones deberá estar diseñado y aplicado.
instalaciones
Controlar
A.11.1.4 La protección contra amenazas La protección física contra los desastres naturales, ataques maliciosos o accidentes debe
externas mentales y
ambientales ser diseñado y aplicado.
Controlar
A.11.1.5 El trabajo en áreas seguras Procedimientos para trabajar en las áreas de seguridad deberán ser diseñados y aplicados.
Controlar
Los puntos de acceso tales como las áreas de entrega y de carga y otros puntos en los que
A.11.1.6 áreas de entrega y carga personas no autorizadas podrían entrar los locales deben ser controladas y, si es posible, aislado
de instalaciones de procesamiento de información para evitar el acceso no autorizado.
Equipo A.11.2
Objetivo: Para evitar la pérdida, daño, robo o el compromiso de los activos y la interrupción de las operaciones de la organiza- ción.
Controlar
A.11.2.1 emplazamiento y la protección del El equipo deberá estar situado y protegido para reducir los riesgos de las amenazas
equipo ambientales y los riesgos y oportunidades para el acceso indebido.
Controlar
utilidades A.11.2.2 Apoyando El equipo debe ser protegido de fallas de energía y otros ruptions dis- causados por
fallas en el apoyo a los servicios públicos.
Controlar
A.11.2.3 la seguridad de cableado Energía y telecomunicaciones cableado que transporta datos o apoyando actividades de gestión de
servicios de información deberá estar protegido contra interceptación, interferencia o daños.
Controlar
Nance A.11.2.4 Equipo nimiento El equipo debe mantenerse correctamente para asegurar su continua disponibilidad e
integridad.
Controlar
La eliminación de los activos A.11.2.5 Equipos, información o software no se tendrán fuera de las instalaciones sin
autorización previa.
Controlar
A.11.2.6 seguridad de los equipos y activos Garantía se aplica a los activos fuera de las instalaciones, teniendo en cuenta los diferentes riesgos
ISES fuera de PREM
de trabajar fuera de las instalaciones de la organización.
Controlar
A.11.2.7 La eliminación segura o la reutilización de Todos los elementos del equipo que contiene los medios de almacenamiento deberán ser verificados para
los equipos asegurar que los datos sensibles y software con licencia ha sido eliminado o sobrescrito de forma segura
antes de su eliminación o reutilización.
Controlar
equipos de usuario desatendida Los usuarios deberán asegurarse de que el equipo desatendido tiene la protección adecuada.
A.11.2.8
Controlar
A.11.2.9 Claro escritorio y la política de pantalla se adoptará una política de escritorio limpio para los papeles y medios de almacenamiento extraíbles y
transparente una política clara para la pantalla de instalaciones de procesamiento de información.
Controlar
A.12.1.1 procedimientos operativos procedimientos de operación deberán ser documentados y puestos a disposición de todos los usuarios que
documentados
lo necesiten.
Controlar
A.12.1.2 Gestión del cambio Los cambios en la organización, los procesos de negocio, la información pro instalaciones y
sistemas que afectan deberá ser controlado seguridad de la información cessing.
Gestión de la capacidad A.12.1.3 Controlar El uso de los recursos será supervisado, se ajusta y proyecciones de las futuras
necesidades de capacidad para asegurar el rendimiento sis- tema requerido.
Controlar
A.12.1.4 Separación de desa- rrollo, Desarrollo, prueba y entornos operativos se sepa- clasificados para reducir los
pruebas y entornos riesgos de acceso o cambios no autorizados en el entorno operacional.
operativos
Objetivo: Para asegurar que las instalaciones de procesamiento de información y la información están protegidos contra el malware.
Controlar
Controles A.12.2.1 contra las mercancías mal- Detección, prevención y recuperación de controles para proteger contra el malware se
aplicarán, en combinación con el conocimiento del usuario apropiado.
copia de seguridad de información A.12.3.1 copias de seguridad de la información, software y del sistema imágenes serán tomadas y analizadas
regularmente de acuerdo con una política de copia de seguridad acordado.
Controlar
A.12.4.1 registro de eventos grabación de registros de eventos de las actividades del usuario, excepciones, fallas y eventos de
seguridad infor- mación deberán ser producidos, mantenidos y revisados con regularidad.
Controlar
Protección A.12.4.2 de registro de informa- ción Registro de instalaciones y registrar información estará protegido contra la manipulación y
acceso no autorizado.
Controlar
A.12.4.3 administrador y los registros del administrador del sistema y las actividades del operador del sistema deberán ser registrados y
operador
los registros protegidos y regularmente revisados.
la sincronización del reloj A.12.4.4 Controlar Los relojes de todos los sistemas de procesamiento de información pertinentes dentro de una
organización o dominio de seguridad se sincronizan a una fuente de tiempo de referencia GLE pecado.
Controlar
Instalación A.12.5.1 de soft- ware en los Los procedimientos deberán ser implementadas para controlar la instalación de soft- ware en los
sistemas operativos
sistemas operativos.
Controlar
Controlar
Restricciones A.12.6.2 sobre la instalación de se establecen e implementan las reglas que rigen la instalación de software
soft- ware
de los usuarios.
Objetivo: Para minimizar el impacto de las actividades de auditoría en los sistemas operativos.
Controlar
Información A.12.7.1 controles de auditoría de requisitos y las actividades relacionadas con la verificación de los sistemas de fun- cional de auditoría
sistemas deberán ser cuidadosamente planificadas y acordadas para reducir al mínimo las interrupciones en los
procesos de negocio.
Objetivo: Para garantizar la protección de la información en redes y sus instalaciones de apoyo de información procesa- miento.
Controlar
A.13.1.1 controles de red Las redes deberán ser gestionados y controlados para proteger la información en los sistemas y
aplicaciones.
Controlar
Controlar
A.13.1.3 La segregación en las obras Net- Grupos de servicios de información, usuarios y sistemas de información estarán
separados en las redes.
Objetivo: Mantener la seguridad de la información transferida dentro de una organización y con cualquier entidad externa.
Controlar
políticas de transferencia de información Formales de transferencia de políticas, procedimientos y controles deben estar en su lugar para
A.13.2.1 y proce- dimientos proteger la transferencia de información a través del uso de todo tipo de instalaciones de comunicación.
Controlar
Acuerdos A.13.2.2 sobre la transferencia de Acuerdos deberán dirigirse a la transferencia segura de informa- ción comercial entre
informa- ción
la organización y las partes externas.
La mensajería electrónica A.13.2.3 Controlar Información involucrada en la mensajería electrónica se apro- tamente protegida.
divulgación Controlar
La confidencialidad A.13.2.4 o acuerdos de no Se identificarán los requisitos para los acuerdos de confidencialidad o de no divulgación que
reflejen las necesidades de la organización para la protección de la informa- ción,
regularmente revisados y documentados.
Objetivo: Para asegurarse de que la seguridad informática es una parte integral de los sistemas de información a través de todo el ciclo de vida.
Esto también incluye los requisitos para los sistemas de información que prestan servicios a través de redes públicas.
Controlar
A.14.1.1 Información de análisis de requisitos Los requisitos relacionados con la seguridad de la información se incluirán en los requisitos
de seguridad y las para los nuevos sistemas de información o mejoras a los sistemas de información existentes.
especificaciones
Controlar
A.14.1.2 Protección de servicios de Información involucrada en servicios de aplicaciones que pasan a través de redes públicas
aplicaciones en las redes deberá estar protegido contra uso fraudulento, contrato de pute dis- autorizado y la
públicas
divulgación y modificación.
aplicaciones Controlar
Objetivo: Para asegurarse de que la seguridad de información se diseña e implementa dentro del ciclo de vida de desarrollo de sistemas de
información.
Controlar
política de desarrollo seguro A.14.2.1 Reglas para el desarrollo de software y sistemas serán esta- cado y aplicado a
la evolución de la organización.
Controlar
procedimientos de control de cambios del sistema Los cambios en los sistemas dentro del ciclo de desarrollo se Controlados por el uso de
A.14.2.2
procedimientos formales de control de cambios.
Controlar
A.14.2.3 Revisión técnica de las aplicaciones Cuando se cambian las plataformas que operan, aplica- ciones críticas de negocio deben ser
después de operar cambios revisados y probados para asegurar que no hay impacto adverso sobre las operaciones o la
en la plataforma
seguridad de la organización.
Controlar
Restricciones A.14.2.4 sobre cambios en los Las modificaciones a los paquetes de software se pondrán trabas, limitados a los cambios necesarios y
paquetes de software
todos los cambios deberán ser controlados estrictamente.
Controlar
niería principios A.14.2.5 sistema Se establecerán principios para sistemas seguros de ingeniería, documentados, mantenidos
seguro inge- y aplicados a cualquier esfuerzo de implementación del sistema de información.
Controlar
A.14.2.6 entorno de desarrollo seguro Las organizaciones deberán establecer y proteger adecuadamente los entornos de desarrollo
seguras para el desarrollo del sistema y los esfuerzos de inte- gración que cubren todo el ciclo
de vida de desarrollo del sistema.
Controlar
desa- rrollo A.14.2.7 Outsourced La organización debe supervisar y controlar la actividad de desarrollo de sistemas
con fuente OUT-.
Controlar
La seguridad del sistema A.14.2.8 de Exámenes Pruebas de la funcionalidad de seguridad se llevará a cabo durante el desa- rrollo.
Controlar
Sistema de pruebas de aceptación A.14.2.9 los programas de pruebas de aceptación y los criterios correspondientes, serán esta- cado para los
nuevos sistemas de información, actualizaciones y nuevas versiones.
Objetivo: Para garantizar la protección de los activos de la organización que sea accesible por los proveedores.
Controlar
la política de seguridad de la información A.15.1.1 requisitos de seguridad de la información para la mitigación de los riesgos asocia- dos con el
de relaciones con los proveedores acceso del proveedor de bienes de la organización, será acordado con el proveedor y
documentados.
Controlar
Todos los requisitos de seguridad de la información pertinentes serán establecidos y acordados con
A.15.1.2 Abordar la seguridad dentro mentos cada proveedor que pueden acceder, procesar, almacenar, comunicar, o proporcionar componentes
proveedor Agreement
de infraestructura de TI para, información de la organización.
Controlar
Información A.15.1.3 y cadena de suministro Acuerdos con los proveedores incluirán requisitos para hacer frente a los riesgos de seguridad
tecnología de comuni- cación asociados con la información de los servicios de tecnología de la información y las comunicaciones
y la cadena de suministro de productos.
Objetivo: Mantener un nivel acordado de seguridad de la información y la prestación de servicios en línea con los acuerdos pro- veedor.
Controlar
A.15.2.1 Control y revisión de los servicios de Las organizaciones deberán controlar regularmente, revisión y auditoría de proveedores de prestación
proveedores
de servicios.
Controlar
A.15.2.2 Gestión de cambios en los servicios de mejora de las políticas de seguridad de la información existentes, procedimientos y controles, serán
proveedores administrados, teniendo en cuenta la criticidad de la información empresarial, los sistemas y los
procesos involucrados y re-evaluación de riesgos.
Controlar
Responsabilidades y procedimientos Se establecerán las responsabilidades y los procedimientos de gestión para asegurar una
A.16.1.1 respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información.
Controlar
A.16.1.2 informar sobre los eventos de seguridad de los eventos de seguridad de la información deben ser reportados a través de canales de gestión
información
adecuadas tan pronto como sea posible.
Información Controlar
Se requiere que los empleados y contratistas que utilizan los sistemas y servicios de
debilidades de seguridad de información A.16.1.3 deinformación de la organización para observar y reportar cualquier debilidad seguridad de la
Controlar
Evaluación de A.16.1.4 y decisión sobre los los eventos de seguridad de la información deben ser evaluados y se decidirá si han de ser
eventos de seguridad infor- clasificados como abolladuras seguridad de la información inci-.
mación
seguridad Controlar
Respuesta A.16.1.5 a informa- ción incidentes deincidentes de seguridad de la información deberán recibir una respuesta de acuerdo con los
procedimientos documentados.
Controlar
A.16.1.6 Aprender de los incidentes de Conocimiento obtenido de análisis y la resolución de información segu- ridad incidentes se
seguridad de la información utilizarán para reducir la probabilidad o el impacto de los incidentes en el futuro.
A.16.1.7 Reunión de pruebas Controlar La organización debe definir y aplicar procedimientos para la identifica- ción,
recolección, adquisición y conservación de la información, que puede servir como
prueba.
Objetivo: la continuidad seguridad de la información deberá estar integrada en los sistemas de gestión de continuidad de negocio de la organización.
Controlar
Planificación A.17.1.1 continuidad seguridad de La organización debe determinar sus requisitos de seguridad de la información y la continuidad
la información de la gestión de seguridad de la información en situaciones adversas, por ejemplo, durante una
crisis o desastre.
Controlar
Controlar
Controlar
A.17.2.1 La disponibilidad de las instalaciones de instalaciones de procesamiento de información se llevarán a cabo con redundancia suficiente para
procesamiento de información
establecidos satisfacer los requisitos de disponibilidad.
A.18 cumplimiento
El cumplimiento de los requisitos legales A.18.1 y contractuales
Objetivo: Para evitar violaciones de las obligaciones legales, estatutarias, reglamentarias o contractuales relacionadas con la infor- mación de seguridad y de
cualquier requisito de seguridad.
Controlar
Controlar
Protección de los registros A.18.1.3 Controlar Los registros deben ser protegidos de la pérdida, destrucción, falsificación, acceso no
autorizado y la liberación no autorizada, de conformidad con los requisitos legislatory,
reglamentarios, contractuales y de negocios.
Controlar
A.18.1.4 de privacidad y protección de la Privacidad y protección de la información de identificación personal que se garantizará como
información personal identifica- se requiere en la legislación y la regulación en su caso relevante.
poder
Controlar
A.18.1.5 Reglamento de controles controles criptográficos se utilizan en el cumplimiento de todos los acuerdos
criptográficos
rel Evant, leyes y reglamentos.
Información A.18.2 revisiones de seguridad
Objetivo: garantizar que la seguridad informática es implementado y operado de acuerdo con las políticas y procedimientos de
la organización.
información Controlar
A.18.2.1 Revisión independiente de la seguridad de ladecir, objetivos de control, controles, políticas y procedimientos para cesos seguridad de la
información pro) se revisará de forma independiente a intervalos planificados o cuando se
producen cambios significativos.
Controlar
Controlar
A.18.2.3 revisión de cumplimiento técnico Los sistemas de información deben ser revisados regularmente por el cumplimiento de las políticas de
seguridad de la información de la organización y el SDRA Standards.
Bibliografía
[1] ISO / IEC 27002: 2013, Tecnología de la información - Técnicas de seguridad - Código de prácticas para los controles de seguridad de la
información
[2] ISO / IEC 27003, Tecnología de la información - Técnicas de seguridad - Información de gestión de seguridad de la guía de implementación
del sistema
[3] ISO / IEC 27004, Tecnología de la información - Técnicas de seguridad - gestión de la seguridad de la información -
Medición
[4] ISO / IEC 27005, Tecnología de la información - Técnicas de seguridad - la gestión de riesgos de seguridad de información
[6] ISO / IEC Directivas, Parte 1, Consolidada ISO Suplemento - Procedimientos específicos de la norma ISO, 2012
ICS 35.040