ESTÁNDAR INTERNACIONAL ISO 27001:2013

Traducción no oficial – Uso académico Segunda edición: 2013-10-01

Realizada por: Ing. Juan Carlos Angarita C., M.E.

TECNOLOGÍAS DE LA INFORMACIÓN
TÉCNICAS DE SEGURIDAD
SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
REQUISITOS

TABLA DE CONTENIDO

PREFACIO 1
0 INTRODUCCIÓN 2
0.1 General 2
0.2 Compatibilidad con otros sistemas de gestión 2
1 ALCANCE 3
2 REFERENCIAS NORMATIVAS 3
3 TÉRMINOS Y DEFINICIONES 3
4 CONTEXTO DE LA ORGANIZACIÓN 3
4.1 Entendiendo la organización y su contexto 3
4.2 Entendiendo las necesidades y expectativas de las partes interesadas 3
4.3 Determinando el alcance del sistema de gestión de seguridad de la información 3
4.4 Sistema de gestión de seguridad de la información 4
5 LIDERAZGO 4
5.1 Liderazgo y compromiso 4
5.2 Política 4
5.3 Roles, responsabilidades y autoridades en la organización 4
6 PLANEACIÓN 5
6.1 Acciones para atender riesgos y oportunidades 5
6.2 Objetivos de seguridad de la información y planes para alcanzarlos 6
7 SOPORTE 6
7.1 Recursos 6
7.2 Competencia 6
7.3 Conciencia 7
7.4 Comunicación 7
7.5 Información documentada 7
7.5.1 General 7
7.5.2 Creación y actualización 7
7.5.3. Control de información documentada 8
8 OPERACIÓN 8
8.1 Planeación y control operacional 8
8.2 Evaluación de riesgos en seguridad de la información 8
8.3 Tratamiento de riesgos en seguridad de la información 8
9 EVALUACIÓN DEL DESEMPEÑO 9
9.1. Supervisión, medición, análisis y evaluación 9
9.2 Auditoría interna 9
9.3 Revisión por la dirección 9
10 MEJORA 10
10.1 No conformidades y acciones correctivas 10
10.2 Mejora continua 10

0 ISO 27001:2013 Traducción no oficial de uso académico

Autor: Ing. Juan Carlos Angarita C., M.E. (jcac2000@hotmail.com)
Prohibida su copia o reproducción no autorizada o su alteración en general
PREFACIO

ISO (La organización internacional para la estandarización) e IEC (la Comisión Nacional Electrotécnica) conforman el sistema
especializado por la estandarización global. Los organismos nacionales miembros de ISO y/o IEC participan en el desarrollo de
estándares internacionales a través de comités técnicos establecidos por la organización respectiva para atender campos
técnicos particulares. Los comités técnicos de la ISO y de IEC colaboran en campos de interés mutuo. Otras organizaciones
internacionales, gubernamentales y no gubernamentales, en alianza con ISO e IEC, también participan en ese trabajo. En el
campo de la tecnología de la información, ISO e IEC han establecido un comité técnico conjunto, ISO/IEC JTC 1.

Los estándares internaciones son diseñados de acuerdo con los lineamientos establecidos en las directivas ISO/IEC, parte 2.

La principal tarea de los comités técnicos conjuntos es preparar estándares internacionales. Los borradores de los estándares
internacionales adoptados por los comités técnicos conjuntos son circulados a los organismos nacionales para votación. La
publicación como estándar internacional requiere la aprobación de al menos el 75% de los miembros con derecho a voto.

Se debe tener en cuenta la posibilidad que algunos de los elementos de este documento pueden estar sujetos a derechos de
patente. ISO e IEC no serán responsables de identificar cualquiera de tales derechos.

La norma ISO 27001 fue preparada por el Comité Técnico Conjunto ISO/IEC JTC 1, tecnologías de la información, subcomité
SC 27, Técnicas de seguridad de TI.

Esta segunda edición cancela y reemplaza la primera edición (ISO/IEC 27001:2005), la cual ha sido revisada técnicamente.

1 ISO 27001:2013 Traducción no oficial de uso académico

Autor: Ing. Juan Carlos Angarita C., M.E. (jcac2000@hotmail.com)
Prohibida su copia o reproducción no autorizada o su alteración en general
0 INTRODUCCIÓN

0.1 General

Este estándar internacional ha sido preparado para especificar requisitos para establecer, implementar, mantener y mejorar de
manera continua un sistema de gestión de seguridad de la información (ISMS / SGSI). La adopción de un sistema de gestión de
seguridad de la información es una decisión estratégica para la organización. El establecimiento e implementación de un
sistema de gestión de seguridad de la información está influenciado por las necesidades y objetivos de la organización, sus
requisitos de seguridad, sus procesos organizacionales en uso y el tamaño y estructura de la organización. Se espera que estos
factores de influencia, cambien con el tiempo. El sistema de gestión de seguridad de la información preserva la confidencialidad,
la integridad y la disponibilidad de la información al aplicar un procesos de gestión del riesgo y otorgar confianza a las partes
interesadas sobre la adecuada gestión del riesgo.

Es importante tener en cuenta que el sistema de gestión de seguridad de la información es parte de y está integrado con los
procesos de la organización y la estructura general de gestión, y que la seguridad de la información es considerada en el diseño
de procesos, sistemas de información y los controles. Se espera que la implementación de un sistema de gestión de seguridad
de la información sea escalada según las necesidades de la organización. Este estándar internacional puede ser usado por
partes internas o externas para evaluar la capacidad de la organización para alcanzar los requisitos propios de la organización
en seguridad de la información.

El orden en el cual son presentados los requisitos de este estándar internacional no refleja su importancia o implica el orden en
el cual van a ser implementados. Los ítems en listas son enumerados únicamente por propósitos de referencia.

La norma ISO/IEC 27000 describe la visión general y el vocabulario de los sistemas de gestión de seguridad de la información,
con referencias a la familia de estándares en seguridad de la información (incluyendo ISO/IEC 27003, ISO/IEC 27004 e ISO/IEC
27005)

0.2 Compatibilidad con otros sistemas de gestión

Este estándar internacional aplica la estructura de alto nivel, títulos idénticos de sub cláusulas, textos idénticos, términos
comunes, y las definiciones centrales definidas en el Anexo SL de las directivas ISO/IEC, parte 1, suplemento consolidado ISO,
y por ello mantiene compatibilidad con otros estándares de sistemas de gestión que han adoptado el Anexo SL.

Este enfoque común definido en el Anexo SL es útil para aquellas organizaciones que escogen operar un único sistema de
gestión que cumple requisitos de dos o más estándares de sistemas de gestión.

2 ISO 27001:2013 Traducción no oficial de uso académico

Autor: Ing. Juan Carlos Angarita C., M.E. (jcac2000@hotmail.com)
Prohibida su copia o reproducción no autorizada o su alteración en general
TECNOLOGÍAS DE LA INFORMACIÓN - TÉCNICAS DE SEGURIDAD - SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN - REQUISITOS

1 ALCANCE

Este estándar internacional especifica los requisitos para establecer, implementar, mantener y mejorar de manera continua un
sistema de gestión de seguridad de la información dentro del contexto de la organización. Este estándar internacional también
incluye requisitos para la evaluación y tratamiento de riesgos de seguridad de la información de forma específica a las
necesidades de la organización. Los requisitos establecidos en este estándar internacional son genéricos con la intención de ser
aplicables a todas las organizaciones, de manera independiente a su tipo, tamaño o naturaleza. La exclusión de los requisitos
especificados en las cláusulas 4 a 10 no es aceptable cuando una organización clama la conformidad con este estándar
internacional.

2 REFERENCIAS NORMATIVAS

Los siguientes documentos, en todo o en parte, son referenciados normativamente en este documento y son indispensables
para su aplicación. Para referencias con fechas, solo la edición citada aplica. Para referencias sin fecha, aplica la última edición
del documento referenciado (incluyendo cualquier enmienda).

ISO/IEC 27000, tecnologías de la información – técnicas de seguridad – sistemas de gestión de seguridad de la información –
Visión general y vocabulario.

3 TÉRMINOS Y DEFINICIONES

Para los propósitos de este documento, aplican los términos y definiciones dados en la norma ISO/IEC 27001.

4 CONTEXTO DE LA ORGANIZACIÓN

4.1 Entendiendo la organización y su contexto

La organización debe determinar los factores externos e internos relevantes para sus fines y que afectan su capacidad de lograr
los resultados esperados del sistema de gestión de seguridad de la información.

Nota: La determinación de estos factores hace referencia al establecimiento del contexto externo e interno de la organización
según se considera en la cláusula 5.3 de ISO 31000:2009.

4.2 Entendiendo las necesidades y expectativas de las partes interesadas

La organización debe determinar:

a) Las partes interesadas que son relevantes al sistema de gestión de seguridad de la información; y
b) Los requisitos de esas partes interesadas, que sean relevantes a la seguridad de la información.

Nota: Los requisitos de las partes interesadas pueden incluir requisitos legales y regulatorios y obligaciones contractuales.

4.3 Determinando el alcance del sistema de gestión de seguridad de la información

La organización debe determinar los límites y aplicabilidad del sistema de gestión de seguridad de la información para
establecer su alcance.

Al determinar el alcance, la organización debe considerar:

3 ISO 27001:2013 Traducción no oficial de uso académico

Autor: Ing. Juan Carlos Angarita C., M.E. (jcac2000@hotmail.com)
Prohibida su copia o reproducción no autorizada o su alteración en general
a) Los factores externos e internos referidos en 4.1;
b) Los requisitos referidos en 4.2; y
c) Las interfaces y dependencias entre las actividades realizadas por la organización, y aquellas que son realizadas por otras
organizaciones.

El alcance debe estar disponible como información documentada.

4.4 Sistema de gestión de seguridad de la información

La organización debe establecer, implementar, mantener y mejorar de forma continua un sistema de gestión de seguridad de la
información, de acuerdo con los requisitos de este estándar internacional.

5 LIDERAZGO

5.1 Liderazgo y compromiso

La alta dirección debe demostrar liderazgo y compromiso con respecto al sistema de seguridad de la información, al:
a) Asegurar que se establecen la política de seguridad de la información y los objetivos de seguridad de la información, y son
compatibles con el direccionamiento estratégico de la organización;
b) Asegurar la integración de los requisitos del sistema de gestión de seguridad de la información con los procesos de la
organización;
c) Asegurar la disponibilidad de los recursos necesarios del sistema de gestión de seguridad de la información;
d) Comunicar la importancia de la gestión efectiva de la seguridad de la información y de la conformidad con los requisitos del
sistema de gestión de seguridad de la información;
e) Asegurar que el sistema de gestión de seguridad de la información alcanza sus resultados esperados;
f) Dirigir y soportar las personas, para contribuir a la eficacia del sistema de gestión de seguridad de la información;
g) Promover la mejora continua; y
h) Soportar otros roles relevantes de gestión para demostrar su liderazgo según aplique a sus áreas de responsabilidad.

5.2 Política

La alta dirección debe establecer una política de seguridad de la información que:

a) Sea apropiada al propósito de la organización;

b) Incluye los objetivos de seguridad de la información (6.2) o provee el marco para establecer los objetivos de seguridad de la
información;
c) Incluye un compromiso para satisfaces los requisitos aplicables relacionados con seguridad de la información; y
d) Incluye un compromiso para la mejora continua del sistema de gestión de seguridad de la información.

La política de seguridad de la información debe:

e) Estar disponible como información documentada;

f) Ser comunicada dentro de la organización; y
g) Estar disponible a las partes interesadas, según sea apropiado.

5.3 Roles, responsabilidades y autoridades en la organización

La alta dirección debe asegurar la asignación y comunicación de las responsabilidades y autoridades para los roles relevantes
para la seguridad de la información.

La alta dirección debe asignar responsabilidades y autoridades para:

a) Asegurar que el sistema de gestión de seguridad de la información es conforme con los requisitos de este estándar
internacional; y
b) Reportar el desempeño del sistema de gestión de seguridad de la información a la alta dirección.
4 ISO 27001:2013 Traducción no oficial de uso académico
Autor: Ing. Juan Carlos Angarita C., M.E. (jcac2000@hotmail.com)
Prohibida su copia o reproducción no autorizada o su alteración en general
Nota: La alta dirección puede también asignar responsabilidades y autoridades para el reporte del desempeño del sistema de
gestión de seguridad de la información dentro de la organización.

6 PLANEACIÓN

6.1 Acciones para atender riesgos y oportunidades

6.1.1. General

Cuando se realice la planeación del sistema de gestión de seguridad de la información, la organización debe considerar los
factores (4.1) y los requisitos (4.2) referidos para determinar los riesgos y oportunidades a ser tratados para:

a) Asegurar que el sistema de gestión de seguridad de la información alcance sus resultados esperados;
b) Prevenir o reducir efectos no deseados; y
c) Lograr la mejora continua.

La organización debe planear:

d) Acciones para tratar tales riesgos y oportunidades; y
e) Como:
1. Integrar e implementar tales acciones en sus procesos de gestión de seguridad de la información; y
2. Evaluar la eficacia de tales acciones.

6.1.2. Evaluación del riesgo en seguridad de la información

La organización debe definir y aplicar procesos de evaluación del riesgo de seguridad de la información que:

a) Establezcan y mantengan criterios de riesgos de seguridad de la información, los cuales incluyen:

1. Los criterios de aceptación del riesgo; y
2. Criterios para realizar las evaluaciones del riesgo en seguridad de la información;
b) Aseguren que evaluaciones repetitivas sobre la seguridad de la información, produzcan resultados consistentes, válidos y
comparables;
c) Identifiquen los riesgos de seguridad de la información:
1. Aplicar los procesos de evaluación del riesgo en seguridad de la información para identificar riesgos asociados con
pérdida de confidencialidad, integridad y disponibilidad de la información, dentro del alcance del sistema de gestión de
seguridad de la información; e
2. Identificar los propietarios del riesgo;
d) Analicen los riesgos en seguridad de la información:
1. Evaluar las potenciales consecuencias que podrían resultar si los riesgos identificados (6.1.2.c.1) se llegasen a
materializar;
2. Evaluar la probabilidad realística de la ocurrencia de los riesgos identificados; y
3. Determinar los niveles de riesgo;
e) Evalúan los riesgos en seguridad de la información:
1. Comparar los resultados del análisis del riesgo con los criterios establecidos (6.1.2.a); y
2. Priorizar el tratamiento de riesgo para los riesgos analizados.

La organización debe retener información documentada sobre los procesos de evaluación del riesgo en seguridad de la
información.

6.1.3. Tratamiento de los riesgos en seguridad de la información

La organización debe definir y aplicar un proceso de tratamiento de riesgos en seguridad de la información para:

a) Seleccionar las opciones apropiadas de tratamiento de riesgos en seguridad de la información, considerando los resultados
de la evaluación del riesgo;

5 ISO 27001:2013 Traducción no oficial de uso académico

Autor: Ing. Juan Carlos Angarita C., M.E. (jcac2000@hotmail.com)
Prohibida su copia o reproducción no autorizada o su alteración en general
b) Determinar todos los controles necesarios para implementar las opciones escogidas de tratamiento de riesgos en seguridad
de la información;
Nota: Las organizaciones pueden diseñar controles según se requiera o identificarlos de cualquier fuente.
c) Comparar los controles determinados (6.1.3.b) con aquellos indicados en el anexo A y verificar que no se han omitido
controles necesarios;
Nota 1: El Anexo A contiene una lista completa y amplia de objetivos de control y sus controles. Los usuarios de este
estándar internacional son dirigidos al Anexo A para asegurar que no se ignoran controles necesarios.
Nota 2: Los objetivos de control están implícitamente incluidos en los controles escogidos. Los objetivos de control y
controles incluidos en el Anexo A no son exhaustivos y puede ser necesario el uso de objetivos de control y controles
adicionales.
d) Producir una Declaración de Aplicabilidad que contenga los controles necesarios (6.1.3.b y c) y una justificación para su
inclusión, sea que los controles estén o no implementados, y la justificación para la exclusión de controles del Anexo A;
e) Formular un plan de tratamiento del riesgo en seguridad de la información; y
f) Obtener la aprobación - de los propietarios del riesgo residual - del plan de tratamiento del riesgo en seguridad de la
información y la aceptación del riesgo residual en seguridad de la información.

La organización debe retener información documentada sobre el proceso de tratamiento de riesgos en seguridad de la
información.

Nota: La evaluación del riesgo en seguridad de la información y su proceso de tratamiento en este estándar internacional está
en alineación con los principios y guías genéricas suministradas en ISO 31000.

6.2 Objetivos de seguridad de la información y planes para alcanzarlos

La organización debe establecer objetivos de seguridad de la información en las funciones y niveles relevantes.

Los objetivos de seguridad de la información deben:

a) Ser consistentes con la política en seguridad de la información;

b) Ser medibles (según su factibilidad);
c) Tener en cuenta los requisitos aplicables en seguridad de la información y los resultados de la evaluación del riesgo y el
tratamiento del riesgo;
d) Ser comunicados; y
e) Ser actualizados, según sea apropiado.

La organización debe retener información documentada de los objetivos en seguridad de la información.

Al realizar la planeación sobre cómo alcanzar sus objetivos en seguridad de la información, la organización debe determinar:

f) Que se va a hacer;
g) Que recursos se requieren;
h) Quien será el responsable;
i) Cuando será finalizada tal acción; y
j) Como se evaluarán los resultados.

7 SOPORTE

7.1 Recursos

La organización debe determinar y proveer los recursos necesarios para establecer, implementar, mantener y mejorar de forma
continua el sistema de gestión de seguridad de la información.

7.2 Competencia

La organización debe:
6 ISO 27001:2013 Traducción no oficial de uso académico
Autor: Ing. Juan Carlos Angarita C., M.E. (jcac2000@hotmail.com)
Prohibida su copia o reproducción no autorizada o su alteración en general
a) Determinar las competencias necesarias de las personas que realicen trabajos bajo su control que afecten su desempeño en
seguridad de la información;
b) Asegurar que estar personas sean competentes en términos de una educación, entrenamiento y experiencia, adecuados;
c) Cuando sea aplicable, emprender acciones para adquirir las competencias necesarias y evaluar la eficacia de las acciones
tomadas; y
d) Retener la información documentada apropiada como evidencia de la competencia.

Nota: Las acciones aplicables pueden incluir, por ejemplo: suministrar entrenamiento, guía, reasignación de personal, o contratar
las personas competentes.

7.3 Conciencia

Las personas realizando trabajos bajo el control de la organización deben ser conscientes de:

a) La política de seguridad de la información,

b) Su contribución a la eficacia del sistema de gestión de seguridad de la información, incluyendo los beneficios del mejor
desempeño de la gestión de seguridad de la información,
c) Las implicaciones de la no conformidad con el sistema de gestión de seguridad de la información.

7.4 Comunicación

La organización debe determinar la necesidad de las comunicaciones externas e internas, relevantes al sistema de gestión de
seguridad de la información, incluyendo:

a) Que comunicar,
b) Cuando comunicar,
c) Con quien comunicarse;
d) Quien deberá comunicar; y
e) Los procesos por los cuales la comunicación debe ser realizada.

7.5 Información documentada

7.5.1 General

El sistema de gestión de seguridad de la información de la organización debe incluir:

- Información documentada requerida por este estándar internacional, y

- Información documentada determinada por la organización como necesaria para la eficacia del sistema de gestión de
seguridad de la información.

Nota: La extensión de la información documentada del sistema de gestión de seguridad de la información puede diferir de una
organización a otra, debido a:

- El tamaño de la organización y el tipo de sus actividades, procesos, productos y servicios,

- La complejidad de los procesos y sus interacciones, y
- La competencia de las personas.

7.5.2 Creación y actualización

Al crear y actualizar información documentada, la organización debe asegurar un/una apropiada:

a) Identificación y descripción (ejemplo: título, fecha, autor o número de referencia),

b) Formato (ejemplo: lenguaje, versión del software, gráficos) y soporte (ejemplo: papel, electrónico), así como
c) La revisión y aprobación para su idoneidad y aplicabilidad.

7 ISO 27001:2013 Traducción no oficial de uso académico

Autor: Ing. Juan Carlos Angarita C., M.E. (jcac2000@hotmail.com)
Prohibida su copia o reproducción no autorizada o su alteración en general
7.5.3. Control de información documentada

La información documentada requerida por el sistema de gestión de seguridad de la información y por este estándar
internacional debe ser controlada para asegurar que:

a) Está disponible y es idónea para su uso, donde y cuando se necesite,

b) Está adecuadamente protegida (ejemplo: contra pérdidas de confidencialidad, uso inadecuado, o pérdida de integridad)

Para el control de la información documentada, la organización debe atender las siguientes actividades, según sea aplicable:

c) Distribución, acceso, recuperación y uso;

d) Almacenamiento y preservación, incluyendo la preservación de la legibilidad;
e) Control de cambios (por ejemplo: control de versiones); y
f) Retención y disposición.

La información documentada de origen externo, determinada por la organización como necesaria para la planeación y la
operación del sistema de gestión de seguridad de la información debe ser identificada, según sea apropiado, y controlada.

Nota: El acceso (a la información) implica una decisión acerca de los permisos para ver la información documentado, o el
permiso o autoridad para ver y cambiar la información documentada, etc.

8 OPERACIÓN

8.1 Planeación y control operacional

La organización debe planear, implementar y controlar los procesos necesarios para cumplir los requisitos de seguridad de la
información, y para implementar las acciones determinadas (6.1). La organización también debe implementar planes para
alcanzar los objetivos de seguridad de la información determinados (6.2)

La organización debe mantener información documentada en la extensión necesaria para asegurar que los procesos se realizan
en la forma planeada.

La organización debe controlar los cambios planeados y revisar las consecuencias de cambios no intencionales, tomando
acciones para mitigar cualquier efecto adverso, según sea necesario.

La organización debe asegurar que los procesos externalizados estén determinados y sean controlados.

8.2 Evaluación de riesgos en seguridad de la información

La organización debe realizar evaluaciones del riesgo en seguridad de la información a intervalos planeados o cuando se
propongan u ocurran cambios significativas, considerando los criterios establecidos (6.1.2.a)

La organización debe retener información documentada sobre los resultados de la evaluación del riesgo en seguridad de la
información.

8.3 Tratamiento de riesgos en seguridad de la información

La organización debe implementar el plan de tratamiento del riesgo

La organización debe retener información documentada sobre los resultados del tratamiento de riesgos en seguridad de la
información.

8 ISO 27001:2013 Traducción no oficial de uso académico

Autor: Ing. Juan Carlos Angarita C., M.E. (jcac2000@hotmail.com)
Prohibida su copia o reproducción no autorizada o su alteración en general
9 EVALUACIÓN DEL DESEMPEÑO

9.1. Supervisión, medición, análisis y evaluación

La organización debe evaluar el desempeño de la seguridad de la información y la efectividad del sistema de gestión de
seguridad de la información.

La organización debe determinar:

a) Las necesidades de supervisión y medición incluyendo los procesos y controles de seguridad de la información;
b) Los métodos para el supervisión, medición, análisis y evaluación, según sea aplicable, para asegurar resultados válidos;
Nota. Los métodos seleccionados deben producir resultados comparables y reproducibles para ser considerado válidos.
c) Cuando debe ser realizará el supervisión y medición;
d) Quien debe realizar el supervisión y medición;
e) Cuando deben ser analizados y evaluados los resultados del supervisión y medición; y
f) Quien debe analizar y evaluar esos resultados.

La organización debe retener la información documentada apropiada como evidencia de los resultados de supervisión y de
medición.

9.2 Auditoría interna

La organización debe realizar auditorías internas a intervalos planificados para suministrar información respecto a si el sistema
de gestión de seguridad de la información:

a) Es conforme a:
1) Los requisitos propios de la organización para su sistema de gestión de seguridad de la información; y
2) Los requisitos de este estándar internacional;
b) Está implementado y mantenido de forma eficaz.

La organización debe:
c) Planear, establecer, implementar y mantener programa(s) de auditoría, y frecuencia, métodos, responsabilidades, requisitos
de planeación y de reporte. El(los) programa(s) de auditoría debe(n) tener en cuenta la importancia de los procesos de
interés y los resultados de auditorías anteriores;
d) Definir los criterios de auditoría y el alcance de cada auditoría;
e) Seleccionar auditores y realizar auditorías que aseguren la objetividad e imparcialidad del proceso de auditoría;
f) Asegurar que los resultados de las auditorías son reportados a la unidad de gestión relevante; y
g) Retener información documentada como evidencia de la implementación del programa de auditoría y sus resultados.

9.3 Revisión por la dirección

La alta dirección debe revisar el sistema de gestión de seguridad de la información de la organización, a intervalos planificados,
para asegurar su continua idoneidad, suficiencia y eficacia.

La revisión por la dirección debe incluir consideraciones de:

a) El estado de las acciones de revisiones anteriores por parte de la dirección;

b) Cambios en los asuntos internos y externos relevantes al sistema de gestión de seguridad de la información;
c) Retroalimentación del desempeño de la seguridad de la información, incluyendo tendencias en:
1) No conformidades y acciones correctivas;
2) Supervisión medición de los resultados de evaluación;
3) Resultados de auditoría;
4) Logro de los objetivos de seguridad de la información;
d) Retroalimentación de partes interesadas;
e) Resultados de evaluaciones del riesgo y el estado de los planes de tratamiento del riesgo; y
f) Oportunidades para la mejora continua.
9 ISO 27001:2013 Traducción no oficial de uso académico
Autor: Ing. Juan Carlos Angarita C., M.E. (jcac2000@hotmail.com)
Prohibida su copia o reproducción no autorizada o su alteración en general
Las salidas de la revisión por la dirección deben incluir decisiones relacionadas con oportunidades de mejora continua y cambios
al sistema de gestión de seguridad de la información.

La organización debe retener información documentada como evidencia de los resultados de las revisiones por la dirección.

10 MEJORA

10.1 No conformidades y acciones correctivas

Cuando ocurre una no conformidad, la organización debe:

a) Reaccionar a la no conformidad, y según sea aplicable:

1) Tomar acciones para controlarla y corregirla; y
2) Tratar con las consecuencias,
b) Evaluar la necesidad de acciones para eliminar las causas de la no conformidad, para que no recurra u ocurra en otra parte:
1) Revisar la no conformidad;
2) Determinar las causas de la no conformidad; y
3) Determinar si existen no conformidades similares, o podrían potencialmente ocurrir.
c) Implementar cualquier acción necesaria;
d) Revisar la eficacia de cualquier acción correctiva tomada; y
e) Hacer cambios al sistema de gestión de seguridad de la información, de ser necesario.

Las acciones correctivas deben ser apropiadas a los efectos de las no conformidades encontradas.

La organización debe retener información documentada como evidencia de:

f) La naturaleza de las no conformidades y cualquier acción subsecuente tomada, y

g) Los resultados de cualquier acción correctiva.

10.2 Mejora continua

La organización debe mejorar de manera continua la idoneidad, suficiencia y eficacia del sistema de gestión de seguridad de la
información.

10 ISO 27001:2013 Traducción no oficial de uso académico

Autor: Ing. Juan Carlos Angarita C., M.E. (jcac2000@hotmail.com)
Prohibida su copia o reproducción no autorizada o su alteración en general
 ANEXO A
(Normativo)

Los objetivos de control y controles listados se derivan directamente y están alineados con los requisitos de la norma ISO/IEC
27002:2013[1], del número 5 al 18, y están para ser usados en contexto con la cláusula 6.1.3.

Tabla A.1 — Objetivos de control y controles

A.5 POLÍTICAS DE SEGURIDAD DE INFORMACIÓN
A.5.1 Direccionamiento de la gestión de la seguridad de la información
Objetivo: Proveer direccionamiento y soporte para la seguridad de la información de acuerdo con los requisitos del negocio y las
leyes y regulaciones relevantes.
A.5.1.1 Políticas para la seguridad de la Control
información. Se debe definir y aprobar, por parte de la dirección, un conjunto de políticas para
la seguridad de la información, para ser publicadas y comunicadas a los
empleados y demás partes externas relevantes.
A.5.1.2 Revisión de las políticas para la Las políticas para la seguridad de la información deben ser revisadas a intervalos
seguridad de la información. planificados o si ocurren cambios significativos, para asegurar su conveniencia,
adecuación y eficacia.
A.6 ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
A.6.1 Organización interna
Objetivo: Establecer un marco de gestión para iniciar y controlar la implementación y operación de la seguridad de la
información en la organización.
A.6.1.1 Roles y responsabilidades de la Control
seguridad de la información. Se deben definir y asignar todas las responsabilidades de seguridad de la
información.
A.6.1.2 Segregación de tareas Control
Las tareas y áreas con conflicto de responsabilidad deben ser segregadas para
reducir las oportunidades de modificación no autorizada o involuntaria, o el mal
uso, de los activos de la organización.
A.6.1.3 Contacto con autoridades Control
Se debe mantener contactos apropiados con las autoridades relevantes.
A.6.1.4 Contacto con grupos especiales Control
de interés. Se debe mantener contacto apropiado con grupos especiales de interés así como
otros foros especializados en seguridad de la información y asociaciones
profesionales.
A.6.1.5 Seguridad de la información en Control
gestión de proyectos. La seguridad de la información debe ser considerada en la gestión de proyectos
sin importar el tipo de proyecto.
A.6.2 Dispositivos móviles y teletrabajo
Objetivo: Asegurar la seguridad del teletrabajo y en el uso de dispositivos móviles.
A.6.2.1 Política para los dispositivos Control
móviles Se deben adoptar una política y medidas de soporte para gestionar los riesgos
introducidos por el uso de dispositivos móviles.
A.6.2.2 Teletrabajo Control
Se deben implementar una política y medidas de soporte para proteger la
información accesada, procesada o almacenada en sitios de teletrabajo.
A.7 SEGURIDAD EN LOS RECURSOS HUMANOS
A.7.1 Antes del empleo
Asegurar que empleados y contratistas entiendan sus responsabilidades y sean idóneos para los roles para los cuales son
considerados.
A.7.1.1 Verificación de antecedentes Control
Debe realizarse la verificación de antecedentes para todos los candidatos a ser
empleados conforme a las leyes y regulaciones relevantes, y la ética, de manera
proporcional a los requisitos del negocio, la clasificación de la información a la
cual tendrían acceso y los riesgos percibidos.
11 ISO 27001:2013 Traducción no oficial de uso académico
Autor: Ing. Juan Carlos Angarita C., M.E. (jcac2000@hotmail.com)
Prohibida su copia o reproducción no autorizada o su alteración en general
A.7.1.2 Términos y condiciones para el Control
empleo. Los acuerdos contractuales con empleados y contratistas deben indicar las
responsabilidades de ellos y de la organización en seguridad de la información.
A.7.2 Durante el empleo
Objetivo: Asegurar que empleados y contratistas son conscientes y cumplen con sus responsabilidades en seguridad de la
información.
A.7.2.1 Responsabilidades de la Control
dirección La dirección debe exigir que empleados y contratistas apliquen la seguridad de la
información según las políticas y procedimientos de la organización.
A.7.2.2 Toma de conciencia, educación Control
y entrenamiento en seguridad Todos los empleados de la organización y, donde sea relevante, contratistas,
de la información. deben recibir acciones toma de conciencia, educación y entrenamiento, así como
actualizaciones regulares en las políticas y procedimientos de la organización,
según sea relevante para su función y trabajo.
A.7.2.3 Proceso disciplinario Control
Debe existir un proceso disciplinario formal y comunicado, para tomar acciones
contra empleados que realicen rompimientos en la seguridad de la información.
A.7.3 Terminación y/o cambio en el empleo
Objetivo: Proteger los intereses de la organización en el proceso de cambio o finalización del empleo.
A.7.3.1 Terminación o cambio en las Control
responsabilidades del empleo. Las responsabilidades y deberes que permanecen válidas luego de terminar el
empleo o ante su cambio, deben ser definidas, comunicadas al empleado o
contratista, y desarrolladas.
A.8 GESTIÓN DE ACTIVOS
A.8.1 Responsabilidad por los activos
Objetivo: Identificar los activos organizacionales y definir las responsabilidades apropiadas de protección.
A.8.1.1 Inventario de activos Control
Deben identificarse los activos asociados con la información y las instalaciones
de procesamiento de información, y se debe realizar y mantener un inventario de
estos activos.
A.8.1.2 Propiedad de los activos Control
Los activos en el inventario deben tener un propietario
A.8.1.3 Uso aceptable de los activos Control
Se deben identificar, documentar e implementar reglas para el uso aceptable de
la información y de los activos asociados con la información y las instalaciones de
procesamiento de información.
A.8.1.4 Devolución de activos Control
Todos los empleados y usuarios de partes externas deben devolver los activos de
la organización en su posesión al terminar su empleo, contrato o acuerdo.
A.8.2 Clasificación de la información
Objetivo: Asegurar que la información recibe un nivel apropiado de protección según su importancia en la organización
A.8.2.1 Clasificación de la información Control
La información debe clasificarse en términos de requisitos legales, valor, criticidad
y sensibilidad a su divulgación o modificación no autorizados.
A.8.2.2 Etiquetado de la información Control
Deben desarrollarse e implementarse un conjunto apropiado de procedimientos
para el etiquetado de la información según los esquemas de clasificación de la
información adoptados por la organización.
A.8.2.3 Manejo de activos Control
Se deben desarrollar e implementar procedimientos para el manejo de según el
esquema de clasificación de información adoptado por la organización.
A.8.3 Manejo de medios
Objetivo: Prevenir la divulgación, modificación, remoción o destrucción no autorizada de información almacenada en medios de
almacenamiento.

12 ISO 27001:2013 Traducción no oficial de uso académico

Autor: Ing. Juan Carlos Angarita C., M.E. (jcac2000@hotmail.com)
Prohibida su copia o reproducción no autorizada o su alteración en general
A.8.3.1 Gestión de medios removibles Control
Deben implementarse procedimientos para la gestión de medios removibles de
acuerdo con el esquema de clasificación adoptado por la organización.
A.8.3.2 Eliminación de medios Control
Los medios deben eliminarse de forma segura, usando procedimientos formales,
cuando ya no vayan a ser más utilizados.
A.8.3.3 Transferencia física de medios Control
Los medios que contengan información deben ser protegidos contra acceso no
autorizado, mal uso o daño, durante su transporte.
A.9 CONTROL DE ACCESO
A.9.1 Requisitos del negocio de control de acceso
Objetivo: Limitar el acceso a la información y a las instalaciones de procesamiento de información.
A.9.1.1 Política de control de acceso Control
Se debe establecer y documentar una política de control de acceso, la cual debe
ser revisada según los requisitos del negocio y de la seguridad de la información.
A.9.1.2 Acceso a redes y servicios de Control
red A los usuarios solo se les debe proveer acceso a la red y servicios de red a los
cuales estén específicamente autorizados en su uso.
A.9.2 Gestión de acceso de usuarios
Objetivo: Asegurar el acceso de usuarios autorizados y revenir el acceso no autorizado a sistemas y servicios.
A.9.2.1 Registro y de-registro de Control
usuarios Se debe implementar un proceso formal de registro y de registro de usuarios para
permitir la asignación de derechos de usuarios.
A.9.2.2 Suministro de acceso a Control
usuarios Se debe implementar un proceso formal de suministro de acceso a usuarios para
asignar o revocar derechos de acceso para todos los tipos de usuarios a todos
los sistemas y servicios.
A.9.2.3 Gestión de derechos de acceso Control
privilegiados Se debe restringir y controlar la asignación y uso de derechos de acceso de tipo
privilegiado.
A.9.2.4 Gestión de información secreta Control
de autenticación de usuarios Se debe controlar la asignación de información secreta de autenticación a través
de un proceso formal de gestión.
A.9.2.5 Revisión de derecho de acceso Control
de los usuarios Los propietarios de los activos deben revisar los derechos de acceso de los
usuarios a intervalos regulares.
A.9.2.6 Remoción o ajuste de derechos Control
de acceso. Se deben remover los derechos de acceso de todos los empleados y usuarios de
partes externas, a la información así como instalaciones de procesamiento de la
información, una vez terminada su vinculación, contrato o acuerdo, o ajustarse en
cualquier cambio.
A.9.3 Responsabilidades de los usuarios
Objetivo: Asignar responsabilidades a los usuarios respecto a la protección de su información de autenticación.
A.9.3.1 Uso de información secreta de Control
autenticación. Se debe requerir a los usuarios el seguir las prácticas de la organización sobre el
uso de la información secreta de la información.
A.9.4 Control de acceso a sistemas y aplicaciones.
Objetivo: Prevenir el acceso no autorizado a sistemas y aplicaciones.
A.9.4.1 Restricción de acceso a la Control
información Se debe restringir el acceso a la información y las funciones en las aplicaciones
de acuerdo con la política de control de acceso.
A.9.4.2 Procedimientos seguros de Control
inicio de sesión Se debe controlar el acceso a los sistemas y aplicaciones por un procedimiento
seguro de inicio de sesión, según se requiera por la política de control de acceso.

13 ISO 27001:2013 Traducción no oficial de uso académico

Autor: Ing. Juan Carlos Angarita C., M.E. (jcac2000@hotmail.com)
Prohibida su copia o reproducción no autorizada o su alteración en general
A.9.4.3 Gestión de contraseñas
A.9.4.4 Uso de programas utilitarios
privilegiados
A.9.4.5 Control de acceso al código
fuente de las aplicaciones.
A.10 CRYPTOGRAFÍA
A.10.1 Controles criptográficos
Objetivo: Asegurar el uso adecuado y eficaz de cifrado para proteger la confidencialidad, la autenticidad y/o la integridad de la
información.
A.10.1.1 Política de uso de controles Control
criptográficos.
A.10.1.2 Gestión de claves
A.11 SEGURIDAD FÍSICA Y AMBIENTAL
A.11.1 Áreas seguras
Objetivo: Prevenir el acceso físico no autorizado al igual que el daño e interferencia a la información e instalaciones de
procesamiento de información de la organización.
A.11.1.1 Perímetro de seguridad física
A.11.1.2 Controles físicos de entrada
A.11.1.3 Aseguramiento de oficinas, Control
áreas e instalaciones.
A.11.1.4 Protección contra amenazas Control
externas y ambientales
A.11.1.5 Trabajo en áreas seguras
A.11.1.6 Áreas de entrega y carga
A.11.2 Equipos
Objetivo: Prevenir la pérdida, daño, robo o compromiso de activos y la interrupción de las operaciones de la organización.
A.11.2.1 Emplazamiento y protección de Control
equipos
A.11.2.2 Servicios de soporte
A.11.2.3 Seguridad del cableado
A.11.2.4 Mantenimiento de equipos
14
Control
Los sistemas de gestión de las contraseñas deben ser interactivos y asegurar
contraseñas de calidad.
Control
Debe estar restringido y controlado el uso de programas utilitarios que puedan ser
capaces de evitar los controles del sistema y de las aplicaciones.
Control
Se debe restringir el acceso al código fuente de las aplicaciones.
Se debe desarrollar e implementar una política de uso de controles criptográficos
para la protección de la información.
Control
Se debe desarrollar e implementar una política para el uso, protección y gestión
del ciclo de vida de las claves de cifrado, a lo largo de su ciclo de vida.
Control
Se deben definir y usar perímetros de seguridad física para proteger áreas con
información crítica o sensible, o instalaciones de procesamiento de información.
Control
Las áreas seguras deben estar protegidas por controles de entrada apropiados
para asegurar que solo se permite acceso al personal autorizado.
Se debe diseñar y aplicar seguridad física para oficinas, áreas e instalaciones.
Se debe diseñar y aplicar protección física contra desastres naturales, ataques
maliciosos o accidentes.
Control
Se deben diseñar y aplicar procedimientos para trabajo en áreas seguras.
Control
Se deben controlar, y en lo posible aislar de las instalaciones de procesamiento
de datos, aquellos puntos de acceso tales como áreas de entrega y de carga así
como aquellos otros puntos donde personal no autorizado pudiese ingresar al
recinto, con el fin de evitar acceso no autorizado.
Los equipos deben estar emplazados y protegidos para reducir los riesgos de
amenaza ambiental y peligros, así como la oportunidad de acceso no autorizado.
Control
Los equipos deben estar protegidos de fallas eléctricas y otras disrupciones
causadas por fallas en los servicios de soporte.
Control
Se debe proteger de interceptación, interferencia o daño, el cableado de energía
y telecomunicaciones que transporte datos o soporte los servicios de información.
Control
Los equipos deben recibir mantenimiento adecuado para garantizar disponibilidad
e integridad continuadas.
ISO 27001:2013 Traducción no oficial de uso académico
Autor: Ing. Juan Carlos Angarita C., M.E. (jcac2000@hotmail.com)
Prohibida su copia o reproducción no autorizada o su alteración en general
A.11.2.5 Remoción de activos Control
No deben retirarse equipos, información o software, de su sitio, sin autorización.
A.11.2.6 Seguridad de equipos y activos Control
fuera de su sitio Se debe aplicar seguridad a los activos fuera de su sitio de emplazamiento
considerando los riesgos para trabajos fuera de las áreas de la organización.
A.11.2.7 Eliminación segura o reúso de Control
equipos Todos los elementos de los equipos que contengan medios de almacenamiento
deben ser verificados para asegurar que los datos sensibles y el software con
licencia hayan sido removidos o sobrescritos de manera segura, antes de su
eliminación o reúso.
A.11.2.8 Equipo de usuario desatendido Control
Los usuarios deben asegurar que los equipos desatendidos tengan protección
adecuada.
A.11.2.9 Política de escritorio limpio y de Control
pantalla limpia Se debe adoptar una política para escritorio limpio aplicado a documentos y
medios de almacenamiento removibles así como una política de pantalla limpia
para instalaciones de procesamiento de información.
A.12 SEGURIDAD EN LAS OPERACIONES
A.12.1 Procedimientos y responsabilidades operacionales
Objetivo: Asegurar la operación segura y correcta de las instalaciones de procesamiento de información.
A.12.1.1 Procedimientos operativos Control
documentados Los procedimientos operativos deben estar documentados y disponibles a los
usuarios que los necesiten.
A.12.1.2 Gestión del cambio Control
Se deben controlar los cambios a la organización, a los procesos de negocio, a
las instalaciones de procesamiento de información y a los sistemas que afecten la
seguridad de la información.
A.12.1.3 Gestión de la capacidad Control
Se debe monitorear y optimizar el uso de recursos y realizar proyecciones sobre
futuros requisitos de capacidad para asegurar el desempeño requerido.
A.12.1.4 Separación de ambientes de Control
prueba y de producción Los ambientes de desarrollo, pruebas y producción deben estar separados para
reducir los riesgos de acceso no autorizado o cambios al ambiente de producción.
A.12.2 Protección contra malware
Objetivo: Asegurar que la información y las instalaciones de procesamiento de información se protegen contra malware.
A.12.2.1 Controles contra malware Control
Se deben implementar controles de detección, prevención y recuperación contra
malware, en combinación con la toma de conciencia adecuada en los usuarios.
A.12.3 Backup (Copia de respaldo)
Objetivo: Proteger contra pérdidas de datos
A.12.3.1 Backup (copia de respaldo) de Control
la información Se deben realizar copias de seguridad de la información, del software así como
imágenes de los sistemas, y ser probadas, según la política de copia de respaldo.
A.12.4 Registro y supervisión
Objetivo: Registrar eventos y generar evidencia.
A.12.4.1 Registro de eventos Control
Se deben producir, mantener y revisar regularmente los registros de eventos de
actividad del usuario, excepciones y de seguridad de la información.
A.12.4.2 Protección de la información del Control
registro (de eventos) Las instalaciones de registro y la información de registro deben estar protegidas
contra manipulación y acceso no autorizado.
A.12.4.3 Registros del administrador y Control
del operador Las actividades del administrador del sistema y del operador del sistemas deben
estar registrados, y estos registros protegidos y revisados de manera regular.

15 ISO 27001:2013 Traducción no oficial de uso académico

Autor: Ing. Juan Carlos Angarita C., M.E. (jcac2000@hotmail.com)
Prohibida su copia o reproducción no autorizada o su alteración en general
A.12.4.4 Sincronización de relojes Control
Los relojes de los sistemas relevantes de procesamiento de información dentro
de una organización o dominio de seguridad deben estar sincronizados a una
única fuente de referencia de tiempo.
A.12.5 Control del software para producción
Objetivo: Asegurar la integridad de los sistemas en producción.
A.12.5.1 Instalación de software en Control
sistemas en producción. Se deben implementar procedimientos para controlar la instalación de software
en sistemas operacionales.
A.12.6 Gestión de vulnerabilidades técnicas
Objetivo: Prevenir la explotación de vulnerabilidades técnicas.
A.12.6.1 Gestión de vulnerabilidades Control
técnicas Se debe obtener de manera oportuna información sobre vulnerabilidades técnicas
de los sistemas de información, así como de la exposición de la organización a
tales vulnerabilidades y las medidas apropiadas tomadas para atender el riesgo
asociado.
A.12.6.2 Restricciones en la instalación Control
de software. Se deben establecer e implementar reglas para instalación de software por parte
de los usuarios.
A.12.7 Consideraciones de auditoría de sistemas de información
Objetivo: Minimizar el impacto de las actividades de auditoría en sistemas en producción.
A.12.7.1 Controles de auditoría en Control
sistemas de información Los requisitos de auditoría y las actividades que incluyan verificación de sistemas
en producción deben estar cuidadosamente planeados y acordados para
minimizar disrupciones a los procesos de negocios.
A.13 SEGURIDAD EN COMUNICACIONES
A.13.1 Gestión de seguridad en redes
Objetivo: Asegurar la protección de la información en redes e instalaciones de procesamiento de datos.
A.13.1.1 Controles de red Control
Las redes se deben gestionar y controlar para proteger la información en los
sistemas y aplicaciones.
A.13.1.2 Seguridad de servicios de red Control
Se deben identificar e incluir en los acuerdos de servicios de red aquellos
mecanismos de seguridad, niveles de servicio y requisitos de gestión de todos los
servicios de red, sea que estos sean suministrados por la organización o terceros.
A.13.1.3 Segregación en redes Control
Los grupos de servicios de información, usuarios y sistemas de información
deben estar segregados en las redes.
A.13.2 Transferencia de información.
Objetivo: Mantener la seguridad en la información transferida dentro de la organización y con cualquier entidad externa.
A.13.2.1 Políticas y procedimientos para Control
la transferencia de información Deben estar en su lugar políticas formales, procedimientos y controles para
controlar la transferencia de información mediante el uso de todos los tipos de
instalaciones de comunicación.
A.13.2.2 Acuerdos en la transferencia de Control
información Los acuerdos deben atender la transferencia segura de información del negocio
entre la organización y partes externas.
A.13.2.3 Mensajería electrónica Control
La información involucrada en mensajería electrónica debe ser protegida de
manera adecuada.
A.13.2.4 Acuerdos de confidencialidad y Control
no divulgación Se deben identificar, revisar regularmente y documentar, los requisitos para los
acuerdos de confidencialidad y no divulgación de la información, que reflejen las
necesidades de la organización respecto a la protección de la información.

16 ISO 27001:2013 Traducción no oficial de uso académico

Autor: Ing. Juan Carlos Angarita C., M.E. (jcac2000@hotmail.com)
Prohibida su copia o reproducción no autorizada o su alteración en general
A.14 ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS
A.14.1 Requisitos de seguridad de los sistemas de información
Objetivo: Asegurar que la seguridad de la información es parte de los sistemas de información a lo largo de su ciclo de vida.
También incluye los requisitos para los sistemas de información que proveen servicios en redes públicas.
A.14.1.1 Análisis y especificación de Control
requisitos en seguridad de la Se deben incluir los requisitos relacionados con seguridad de la información en
información. los requisitos de nuevos sistemas o las mejoras de los existentes.
A.14.1.2 Aseguramiento de servicios de Control
aplicaciones en redes públicas Se debe proteger la información involucrada en servicios de aplicaciones que
transiten por redes públicas, frente a actividad fraudulenta, disputa en contratos
así como divulgación o autorización no autorizada.
A.14.1.3 Protección de transacciones en Control
servicios de aplicaciones La información involucrada en transacciones en servicios de aplicaciones, debe
estar protegida para prevenir la transmisión incompleta, errores de enrutamiento,
alteración o duplicación no autorizadas del mensaje, o su reenvío.
A.14.2 Seguridad en procesos de desarrollo y soporte
Objetivo: Asegurar que la seguridad de la información hace parte del ciclo de desarrollo de los sistemas de información.
A.14.2.1 Política de desarrollo seguro Control
Se deben establecer reglas para el desarrollo de software y sistemas para los
desarrollos dentro de la organización.
A.14.2.2 Procedimiento de control de Control
cambio en sistemas Se deben controlar los cambios a los sistemas en el ciclo de vida de desarrollo
mediante el uso de procedimientos formales de control de cambios.
A.14.2.3 Revisión técnica de aplicaciones Control
luego de cambios en plataformas Cuando se realizan cambios en las plataformas de producción, las aplicaciones
de producción. críticas para el negocio deben ser revisadas y probadas para asegurar que no
hay impacto adverso en las operaciones o seguridad de la organización.
A.14.2.4 Restricciones a cambios en los Control
paquetes de software Se deben rechazar las modificaciones a los paquetes de software, limitándolas a
los cambios necesarios. Todo cambio debe ser controlado estrictamente.
A.14.2.5 Principios de la ingeniería de Control
sistemas seguros Se deben establecer, documentar, mantener y aplicar principios para la ingeniería
de sistemas seguros en esfuerzos de implementación de sistemas de información
A.14.2.6 Ambiente seguro de desarrollo Control
Las organizaciones deben establecer y proteger adecuadamente los ambientes
seguros de desarrollo para el desarrollo de sistemas y esfuerzos de integración
que incluyan la totalidad del ciclo de vida de desarrollo.
A.14.2.7 Desarrollo tercerizado Control
La organización debe supervisar el desarrollo tercerizado de sistemas.
A.14.2.8 Prueba de seguridad de los Control
sistemas En el desarrollo se deben realizar pruebas de funcionalidad de la seguridad.
A.14.2.9 Pruebas de aceptación de Control
sistemas Se deben establecer programas de pruebas de aceptación y sus criterios para
sistemas de información nuevos, actualizaciones y nuevas versiones.
A.14.3 Datos de prueba
Objetivo: Asegurar la protección de los datos durante las pruebas.
A.14.3.1 Protección de datos de prueba Control
Los datos de prueba deben seleccionarse con cuidado, protegidos y controlados.
A.15 RELACIONES CON LOS PROVEEDORES
A.15.1 Seguridad de la información en relaciones con los proveedores
Objetivo: Asegurar la protección de activos que sean accesibles por los proveedores.
A.15.1.1 Política de seguridad de la Control
información para relaciones con Se deben acordar y documentar los requisitos de seguridad de la información
proveedores para mitigar los riesgos asociados con el acceso de proveedores a los activos.

17 ISO 27001:2013 Traducción no oficial de uso académico

Autor: Ing. Juan Carlos Angarita C., M.E. (jcac2000@hotmail.com)
Prohibida su copia o reproducción no autorizada o su alteración en general
A.15.1.2 Incorporación de la seguridad Control
en acuerdos con proveedores. Deben establecerse y acordarse todos los requisitos relevantes en seguridad de
la información con cada proveedor que pueda acceder, procesar, almacenar,
comunicar, o proveer componentes de infraestructura de TI, para la información
de la organización.
A.15.1.3 Cadena de suministro para las Control
tecnologías de la información y Los acuerdos con proveedores deben incluir requisitos para atender los riesgos
las comunicaciones de seguridad de la información asociados con la información, los servicios de
tecnologías de comunicación y la cadena de suministro de productos.
A.15.2 Gestión de la entrada de servicios por parte del proveedor
Objetivo: Mantener un nivel acordado de seguridad de la información y de entrega de servicios en concordancia con los
acuerdos con el proveedor.
A.15.2.1 Supervisión y revisión de Control
servicios por proveedores La organización debe supervisar, revisar y auditar regularmente la entrega de
servicios por parte del proveedor.
A.15.2.2 Gestión de cambios a servicios Control
de proveedores Se deben gestionar los cambios en los servicios prestados por proveedores,
incluyendo el mantenimiento y mejora de las políticas, procedimientos y controles
de seguridad de la información, considerando la criticidad de la información del
negocio, los sistemas y procesos involucrados y la re-evaluación de los riesgos.
A.16 GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN
A.16.1 Gestión de incidentes y mejoras en la seguridad de la información
Objetivo: Asegurar un enfoque consistente y eficaz para la gestión de incidentes de seguridad de la información, incluyendo la
comunicación en eventos de seguridad y debilidades.
A.16.1.1 Responsabilidades y Control
procedimientos Se deben establecer responsabilidades y procedimientos para asegurar una
respuesta rápida, eficaz y ordenada, a incidentes de seguridad de la información.
A.16.1.2 Reporte de eventos de Control
seguridad de la información Los eventos de seguridad de la información deben ser reportados a través de los
canales apropiados tan rápido como sea posible.
A.16.1.3 Reporte de debilidades en la Control
seguridad de la información Se debe exigir a los empleados y contratistas que usen los sistemas y servicios
de información de la organización que tomen nota y reporten cualquier debilidad
de seguridad de la información observada o sospechada, en sistemas o servicios.
A.16.1.4 Evaluación y decisiones en Control
eventos de seguridad de la Los eventos en seguridad de la información deben ser evaluados y decidir si son
información clasificados como incidentes de seguridad de la información.
A.16.1.5 Respuesta a incidentes de Control
seguridad de la información Se debe dar respuesta a los incidentes de seguridad de la información de
acuerdo con procedimientos documentados.
A.16.1.6 Aprendizaje de los incidentes Control
de seguridad de la información El conocimiento ganado del análisis y solución de incidentes de seguridad de la
información debe ser usado para reducir la probabilidad e impacto de incidentes
futuros.
A.16.1.7 Recolección de evidencia Control
La organización debe definir y aplicar procedimientos para identificar, reunir,
adquirir y preservar información, que pueda servir como evidencia.
A.17 ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN EN LA GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO
A.17.1 Continuidad de la seguridad de la información
Objetivo: La seguridad de la información debe ser parte de la gestión de continuidad del negocio.
A.17.1.1 Planeación de la continuidad de Control
la seguridad de la información La organización debe determinar sus requisitos de seguridad de la información y
la continuidad de la gestión de la seguridad de la información en condiciones
adversas, por ejemplo: una crisis o desastre.

18 ISO 27001:2013 Traducción no oficial de uso académico

Autor: Ing. Juan Carlos Angarita C., M.E. (jcac2000@hotmail.com)
Prohibida su copia o reproducción no autorizada o su alteración en general
A.17.1.2 Implementar la continuidad de Control
la seguridad de la información La organización debe establecer, documentar, implementar y mantener procesos,
procedimientos y controles para asegurar el nivel requerido de continuidad para la
seguridad de la información durante una situación adversa.
A.17.1.3 Verificar, revisar y evaluar la Control
continuidad de la seguridad de La organización debe verificar, a intervalos regulares, los controles establecidos e
la información implementados de continuidad de la seguridad de la información, para asegurar
que ellos permanecen válidos y son eficaces durante situaciones adversas.
A.17.2 Redundancias
Objetivo: Asegurar la disponibilidad de las instalaciones de procesamiento de información.
A.17.2.1 Disponibilidad de las Control
instalaciones de procesamiento Las instalaciones de procesamiento de información deben ser implementadas con
de información suficiente redundancia para cumplir los requisitos de disponibilidad.
A.18 CUMPLIMIENTO
A.18.1 Cumplimiento de los requisitos legales y contractuales
Objetivo: Evitar el incumplimiento de obligaciones legales, estatutarias, regulatorias o contractuales, relacionadas con seguridad
de la información y cualquier otro requisito de seguridad.
A.18.1.1 Identificar requisitos legales y Control
contractuales aplicables Todos los requisitos relevantes a nivel legislativo, estatutario, regulatorio y
contractual así como el enfoque de la organización para cumplir con tales
requisitos debe estar explícitamente identificado, documentado y actualizado,
para cada sistema de información y para la organización.
A.18.1.2 Derechos de propiedad Control
intelectual Se deben implementar procedimientos apropiados para asegurar el cumplimiento
de los requisitos legislativos, regulatorios y contractuales relacionados con los
derechos de propiedad intelectual y el uso de productos propietarios de software.
A.18.1.3 Protección de registros Control
Los registros deben estar protegidos de su pérdida, destrucción, falsificación,
acceso no autorizado y liberación o divulgación no autorizada, de acuerdo con los
requisitos legislativos, regulatorios, contractuales y del negocio.
A.18.1.4 Privacidad y protección de Control
información identificable como Se debe asegurar la privacidad y la protección de información identificable como
personal. personal, según se requiera en la legislación y regulación pertinente.
A.18.1.5 Regulación de controles Control
criptográficos. Los controles criptográficos deben ser usados dando cumplimiento a los acuerdos
relevantes así como a la legislación y regulaciones.
A.18.2 Revisión de la seguridad de la información
Objetivo: Asegurar que la seguridad de la información se encuentra implementada y opera de acuerdo con las políticas y
procedimientos de la organización.
A.18.2.1 Revisión independiente de la Control
seguridad de la información El enfoque de la organización para la gestión de la seguridad de la información y
su implementación (ejemplo: objetivos de control, controles, políticas, procesos y
procedimientos para la seguridad de la información) debe ser revisado de manera
independiente a intervalos planeados o cuando ocurran cambios significativos.
A.18.2.2 Cumplimiento con políticas de Control
seguridad y estándares La dirección debe revisar regularmente el cumplimiento en el procesamiento de la
información y sus procedimientos, dentro su área de responsabilidad, frente a las
políticas de seguridad, estándares y otros requisitos de seguridad.
A.18.2.3 Revisión de cumplimiento Control
técnico Los sistemas de información deben ser revisados regularmente en cuanto a su
cumplimiento frente a las políticas de seguridad de información de la organización
y estándares.

19 ISO 27001:2013 Traducción no oficial de uso académico

Autor: Ing. Juan Carlos Angarita C., M.E. (jcac2000@hotmail.com)
Prohibida su copia o reproducción no autorizada o su alteración en general
 BIBLIOGRAFIA

[1] ISO/IEC 27002:2013, Information technology — Security Techniques — Code of practice for information security controls
[2] ISO/IEC 27003, Information technology — Security techniques — Information security management system implementation
guidance
[3] ISO/IEC 27004, Information technology — Security techniques — Information security management — Measurement
[4] ISO/IEC 27005, Information technology — Security techniques — Information security risk management
[5] ISO 31000:2009, Risk management — Principles and guidelines
[6] ISO/IEC Directives, Part 1, Consolidated ISO Supplement – Procedures specific to ISO, 2012 requirements with Guidance
for Use

20 ISO 27001:2013 Traducción no oficial de uso académico

Autor: Ing. Juan Carlos Angarita C., M.E. (jcac2000@hotmail.com)
Prohibida su copia o reproducción no autorizada o su alteración en general
A.5 POLÍTICAS DE SEGURIDAD DE A.8.1.2 Propiedad de los activos A.10.1 Controles criptográficos
INFORMACIÓN A.8.1.3 Uso aceptable de los activos A.10.1.1 Política de uso de controles criptográficos.
A.5.1 Direccionamiento de la gestión de la A.8.1.4 Devolución de activos A.10.1.2 Gestión de claves
seguridad de la información A.8.2 Clasificación de la información A.11 SEGURIDAD FÍSICA Y AMBIENTAL
A.5.1.1 Políticas para la seguridad de la A.8.2.1 Clasificación de la información A.11.1 Áreas seguras
información. A.8.2.2 Etiquetado de la información A.11.1.1 Perímetro de seguridad física
A.5.1.2 Revisión de las políticas para la seguridad A.8.2.3 Manejo de activos A.11.1.2 Controles físicos de entrada
de la información. A.8.3 Manejo de medios A.11.1.3 Aseguramiento de oficinas, áreas e
A.6 ORGANIZACIÓN DE LA SEGURIDAD A.8.3.1 Gestión de medios removibles instalaciones.
DE LA INFORMACIÓN A.8.3.2 Eliminación de medios A.11.1.4 Protección contra amenazas externas y
A.6.1 Organización interna A.8.3.3 Transferencia física de medios ambientales
A.6.1.1 Roles y responsabilidades de la seguridad A.9 CONTROL DE ACCESO A.11.1.5 Trabajo en áreas seguras
de la información. A.9.1 Requisitos del negocio de control de A.11.1.6 Áreas de entrega y carga
A.6.1.2 Segregación de tareas acceso A.11.2 Equipos
A.6.1.3 Contacto con autoridades A.9.1.1 Política de control de acceso A.11.2.1 Emplazamiento y protección de equipos
A.6.1.4 Contacto con grupos especiales de interés. A.9.1.2 Acceso a redes y servicios de red A.11.2.2 Servicios de soporte
A.6.1.5 Seguridad de la información en gestión de A.9.2 Gestión de acceso de usuarios A.11.2.3 Seguridad del cableado
proyectos. A.9.2.1 Registro y de-registro de usuarios A.11.2.4 Mantenimiento de equipos
A.6.2 Dispositivos móviles y teletrabajo A.9.2.2 Suministro de acceso a usuarios A.11.2.5 Remoción de activos
A.6.2.1 Política para los dispositivos móviles A.9.2.3 Gestión de derechos de acceso A.11.2.6 Seguridad de equipos y activos fuera de su
A.6.2.2 Teletrabajo privilegiados sitio
A.7 SEGURIDAD EN LOS RECURSOS A.9.2.4 Gestión de información secreta de A.11.2.7 Eliminación segura o reúso de equipos
HUMANOS autenticación de usuarios A.11.2.8 Equipo de usuario desatendido
A.7.1 Antes del empleo A.9.2.5 Revisión de derecho de acceso de los A.11.2.9 Política de escritorio limpio y de pantalla
A.7.1.1 Verificación de antecedentes usuarios limpia
A.7.1.2 Términos y condiciones para el empleo. A.9.2.6 Remoción o ajuste de derechos de acceso. A.12 SEGURIDAD EN LAS OPERACIONES
A.7.2 Durante el empleo A.9.3 Responsabilidades de los usuarios A.12.1 Procedimientos y responsabilidades
A.7.2.1 Responsabilidades de la dirección A.9.3.1 Uso de información secreta de operacionales
A.7.2.2 Toma de conciencia, educación y autenticación. A.12.1.1 Procedimientos operativos documentados
entrenamiento en seguridad de la A.9.4 Control de acceso a sistemas y A.12.1.2 Gestión del cambio
información. aplicaciones A.12.1.3 Gestión de la capacidad
A.7.2.3 Proceso disciplinario A.9.4.1 Restricción de acceso a la información A.12.1.4 Separación de ambientes de prueba y de
A.7.3 Terminación y/o cambio en el empleo A.9.4.2 Procedimientos seguros de inicio de sesión producción
A.7.3.1 Terminación o cambio en las A.9.4.3 Gestión de contraseñas A.12.2 Protección contra malware
responsabilidades del empleo. A.9.4.4 Uso de programas utilitarios privilegiados A.12.2.1 Controles contra malware
A.8 GESTIÓN DE ACTIVOS A.9.4.5 Control de acceso al código fuente de las A.12.3 Backup (Copia de respaldo)
A.8.1 Responsabilidad por los activos aplicaciones. A.12.3.1 Backup (copia de respaldo) de la
A.8.1.1 Inventario de activos A.10 CRYPTOGRAFÍA información

0 ISO 27001:2013 Traducción no oficial de uso académico

Autor: Ing. Juan Carlos Angarita C., M.E. (jcac2000@hotmail.com)
Prohibida su copia o reproducción no autorizada o su alteración en general
A.12.4 Registro y supervisión A.14.2.1 Política de desarrollo seguro A.16.1.4 Evaluación y decisiones en eventos de
A.12.4.1 Registro de eventos A.14.2.2 Procedimiento de control de cambio en seguridad de la información
A.12.4.2 Protección de la información del registro (de sistemas A.16.1.5 Respuesta a incidentes de seguridad de la
eventos) A.14.2.3 Revisión técnica de aplicaciones luego de información
A.12.4.3 Registros del administrador y del operador cambios en plataformas de producción. A.16.1.6 Aprendizaje de los incidentes de seguridad
A.12.4.4 Sincronización de relojes A.14.2.4 Restricciones a cambios en los paquetes de de la información
A.12.5 Control del software para producción software A.16.1.7 Recolección de evidencia
A.12.5.1 Instalación de software en sistemas en A.14.2.5 Principios de la ingeniería de sistemas A.17 ASPECTOS DE SEGURIDAD DE LA
producción. seguros INFORMACIÓN EN LA GESTIÓN DE LA
A.12.6 Gestión de vulnerabilidades técnicas A.14.2.6 Ambiente seguro de desarrollo CONTINUIDAD DEL NEGOCIO
A.12.6.1 Gestión de vulnerabilidades técnicas A.14.2.7 Desarrollo tercerizado A.17.1 Continuidad de la seguridad de la
A.12.6.2 Restricciones en la instalación de software. A.14.2.8 Prueba de seguridad de los sistemas información
A.12.7 Consideraciones de auditoría de A.14.2.9 Pruebas de aceptación de sistemas A.17.1.1 Planeación de la continuidad de la
sistemas de información A.14.3 Datos de prueba seguridad de la información
A.12.7.1 Control de auditoría sistemas de información A.14.3.1 Protección de datos de prueba A.17.1.2 Implementar la continuidad de la seguridad
A.13 SEGURIDAD EN COMUNICACIONES A.15 RELACIONES CON PROVEEDORES de la información
A.13.1 Gestión de seguridad en redes A.15.1 Seguridad de la información en A.17.1.3 Verificar, revisar y evaluar la continuidad de
A.13.1.1 Controles de red relaciones con los proveedores la seguridad de la información
A.13.1.2 Seguridad de servicios de red A.15.1.1 Política de seguridad de la información para A.17.2 Redundancias
A.13.1.3 Segregación en redes relaciones con proveedores A.17.2.1 Disponibilidad de las instalaciones de
A.13.2 Transferencia de información A.15.1.2 Incorporación de la seguridad en acuerdos procesamiento de información
A.13.2.1 Políticas y procedimientos para la con proveedores. A.18 CUMPLIMIENTO
transferencia de información A.15.1.3 Cadena de suministro para las tecnologías A.18.1 Cumplimiento de los requisitos legales y
A.13.2.2 Acuerdos en la transferencia de información de la información y las comunicaciones contractuales
A.13.2.3 Mensajería electrónica A.15.2 Gestión de la entrada de servicios por A.18.1.1 Identificar requisitos legales y contractuales
A.13.2.4 Acuerdos de confidencialidad y no parte del proveedor aplicables
divulgación A.15.2.1 Monitoreo y revisión de servicios del A.18.1.2 Derechos de propiedad intelectual
A.14 ADQUISICIÓN, DESARROLLO Y proveedor A.18.1.3 Protección de registros
MANTENIMIENTO DE SISTEMAS A.15.2.2 Gestión de cambios de servicios del A.18.1.4 Privacidad y protección de información
A.14.1 Requisitos de seguridad de los sistemas proveedor identificable como personal.
de información A.16 GESTIÓN DE INCIDENTES DE A.18.1.5 Regulación de controles criptográficos.
A.14.1.1 Análisis y especificación de requisitos en SEGURIDAD DE LA INFORMACIÓN A.18.2 Revisión de la seguridad de la
seguridad de la información. A.16.1 Gestión de incidentes y mejoras en la información
A.14.1.2 Aseguramiento de servicios de aplicaciones seguridad de la información A.18.2.1 Revisión independiente de la seguridad de
en redes públicas A.16.1.1 Responsabilidades y procedimientos la información
A.14.1.3 Protección de transacciones en servicios de A.16.1.2 Reporte de eventos de seguridad de la A.18.2.2 Cumplimiento con políticas de seguridad y
aplicaciones información estándares
A.14.2 Seguridad en procesos de desarrollo y A.16.1.3 Reporte de debilidades en la seguridad de la A.18.2.3 Revisión de cumplimiento técnico
soporte información
1 ISO 27001:2013 Traducción no oficial de uso académico
Autor: Ing. Juan Carlos Angarita C., M.E. (jcac2000@hotmail.com)
Prohibida su copia o reproducción no autorizada o su alteración en general