RESUMEN NORMAS NTC-ISO 27001 Y LA ISO 27001

JOVANNI ANDRES MARTINEZ

ALEJANDRA VILLADA URIBE

DANIEL RIVERA BETARCUR

CENTRO DE TECNOLOGÍA DE LA MANUFACTURA AVANZADA

SENA, MEDELLÍN

201
 RESUMEN NORMAS NTC-ISO 27001 Y LA ISO 27001

Presentado a:

JUAN DAVID GRAJALES BUSTAMANTE

CARLOS ANDRES FERNANDEZ BEDOYA

BAYRON JESIT OSPINA CIFUENTES

LAURA HELENA VALDERRAMA LOPEZ

SEGURIDAD EN REDES DE COMPUTADORES

CENTRO DE TECNOLOGÍA DE LA MANUFACTURA AVANZADA

SENA, MEDELLIN

2016
ISO/IEC 27001 es un estándar para la seguridad de la información (Information technology
- Security techniques - Information security management systems - Requirements) aprobado
y publicado como estándar internacional en octubre de 2005 por International Organization
for Standardization y por la comisión International Electrotechnical Commission.
Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar
un sistema de gestión de la seguridad de la información (SGSI) según el conocido como
“Ciclo de Deming”: PDCA - acrónimo de Plan, Do, Check, Act (Planificar, Hacer,
Verificar, Actuar). Es consistente con las mejores prácticas descritas en ISO/IEC 27002,
anteriormente conocida como ISO/IEC 17799, con orígenes en la norma BS 7799-2:2002,
desarrollada por la entidad de normalización británica, la British Standards Institution(BSI).

La versión actual de la norma (NTC-ISO-IEC 27001:2013) se encuentra normalizada por el

Instituto Colombiano de Normas y Técnicas y Certificación ICONTEC. 1 . Dicha norma es
una adopción idéntica (IDT) por traducción de la norma ISO/IEC 27001:2013.1
Esta norma se encuentra dividida en dos partes; la primera se compone de 10 puntos entre
los cuales se encuentran:

1. Objeto y campo de aplicación: Especifica la finalidad de la norma y su uso dentro

de una organización.
2. Referencias normativas
3. Termino y definiciones: Los términos y definiciones usados se basan en la norma
ISO/IEC 27000.
4. Contexto de la organización: Se busca determinar las necesidades y expectativas
dentro y fuera de la organización que afecten directa o indirectamente al sistema de
gestión de la seguridad de la información. Adicional a esto, se debe determinar el
alcance.
5. Liderazgo: Habla sobre la importancia de la alta dirección y su compromiso con el
sistema de gestión, estableciendo políticas, asegurando la integración de los
requisitos del sistema de seguridad en los procesos de la organización, así como los
recursos necesarios para su implementación y operabilidad.
6. Planificación: Se deben valorar, analizar y evaluar los riesgos de seguridad de
acuerdo a los criterios de aceptación de riesgos, adicional mente se debe dar un
tratamiento a los riesgos de la seguridad de la información. Los objetivos y los
planes para logar dichos objetivos también se deben definir en este punto.
7. Soporte: Se trata sobre los recursos destinados por la organización, la competencia
de personal, la toma de conciencia por parte de las partes interesadas, la
 importancia sobre la comunicación en la organización. La importancia de la
información documentada, también se trata en este punto.
8. Operación: El como se debe planificar y controlar la operación, así como la
valoración de los riesgos y su tratamiento.
9. Evaluación de desempeño: Debido a la importancia del ciclo PHVA (Planificar,
Hacer, Verificar, Actuar), se debe realizar un seguimiento, medición, análisis y
evaluación del sistema de gestión de la información.
10.Mejora: Habla sobre el tratamiento de las no conformidades, las acciones
correctivas y a mejora continua.