Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Abstract— This document intends to present the II. ¿QUÉ ES LA NTC ISO/IEC ISO27001:2013?
integration of the NTC ISO/IEC ISO 27001: 2013 standard
with the information security and privacy model. MSPI is ISO 27001 es una norma internacional emitida por la
enabled for the Ministry of Information and Organización Internacional de Normalización (ISO) y
Communication Technologies, for the appropriate adoption describe cómo gestionar la seguridad de la información en una
of the reference framework of the IT architecture in empresa. La revisión más reciente de esta norma fue publicada
government entities, evidencing the articulation of this en 2013 y ahora su nombre completo es ISO/IEC 27001:2013.
standard with the model. La primera revisión se publicó en 2005 y fue desarrollada en
base a la norma británica BS 7799-2 [1].
Resumen—El presente documento pretende dar a conocer la Esta Norma especifica los requisitos para establecer,
integración que tiene la norma NTC ISO/IEC ISO 27001:2013 implementar, mantener y mejorar continuamente un sistema
con el modelo de seguridad y privacidad de la información- de gestión de la seguridad de la información en el ámbito de
MSPI establecido por el Ministerio de las Tecnologías de la una organización. Esta norma incluye los requerimientos para
Información y las Comunicaciones, para la adecuada adopción realizar la valoración y el tratamiento de riesgos de seguridad
del Marco de Referencia de Arquitectura de TI en entidades de la información, conforme las necesidades de una
gubernamentales, evidenciando la articulación de esta norma organización. Los requisitos establecidos en esta Norma son
con el modelo. genéricos y están previstos para ser aplicables a todas las
organizaciones, independientemente de su tipo, tamaño o
Índice de Términos — ISO: Organización Internacional de naturaleza. Cuando una organización declara conformidad con
estándares, MSPI: Modelo de Seguridad y Privacidad de la esta norma, no es aceptable excluir cualquiera de los requisitos
Información, NTC: Norma Técnica Colombiana, SGSI: especificados de los numerales 4 al 10 [2].
Sistema de Gestión de Seguridad de la Información.
Como se observa en la Fig.1 la seguridad de la información
I. INTRODUCTION realiza un tratamiento transversal de los ámbitos de gestionar
El modelo de seguridad y privacidad de la información (en el riesgo, continuidad del negocio, ciberseguridad y tecnología
adelante MSPI) es una recopilación de buenas prácticas de la información.
nacionales e internacionales, el cual provee los lineamientos
requeridos para realizar el diagnostico, planificación,
implementación, gestión y mejoramiento continuo, el cual
adopta la norma técnica colombiana ISO 27001 en su versión
2013 (en adelante ntc ISO/IEC ISO 27001:2013), la cual
suministra los requisitos para implementar y mantener un
sistema de gestión de seguridad de la información.
El presente documento busca identificar la integración de la
norma ISO 27001:2013 con las veintiún guías elaboradas por
el MinTIC, las cuales tienen como base las directrices,
políticas y dominios de control necesarios para realizar una
adecuada gestión de los riesgos de seguridad de la información
en una organización, preservando la confidencialidad,
integridad y disponibilidad de la información.
Universidad Piloto de Colombia- Benavides Carranza Julio César, Integración de la norma ISO 27001:2013 con el MSPI 2
2
https://www.mintic.gov.co/gestionti/615/articles-
5482_Modelo_de_Seguridad_Privacidad.pdf
los factores contando con la aprobación y guía de la alta dirección.
Universidad Piloto de Colombia- Benavides Carranza Julio César, Integración de la norma ISO 27001:2013 con el MSPI 3
• Procedimiento de transferencia de
Para las entidades es importante contar con políticas de información Relaciones con los proveedores
seguridad ya que son ellas quienes guiaran el comportamiento • Procedimiento para el tratamiento de la seguridad en los
personal y profesional de los funcionarios, contratistas o acuerdos con los proveedores
terceros sobre la información obtenida, generada o procesada Adquisición, desarrollo y mantenimiento de sistemas de
por la entidad, así mismo las políticas permitirán que la información:
entidad trabaje bajo las mejores prácticas de seguridad y • procedimiento adquisición, desarrollo y mantenimiento
cumpla con los requisitos legales a los cuales esté obligada a de software
cumplir la entidad [5]. • Procedimiento de control software
Una política general puede ser reforzada por políticas Gestión de incidentes de seguridad de la información
específicas para la implementación de los controles de • procedimiento de gestión de incidentes de seguridad de la
seguridad de la información, el MSPI genera brinda estas información
políticas como como un conjunto de recomendaciones el cual Aspectos de seguridad de la información de la gestión de
puede estar sujeto a cambios de acuerdo con las necesidades la continuidad de negocio
organización, pero al compararlas con la NTC/IEC ISO • Procedimiento de gestión de la continuidad de negocio
27001:2013 se articula con las sección “5.2 Política”, ya que
está en la columna vertebral del todo el SGSI, debido a que es
un requisito indispensables para el establecimiento de SGSI en D. Guía 4 - Roles y responsabilidades
una organización. Al implementar el modelo de seguridad de la información
en un a entidad, inicialmente se debe establecer la estructura
C. Guía 3 - Procedimiento de Seguridad de la Información organizacional la cual determine las roles y responsabilidades
para el desarrollo de las actividades que se requieran.
El conjunto de procedimientos que se presentará a El mayor aporte que genera una definición de roles es que
continuación constituye una base sólida para que cada entidad se tendrán establecidas las tareas que realizará cada uno de los
genere sus documentaciones propias dependiendo de sus miembros del equipo del MSPI, dejando un campo muy
características particulares, sus activos de información, sus pequeño a que se presenten imprecisiones en referencia a las
procesos y los servicios de información que pueda prestar [6]. responsabilidades que cada personaje tiene.
Se tomaron como base los 14 numerales de controles de Partiendo de este punto, las entidades tendrán asegurado
seguridad de la información definidos en la norma ISO/IEC que cada actividad establecida dentro de la etapa de
27001:2013, para definir los procedimientos de seguridad planeación del MSPI, tenga un responsable claro y de igual
imprescindibles, para una óptima adopción e implementación forma que cada uno de los miembros del equipo responsable
de un SGSI en las entidades. de la ejecución entiendan claramente sus roles y
responsabilidades [7].
Seguridad del recurso humano Esta guía se articula con la sección “5.3 Roles,
• Procedimiento de capacitación y sensibilización del responsabilidades y autoridades en la organización” [8],
personal teniendo como premisa la importancia de esta estructura para
• Procedimiento de ingreso y desvinculación del la alta dirección.
personal Gestión de activos
• Procedimiento de identificación y clasificación de
activos Control de acceso: E. Guía 5 - Gestión Clasificación de Activos
• Procedimiento para ingreso seguro a los sistemas de La clasificación de activos de activos de información se
información debe realizar acorde con el alcance definido para la
• Procedimiento de gestión de usuarios y implementación del MSPI (es decir a los procesos en los que
contraseñas Criptografía se implementara seguridad de la información) la gestión de
• Procedimiento de controles criptográficos activos debe estar alineada con el dominio 8 Gestión de
• Procedimiento de gestión de llaves criptográficas Activos del anexo A de la norma ISO 27001:2013, y la guía de
Seguridad física y del entorno: controles del modelo de seguridad y privacidad de la
• Procedimiento de control de acceso físico información [9].
• Procedimiento de protección de activos Esta guía contempla los lineamientos generales establecidos
• Procedimiento de retiro de activos por el MSPI, alineados con el dominio 8 y el objetivo de control
• Procedimiento de mantenimiento de equipos A.8. “Gestión de Activos” en sus controles A.8.1
Seguridad de las operaciones “Responsabilidad por los activos” y A.8.2 “Clasificación de la
• Procedimiento de gestión de cambios información” brindados por la norma NTC ISO/IEC
• Procedimiento de gestión de capacidad 27001:2013, para garantizar el cumplimiento del inventario de
• Procedimiento de separación de ambientes activos, propiedad de los activos, uso aceptable de los activos,
• Procedimiento de protección contra códigos maliciosos devolución de activos, clasificación de la información,
• Procedimiento de aseguramiento de servicios en la etiquetado de la información y el adecuado manejo de activos
red Seguridad de las comunicaciones de información.
F. Guía 6 - Gestión Documental General de la Nación [10].
Esta guía tiene por objetivo presentar una relación de la Al efectuar la revisión de esta guía, brinda los lineamientos
Normatividad Técnica Colombiana – NTC de consulta, de establecidos por el archivo general de la nación, para la
acuerdo con los lineamientos establecidos por el Archivo elaboración de la política de documento electrónico y
conservación digital, los cuales se complementan con la norma
Universidad Piloto de Colombia- Benavides Carranza Julio César, Integración de la norma ISO 27001:2013 con el MSPI 4
NTC ISO/IEC 27001:2013, en el Dominio 7 “Soporte”, cumplimiento de los controles y objetivos establecidos en la
subdominio 7.5 “Información documentada”, en donde se presente norma o dada su naturaleza lo requieren.
establecen los controles adecuados para la creación,
actualización y conservación de la información requerida por
el SGSI. I. Guía 9 - Indicadores Gestión de Seguridad de
la Información
G. Guía 7 - Gestión de Riesgos El objetivo de esta guía es establecer la creación de
indicadores de gestión, está orientada principalmente en la
A través de esta guía se busca orientar a las Entidades a medición de efectividad, eficiencia y eficacia de los
gestionar los riesgos de Seguridad de la información basado en componentes de implementación y gestión definidos en el
los criterios de seguridad (Confidencialidad, Integridad, modelo de operación del marco de seguridad y privacidad de
Disponibilidad) buscando la integración con la Metodología la información, indicadores que servirán como insumo para el
de riesgos del DAFP. componente de mejora continúa permitiendo adoptar
Ayudar a que las Entidades logren vincular la identificación decisiones de mejora. Los objetivos de estos procesos de
y análisis de Riesgos de la Entidad hacia los temas de la medición en seguridad de la información son [13]:
Seguridad de la Información [11].
De acuerdo con lo señalado en la Guía de Gestión del • Evaluar la efectividad de la implementación de los
Riesgo del DAFP (en adelante, la guía), se tienen tres etapas controles de seguridad
generales para la gestión del riesgo a partir de las cuales se • Evaluar la eficiencia del Modelo de Seguridad y
soportan cada una de las actividades que permiten a la entidad Privacidad de la Información al interior de la entidad.
tener una administración de riesgos acorde con las necesidades • Proveer estados de seguridad que sirvan de guía en las
de esta, como son: revisiones del Modelo de Seguridad y Privacidad de la
Información, facilitando mejoras en seguridad de la
• Compromiso de las alta y media dirección información y nuevas entradas a auditar.
• Conformación de un Equipo MECI o de un grupo • Comunicar valores de seguridad al interior de la entidad.
interdisciplinario • Servir como insumos al plan de análisis y tratamiento de
• Capacitación en la metodología riesgos.
Las cuales están orientados a una adecuada gestión del Esta guía se articula con el Dominio 9 “Evaluación del
riesgo y se articulan con los lineamientos establecidos en los desempeño”, subdominio 9.1 “Seguimiento, medición, análisis
dominios: 6 “Planificación”, subdominio 6.1 “Acciones para y evaluación” de la norma NTC ISO/IEC 27001:2013, en
tratar riesgos y oportunidades” y 8 “Operación”, subdominios: donde brinda las pautas en las entidades distritales para
8.2 “Valoración de riesgos de seguridad de la información” y establecer los indicadores para medir y gestionar el SGSI, con
8.3 “Tratamiento de riesgos de seguridad de la información” el finde evaluar su funcionamiento y desempeño.
de la norma NTC ISO/IEC 27001:2013.
Las entidades deben contar con un plan de continuidad de N. Guía 14 - Plan de comunicación,
Tecnología de Información, que le permita a la organización sensibilización, capacitación
continuar con sus operaciones, en caso de presentarse fallas o
inconvenientes en sus sistemas que le impidan el normal Este documento tiene como objetivo establecer
funcionamiento de los servicios de TI, de esta manera una lineamientos para la construcción y mantenimiento del plan de
correcta implementación del plan deberá permitir restaurar en capacitación, sensibilización y comunicación de la seguridad
el menor tiempo posible las operaciones de la entidad. de la información, para así asegurar que este, cubra en su
totalidad los funcionarios de la Entidad, asegurando que cada
El análisis de impacto del negocio –BIA por sus siglas en uno cumpla con sus roles y responsabilidades de seguridad y
inglés (Bussiness Impact Analysis), está determinado por la privacidad de la información dentro de las entidades del
construcción de un plan de continuidad del negocio para cada Estado, se busca:
organización, que le permita a cada entidad continuar
funcionando a pesar de un desastre ocurrido [15]. • Definir los temas para la capacitación en seguridad de la
Esta guía se trabaja en conjunto con la guía “Guía 10 - información, de acuerdo con el público objetivo.
Continuidad de Negocio” ya que toma en cuenta el dominio 8 • Establecer la metodología que les permita evidencias
“Operación”, y articula con el objetivo de control A.17 cuales son las necesidades de capacitación para la entidad.
“Aspectos de Seguridad de la Información y la guía técnica • Construir materiales para sensibilización y entrenamiento.
colombiana GTC-ISO/IEC 27002, para realizar una adecuada • Evaluar, medir y cuantificar, si el programa
elaboración del BIA el cual contenga las directrices de implementado genera impacto en el desarrollo de las
seguridad que pueden ser útiles en condiciones de emergencia actividades de la Entidad [17].
y ayuden a mitigar el impacto producido por la interrupción de Esta guía se articula con las secciones: 7.3 “Toma de
los servicios de alta criticidad son indispensables para el conciencia” y 7.4. “Comunicación” de la norma NTC
negocio. ISO/IEC 27001:2013, para el fortalecimiento de la cultura
organizacional en Seguridad de la Información, debido a que
el talento humano, quien normalmente suele ser la pieza débil
L. Guía 12 - Seguridad en la Nube dentro de una organización por el desconocimiento de las
Este documento, presenta los lineamientos y aspectos a normas que existen dentro de ella.
tener en cuenta para el aseguramiento de la información en la
nube – Cloud; que las Entidades del Estado deben seguir, de O. Guía 15 – Auditoria
tal manera que se conserve la seguridad de los datos en este
tipo de ambientes. La correcta implementación del servicio de La presente guía tiene como finalidad, indicar los
información en la nube de la entidad reducirá el riesgo de que procedimientos de Auditoria en el proceso de verificación de
se presenten incidentes de seguridad que afecten la imagen de la implementación del modelo de seguridad y privacidad de la
la entidad y generen un daño irreparable [16]. información.
Esta guía se enfoca en una adecuada gestión del riesgo y se Por lo tanto, se convierte en una herramienta sistemática,
articulan con los lineamientos establecidos en los dominio: 6 independiente, objetiva, documentada, práctica y medible
“Planificación”, subdominio 6.1 “Acciones para tratar riesgos sobre el cumplimiento de los objetivos de la entidad y es allí
y oportunidades” y 8 “Operación”, subdominios: 8.2 donde la mejora continua tiene un papel fundamental.
“Valoración de riesgos de seguridad de la información” y 8.3 Las auditorias apoyan la toma de decisiones frente al nivel de
“Tratamiento de riesgos de seguridad de la información” y implementación y complementa el ciclo de mejora continua
aplicación del dominio de control A.10 “Controles en relación con el ciclo PHVA [18].
Criptográficos” de la norma NTC ISO/IEC 27001:2013,para Esta guía se articula con la sección 9.2 “Auditoría Interna”,
garantizar el cumplimiento del inventario de activos, para verificar la conformidad de los requisitos establecidos en
propiedad de los activos, uso aceptable de los activos, la entidad para su SGSI y los requisitos de la norma NTC
devolución de activos, clasificación de la información, ISO/IEC 27001:2013.
etiquetado de la información, adecuado manejo de activos de
información y posterior tratamiento de los riesgo que conlleve P. Guía 16 - Evaluación de Desempeño
el uso de estos activos al compartir, tratar, intercambiar El propósito de este documento es ofrecer una guía de
servicios e información en la nube. recomendaciones para la correcta evaluación del desempeño
de la Seguridad y Privacidad de la Información de la Entidad
M. Guía 13 - Evidencia Digital (En actualización) que previamente ha planeado, implementado y gestionado el
No se puede relacionar esta guía debido a que no está MSPI.
disponible para consulta en el portal web del MinTIC.
El cual consta de tres etapas [19]:
• Revisión y seguimiento del MSPI
• Actividades generales de seguimiento y revisión
• Documentación de la etapa de evaluación del
desempeño
establecen las acciones correctivas y preventivas avaladas por Estos documentos de referencia se articulan con el dominio
la alta dirección de control A.13.1 “gestión de la seguridad de las redes” de la
norma NTC ISO/IEC 27001:2013, para salvaguardar los
Q. Guía 17 - Mejora continua principios de confidencialidad, disponibilidad e integridad de
la información en las redes, debido al agotamiento del
La aplicación de esta fase le permitirá a la Entidad a partir
Protocolo IPV4 en todo el mundo, e incluyendo los beneficios
de los resultados de la Fase de Gestión, corregir de ser
de seguridad que ofrece el protocolo IPV6.
necesario, los errores cometidos, así como mejorar las
acciones llevadas a cabo en las fases anteriores, llevando a
cabo el plan de mejoramiento continuo de seguridad y T. Guía 21 - Gestión de Incidentes
privacidad de la información [20]. El objetivo principal del Modelo de Gestión de Incidentes
Esta guía se articula con la subsección 10.2 “mejora de seguridad de la información es tener un enfoque
continua” de la norma NTC ISO/IEC 27001:2013, es la estructurado y bien planificado que permita manejar
continuación de resultados de la auditoría, el análisis de los adecuadamente los incidentes de seguridad de la información
procesos auditados, donde se establecen las acciones [24].
correctivas y preventivas avaladas por la alta dirección, para Esta guía se articula con el dominio de control A.16
establecer las mejoras que puedan encontrarse para el sistema “Gestión de incidentes de Seguridad de la Información” de la
e iniciar nuevamente el ciclo PHVA. norma NTC ISO/IEC 27001:2013, el cual se alinea con el
establecimiento de roles y responsabilidades, la generación de
R. Guía 18 - Lineamientos terminales de áreas financieras los reportes de eventos y debilidades de seguridad de la
de entidades públicas información, para posteriormente efectuar la evaluación de
Este documento presenta los requerimientos mínimos en estos eventos, y generar las acciones para su mitigación,
seguridad de la información e informática que deben cumplir retroalimentación y en caso de requerirse efectuar la debida
las entidades públicas de orden nacional y orden territorial en cadena de custodia para procesos judiciales.
cuanto a los equipos o terminales móviles utilizados para la
realización de transacciones financieras con recursos públicos, U. Modelo de Seguridad y Privacidad
a través de los portales de internet que las entidades bancarias Es un documento que contiene los lineamientos de buenas
disponen para tal fin [21]. prácticas en Seguridad y Privacidad para las entidades del
Esta guía se articula con los dominios de control: A.9 Estado.
“Control de acceso”, A.10 “Criptografía”, A.11 “Seguridad Este modelo pretende facilitar la comprensión del proceso
física y del entorno, controles: A.11.1 Áreas seguras, A11.2.1 de construcción de una política de privacidad por parte de la
Ubicación y protección de los equipos”, A.12.2 “protección entidad, que permita fijar los criterios que seguirán para
contra códigos maliciosos”, A.12.5 “Control operacional”, proteger la privacidad de la información y los datos, así como
A.13.1 “gestión de la seguridad de las redes” de la norma NTC de los procesos y las personas vinculadas con dicha información
ISO/IEC 27001:2013, para salvaguardar los principios de [25].
confidencialidad, disponibilidad e integridad a la hora de El modelo de seguridad y privacidad de la información
realizar y/o usar software para transacciones financieras. contempla un ciclo de operación que consta de cinco (5) fases,
las cuales permiten que las entidades puedan gestionar
S. Guía 19 - Aseguramiento de protocolo IPv4_IPv6 y adecuadamente la seguridad y privacidad de sus activos de
Guía 20 - Transición IPv4_IPv6 información. En el presente Modelo de Seguridad y Privacidad
de la Información se contemplan 6 niveles de madurez, que
Documento de referencia sobre lineamientos de seguridad
enIPv6, que sea referente para abordar el plan de diagnóstico, corresponden a la evolución de la implementación del modelo
de operación [25].
plan de implementación y monitoreo del proceso de transición
de IPv4 aIPv6 en cada una de las Entidades del Estado, para Estas (5) fases, se componen de objetivos, metas y
herramientas (las guías descritas anteriormente), para
adoptar el protocolo IPv6 con base en las características de
Confidencialidad, Integridad, Disponibilidad y Privacidad consolidar la seguridad y privacidad de la información en un
sistema de gestión sostenible para las entidades.
de la información; a fin de generar mecanismos de
direccionamiento IP de acceso seguro [22].
Documento un marco de referencia para facilitar el proceso
a. Fase de diagnóstico - etapas previas a la implementación
de transición de IPv4a IPv6, que permita orientar a las
Esta fase busca identificar el estado actual de la entidad frente
Entidades del Gobierno y a la sociedad en general, en el
a los requerimientos del Modelo de Seguridad y Privacidad
análisis, la planeación, la implementación y las pruebas de
de la Información. Como se observa en la fig.3 los
funcionalidad del protocolo IPv6, con el fin de incentivar el
lineamientos específicos que comprende esta fase.
proceso de adopción y despliegue del protocolo IPv6en el
país [23].
Fig.3 Etapas previas a la implementación3
b. Fase de planificación
Esta fase se elabora a partir de los resultados de la etapa
anterior y continuar con la construcción del plan de seguridad
y privacidad de la información, usando una metodología de
gestión de los riesgos. Esta debe apuntar a todos los procesos
de la entidad. Como se observa en la fig.4 los lineamientos
específicos que comprende esta fase. Fig.5 Fase de implementación5
Procesos que impactan directamente la consecución de La
guía recomienda tener en cuenta: objetivos misionales, d. Fase de evaluación de desempeño
procesos, servicios, sistemas de información, ubicaciones Esta fase permite efectuar el seguimiento y monitoreo del
físicas, terceros relacionados, e interrelaciones del Modelo MSPI, teniendo en cuenta los resultados de los indicadores de
con otros procesos [25]. seguridad de la información generados para medir la
eficiencia de las acciones implantadas en el modelo. Como se
observa en la fig.6 los lineamientos específicos que
comprende esta fase.
3
https://www.mintic.gov.co/gestionti/615/articles-
5482_Modelo_de_Seguridad_Privacidad.pdf 5
4
El contenido de la figura 3 fue tomada de la Norma ISO IEC 27001 El contenido de la figura 4 fue tomada de la Norma ISO IEC 27001 Capítulo
Capítulos 4, 5, 6, 7, que permite orientar como se desarrolla la planificación 8, que permite orientar como se desarrolla la implementación del MSPI.
6
del MSPI. El contenido de la figura 5 fue tomada de la Norma ISO IEC 27001
Capítulo 9, que permite orientar como se desarrolla la evaluación de
desempeño del MSPI.
Tabla I (Continuación)
Modelo de
Seguridad y
NTC ISO/IEC ISO 27001:2013
Privacidad de la
Información
Guía 5 - Gestión
Clasificación de Dominio 8 Gestión de Activos
Fig.7 Fase de mejoramiento continúo7 Activos
Esta guía es un consolidado de las guías anteriormente Guía 6 - Gestión Dominio 7 “Soporte”, subdominio 7.5
vistas, en donde se compila la información relevante de cómo Documental “Información documentada”,
está desarrollado el MSPI de acuerdo con las fases
Dominios
establecidas y los lineamientos obligatorios requeridos por
6 “Planificación”, subdominio 6.1
este, además sirve como documento de resumen y los
“Acciones para tratar riesgos,
lineamientos establecidos en la norma NTC ISO/IEC
oportunidades”
27001:2013, la cual se ha discriminado en cada guía para el Guía 7 - Gestión
8 “Operación”, subdominios: 8.2
fortalecimiento de la Seguridad y privacidad de la de Riesgos
“Valoración de riesgos de seguridad de
Información, contribuyendo a una fácil adopción por parte de
la información”
las entidades gubernamentales para la estandarización de un
8.3 “Tratamiento de riesgos de
único modelo.
seguridad de la información”.
V. CONCLUSIONES Guía 8 - Controles
114 controles establecidos en la
de Seguridad de la
norma NTC ISO/IEC 27001:2013
Los argumentos expuestos en el desarrollo de este trabajo Información
permiten presentar las siguientes conclusiones: Guía 9 -
1. Se evidenció la integración entre el Modelo de Seguridad Dominio 9 “Evaluación del
Indicadores
y Privacidad de la Información con la norma Técnica desempeño”, subdominio
Gestión de
Colombiana ISO/IEC 27001:2013. 9.1 “Seguimiento, medición, análisis y
Seguridad de la
2. Se identificó que las directrices, dominios y controles Información evaluación”
establecidos en la norma Técnica Colombiana ISO/IEC
27001:2013, se encuentran adoptadas cien por ciento con el Dominio 8
Modelo de Seguridad y Privacidad de la Información, como se Guía 10 - “Operación”,
observa en la tabla I. Continuidad de Objetivo de control A.17 “Aspectos de
Negocio Seguridad de la Información de la
Tabla I Gestión de Continuidad de Negocio”
Comparativo entre el MSPI y la norma ISO/IEC 27001:2013 Dominio 8
Modelo de Guía 11 - Análisis “Operación”,
Seguridad y de Impacto de Objetivo de control A.17 “Aspectos de
NTC ISO/IEC ISO 27001:2013
Privacidad de la Negocio Seguridad de la Información de la
Información Gestión de Continuidad de Negocio”
Guía 1 -
Metodología de 6 “Planificación”, subdominio 6.1
Sección N°4
pruebas de “Acciones para tratar riesgos,
efectividad oportunidades”
Guía 2 - Política 8 “Operación”, subdominios: 8.2
Sección 5.2 Política Guía 12 -
General MSPI v1 “Valoración de riesgos de seguridad de
Seguridad en la
la información”
Guía 3 - Nube
8.3 “Tratamiento de riesgos de
Procedimiento de Anexo A , 14 numerales de controles de
seguridad de la información” y
Seguridad de la seguridad de la información
aplicación del dominio de control A.10
Información
“Controles Criptográficos”
Requisito n°5.3
Guía 4 - Roles y
Roles, responsabilidades y autoridades
responsabilidades
en la organización”