Documentos de Académico
Documentos de Profesional
Documentos de Cultura
TECNOLOGÍAS DE LA INFORMACIÓN
TÉCNICAS DE SEGURIDAD
SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
REQUISITOS
TABLA DE CONTENIDO
PREFACIO 1
0 INTRODUCCIÓN 2
0.1 General 2
0.2 Compatibilidad con otros sistemas de gestión 2
1 ALCANCE 3
2 REFERENCIAS NORMATIVAS 3
3 TÉRMINOS Y DEFINICIONES 3
4 CONTEXTO DE LA ORGANIZACIÓN 3
4.1 Entendiendo la organización y su contexto 3
4.2 Entendiendo las necesidades y expectativas de las partes interesadas 3
4.3 Determinando el alcance del sistema de gestión de seguridad de la información 3
4.4 Sistema de gestión de seguridad de la información 4
5 LIDERAZGO 4
5.1 Liderazgo y compromiso 4
5.2 Política 4
5.3 Roles, responsabilidades y autoridades en la organización 4
6 PLANEACIÓN 5
6.1 Acciones para atender riesgos y oportunidades 5
6.2 Objetivos de seguridad de la información y planes para alcanzarlos 6
7 SOPORTE 6
7.1 Recursos 6
7.2 Competencia 6
7.3 Conciencia 7
7.4 Comunicación 7
7.5 Información documentada 7
7.5.1 General 7
7.5.2 Creación y actualización 7
7.5.3. Control de información documentada 8
8 OPERACIÓN 8
8.1 Planeación y control operacional 8
8.2 Evaluación de riesgos en seguridad de la información 8
8.3 Tratamiento de riesgos en seguridad de la información 8
9 EVALUACIÓN DEL DESEMPEÑO 9
9.1. Supervisión, medición, análisis y evaluación 9
9.2 Auditoría interna 9
9.3 Revisión por la dirección 9
10 MEJORA 10
10.1 No conformidades y acciones correctivas 10
10.2 Mejora continua 10
ISO (La organización internacional para la estandarización) e IEC (la Comisión Nacional Electrotécnica) conforman el sistema
especializado por la estandarización global. Los organismos nacionales miembros de ISO y/o IEC participan en el desarrollo de
estándares internacionales a través de comités técnicos establecidos por la organización respectiva para atender campos
técnicos particulares. Los comités técnicos de la ISO y de IEC colaboran en campos de interés mutuo. Otras organizaciones
internacionales, gubernamentales y no gubernamentales, en alianza con ISO e IEC, también participan en ese trabajo. En el
campo de la tecnología de la información, ISO e IEC han establecido un comité técnico conjunto, ISO/IEC JTC 1.
Los estándares internaciones son diseñados de acuerdo con los lineamientos establecidos en las directivas ISO/IEC, parte 2.
La principal tarea de los comités técnicos conjuntos es preparar estándares internacionales. Los borradores de los estándares
internacionales adoptados por los comités técnicos conjuntos son circulados a los organismos nacionales para votación. La
publicación como estándar internacional requiere la aprobación de al menos el 75% de los miembros con derecho a voto.
Se debe tener en cuenta la posibilidad que algunos de los elementos de este documento pueden estar sujetos a derechos de
patente. ISO e IEC no serán responsables de identificar cualquiera de tales derechos.
La norma ISO 27001 fue preparada por el Comité Técnico Conjunto ISO/IEC JTC 1, tecnologías de la información, subcomité
SC 27, Técnicas de seguridad de TI.
Esta segunda edición cancela y reemplaza la primera edición (ISO/IEC 27001:2005), la cual ha sido revisada técnicamente.
0.1 General
Este estándar internacional ha sido preparado para especificar requisitos para establecer, implementar, mantener y mejorar de
manera continua un sistema de gestión de seguridad de la información (ISMS / SGSI). La adopción de un sistema de gestión de
seguridad de la información es una decisión estratégica para la organización. El establecimiento e implementación de un
sistema de gestión de seguridad de la información está influenciado por las necesidades y objetivos de la organización, sus
requisitos de seguridad, sus procesos organizacionales en uso y el tamaño y estructura de la organización. Se espera que estos
factores de influencia, cambien con el tiempo. El sistema de gestión de seguridad de la información preserva la confidencialidad,
la integridad y la disponibilidad de la información al aplicar un procesos de gestión del riesgo y otorgar confianza a las partes
interesadas sobre la adecuada gestión del riesgo.
Es importante tener en cuenta que el sistema de gestión de seguridad de la información es parte de y está integrado con los
procesos de la organización y la estructura general de gestión, y que la seguridad de la información es considerada en el diseño
de procesos, sistemas de información y los controles. Se espera que la implementación de un sistema de gestión de seguridad
de la información sea escalada según las necesidades de la organización. Este estándar internacional puede ser usado por
partes internas o externas para evaluar la capacidad de la organización para alcanzar los requisitos propios de la organización
en seguridad de la información.
El orden en el cual son presentados los requisitos de este estándar internacional no refleja su importancia o implica el orden en
el cual van a ser implementados. Los ítems en listas son enumerados únicamente por propósitos de referencia.
La norma ISO/IEC 27000 describe la visión general y el vocabulario de los sistemas de gestión de seguridad de la información,
con referencias a la familia de estándares en seguridad de la información (incluyendo ISO/IEC 27003, ISO/IEC 27004 e ISO/IEC
27005)
Este estándar internacional aplica la estructura de alto nivel, títulos idénticos de sub cláusulas, textos idénticos, términos
comunes, y las definiciones centrales definidas en el Anexo SL de las directivas ISO/IEC, parte 1, suplemento consolidado ISO,
y por ello mantiene compatibilidad con otros estándares de sistemas de gestión que han adoptado el Anexo SL.
Este enfoque común definido en el Anexo SL es útil para aquellas organizaciones que escogen operar un único sistema de
gestión que cumple requisitos de dos o más estándares de sistemas de gestión.
1 ALCANCE
Este estándar internacional especifica los requisitos para establecer, implementar, mantener y mejorar de manera continua un
sistema de gestión de seguridad de la información dentro del contexto de la organización. Este estándar internacional también
incluye requisitos para la evaluación y tratamiento de riesgos de seguridad de la información de forma específica a las
necesidades de la organización. Los requisitos establecidos en este estándar internacional son genéricos con la intención de ser
aplicables a todas las organizaciones, de manera independiente a su tipo, tamaño o naturaleza. La exclusión de los requisitos
especificados en las cláusulas 4 a 10 no es aceptable cuando una organización clama la conformidad con este estándar
internacional.
2 REFERENCIAS NORMATIVAS
Los siguientes documentos, en todo o en parte, son referenciados normativamente en este documento y son indispensables
para su aplicación. Para referencias con fechas, solo la edición citada aplica. Para referencias sin fecha, aplica la última edición
del documento referenciado (incluyendo cualquier enmienda).
ISO/IEC 27000, tecnologías de la información – técnicas de seguridad – sistemas de gestión de seguridad de la información –
Visión general y vocabulario.
3 TÉRMINOS Y DEFINICIONES
Para los propósitos de este documento, aplican los términos y definiciones dados en la norma ISO/IEC 27001.
4 CONTEXTO DE LA ORGANIZACIÓN
La organización debe determinar los factores externos e internos relevantes para sus fines y que afectan su capacidad de lograr
los resultados esperados del sistema de gestión de seguridad de la información.
Nota: La determinación de estos factores hace referencia al establecimiento del contexto externo e interno de la organización
según se considera en la cláusula 5.3 de ISO 31000:2009.
a) Las partes interesadas que son relevantes al sistema de gestión de seguridad de la información; y
b) Los requisitos de esas partes interesadas, que sean relevantes a la seguridad de la información.
Nota: Los requisitos de las partes interesadas pueden incluir requisitos legales y regulatorios y obligaciones contractuales.
La organización debe determinar los límites y aplicabilidad del sistema de gestión de seguridad de la información para
establecer su alcance.
La organización debe establecer, implementar, mantener y mejorar de forma continua un sistema de gestión de seguridad de la
información, de acuerdo con los requisitos de este estándar internacional.
5 LIDERAZGO
La alta dirección debe demostrar liderazgo y compromiso con respecto al sistema de seguridad de la información, al:
a) Asegurar que se establecen la política de seguridad de la información y los objetivos de seguridad de la información, y son
compatibles con el direccionamiento estratégico de la organización;
b) Asegurar la integración de los requisitos del sistema de gestión de seguridad de la información con los procesos de la
organización;
c) Asegurar la disponibilidad de los recursos necesarios del sistema de gestión de seguridad de la información;
d) Comunicar la importancia de la gestión efectiva de la seguridad de la información y de la conformidad con los requisitos del
sistema de gestión de seguridad de la información;
e) Asegurar que el sistema de gestión de seguridad de la información alcanza sus resultados esperados;
f) Dirigir y soportar las personas, para contribuir a la eficacia del sistema de gestión de seguridad de la información;
g) Promover la mejora continua; y
h) Soportar otros roles relevantes de gestión para demostrar su liderazgo según aplique a sus áreas de responsabilidad.
5.2 Política
La alta dirección debe asegurar la asignación y comunicación de las responsabilidades y autoridades para los roles relevantes
para la seguridad de la información.
6 PLANEACIÓN
6.1.1. General
Cuando se realice la planeación del sistema de gestión de seguridad de la información, la organización debe considerar los
factores (4.1) y los requisitos (4.2) referidos para determinar los riesgos y oportunidades a ser tratados para:
a) Asegurar que el sistema de gestión de seguridad de la información alcance sus resultados esperados;
b) Prevenir o reducir efectos no deseados; y
c) Lograr la mejora continua.
La organización debe definir y aplicar procesos de evaluación del riesgo de seguridad de la información que:
La organización debe retener información documentada sobre los procesos de evaluación del riesgo en seguridad de la
información.
La organización debe definir y aplicar un proceso de tratamiento de riesgos en seguridad de la información para:
a) Seleccionar las opciones apropiadas de tratamiento de riesgos en seguridad de la información, considerando los resultados
de la evaluación del riesgo;
La organización debe retener información documentada sobre el proceso de tratamiento de riesgos en seguridad de la
información.
Nota: La evaluación del riesgo en seguridad de la información y su proceso de tratamiento en este estándar internacional está
en alineación con los principios y guías genéricas suministradas en ISO 31000.
La organización debe establecer objetivos de seguridad de la información en las funciones y niveles relevantes.
Al realizar la planeación sobre cómo alcanzar sus objetivos en seguridad de la información, la organización debe determinar:
f) Que se va a hacer;
g) Que recursos se requieren;
h) Quien será el responsable;
i) Cuando será finalizada tal acción; y
j) Como se evaluarán los resultados.
7 SOPORTE
7.1 Recursos
La organización debe determinar y proveer los recursos necesarios para establecer, implementar, mantener y mejorar de forma
continua el sistema de gestión de seguridad de la información.
7.2 Competencia
La organización debe:
6 ISO 27001:2013 Traducción no oficial de uso académico
Autor: Ing. Juan Carlos Angarita C., M.E. (jcac2000@hotmail.com)
Prohibida su copia o reproducción no autorizada o su alteración en general
a) Determinar las competencias necesarias de las personas que realicen trabajos bajo su control que afecten su desempeño en
seguridad de la información;
b) Asegurar que estar personas sean competentes en términos de una educación, entrenamiento y experiencia, adecuados;
c) Cuando sea aplicable, emprender acciones para adquirir las competencias necesarias y evaluar la eficacia de las acciones
tomadas; y
d) Retener la información documentada apropiada como evidencia de la competencia.
Nota: Las acciones aplicables pueden incluir, por ejemplo: suministrar entrenamiento, guía, reasignación de personal, o contratar
las personas competentes.
7.3 Conciencia
Las personas realizando trabajos bajo el control de la organización deben ser conscientes de:
7.4 Comunicación
La organización debe determinar la necesidad de las comunicaciones externas e internas, relevantes al sistema de gestión de
seguridad de la información, incluyendo:
a) Que comunicar,
b) Cuando comunicar,
c) Con quien comunicarse;
d) Quien deberá comunicar; y
e) Los procesos por los cuales la comunicación debe ser realizada.
7.5.1 General
Nota: La extensión de la información documentada del sistema de gestión de seguridad de la información puede diferir de una
organización a otra, debido a:
La información documentada requerida por el sistema de gestión de seguridad de la información y por este estándar
internacional debe ser controlada para asegurar que:
Para el control de la información documentada, la organización debe atender las siguientes actividades, según sea aplicable:
La información documentada de origen externo, determinada por la organización como necesaria para la planeación y la
operación del sistema de gestión de seguridad de la información debe ser identificada, según sea apropiado, y controlada.
Nota: El acceso (a la información) implica una decisión acerca de los permisos para ver la información documentado, o el
permiso o autoridad para ver y cambiar la información documentada, etc.
8 OPERACIÓN
La organización debe planear, implementar y controlar los procesos necesarios para cumplir los requisitos de seguridad de la
información, y para implementar las acciones determinadas (6.1). La organización también debe implementar planes para
alcanzar los objetivos de seguridad de la información determinados (6.2)
La organización debe mantener información documentada en la extensión necesaria para asegurar que los procesos se realizan
en la forma planeada.
La organización debe controlar los cambios planeados y revisar las consecuencias de cambios no intencionales, tomando
acciones para mitigar cualquier efecto adverso, según sea necesario.
La organización debe asegurar que los procesos externalizados estén determinados y sean controlados.
La organización debe realizar evaluaciones del riesgo en seguridad de la información a intervalos planeados o cuando se
propongan u ocurran cambios significativas, considerando los criterios establecidos (6.1.2.a)
La organización debe retener información documentada sobre los resultados de la evaluación del riesgo en seguridad de la
información.
La organización debe retener información documentada sobre los resultados del tratamiento de riesgos en seguridad de la
información.
La organización debe evaluar el desempeño de la seguridad de la información y la efectividad del sistema de gestión de
seguridad de la información.
La organización debe retener la información documentada apropiada como evidencia de los resultados de supervisión y de
medición.
La organización debe realizar auditorías internas a intervalos planificados para suministrar información respecto a si el sistema
de gestión de seguridad de la información:
a) Es conforme a:
1) Los requisitos propios de la organización para su sistema de gestión de seguridad de la información; y
2) Los requisitos de este estándar internacional;
b) Está implementado y mantenido de forma eficaz.
La organización debe:
c) Planear, establecer, implementar y mantener programa(s) de auditoría, y frecuencia, métodos, responsabilidades, requisitos
de planeación y de reporte. El(los) programa(s) de auditoría debe(n) tener en cuenta la importancia de los procesos de
interés y los resultados de auditorías anteriores;
d) Definir los criterios de auditoría y el alcance de cada auditoría;
e) Seleccionar auditores y realizar auditorías que aseguren la objetividad e imparcialidad del proceso de auditoría;
f) Asegurar que los resultados de las auditorías son reportados a la unidad de gestión relevante; y
g) Retener información documentada como evidencia de la implementación del programa de auditoría y sus resultados.
La alta dirección debe revisar el sistema de gestión de seguridad de la información de la organización, a intervalos planificados,
para asegurar su continua idoneidad, suficiencia y eficacia.
La organización debe retener información documentada como evidencia de los resultados de las revisiones por la dirección.
10 MEJORA
Las acciones correctivas deben ser apropiadas a los efectos de las no conformidades encontradas.
La organización debe mejorar de manera continua la idoneidad, suficiencia y eficacia del sistema de gestión de seguridad de la
información.
Los objetivos de control y controles listados se derivan directamente y están alineados con los requisitos de la norma ISO/IEC
27002:2013[1], del número 5 al 18, y están para ser usados en contexto con la cláusula 6.1.3.
[1] ISO/IEC 27002:2013, Information technology — Security Techniques — Code of practice for information security controls
[2] ISO/IEC 27003, Information technology — Security techniques — Information security management system implementation
guidance
[3] ISO/IEC 27004, Information technology — Security techniques — Information security management — Measurement
[4] ISO/IEC 27005, Information technology — Security techniques — Information security risk management
[5] ISO 31000:2009, Risk management — Principles and guidelines
[6] ISO/IEC Directives, Part 1, Consolidated ISO Supplement – Procedures specific to ISO, 2012 requirements with Guidance
for Use