Documentos de Académico
Documentos de Profesional
Documentos de Cultura
COLOMBIANA 27001
2013-12-11
TECNOLOGÍA DE LA INFORMACIÓN.
TÉCNICAS DE SEGURIDAD. SISTEMAS DE
GESTIÓN DE LA SEGURIDAD DE LA
INFORMACIÓN. REQUISITOS
I.C.S.: 35.040
PRÓLOGO
ICONTEC es una entidad de carácter privado, sin ánimo de lucro, cuya Misión es fundamental
para brindar soporte y desarrollo al productor y protección al consumidor. Colabora con el sector
gubernamental y apoya al sector privado del país, para lograr ventajas competitivas en los
mercados interno y externo.
La norma NTC-ISO-IEC 27001 (Primera actualización) fue ratificada por el Consejo Directivo de
2013-12-11.
Esta norma está sujeta a ser actualizada permanentemente con el objeto de que responda en
todo momento a las necesidades y exigencias actuales.
A continuación se relacionan las empresas que colaboraron en el estudio de esta norma a través
de su participación en el Comité Técnico 181 Gestión de la tecnología de la información.
DIRECCIÓN DE NORMALIZACIÓN
NORMA TÉCNICA COLOMBIANA NTC-ISO-IEC 27001 (Primera actualización)
CONTENIDO
Página
INTRODUCCIÓN .......................................................................................................................
i
0.1 GENERALIDADES ........................................................................................................i
5. LIDERAZGO .................................................................................................................2
6. PLANIFICACIÓN ..........................................................................................................4
NORMA TÉCNICA COLOMBIANA NTC-ISO-IEC 27001 (Primera actualización)
7. SOPORTE .....................................................................................................................6
7.1 RECURSOS .................................................................................................................. 6
8. OPERACIÓN ................................................................................................................8
BIBLIOGRAFÍA ...................................................................................................................... 25
ANEXO A (Normativo)
OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA ......................................... 13
INTRODUCCIÓN
0.1 GENERALIDADES
La presente Norma puede ser usada por partes internas y externas para evaluar la capacidad de
la organización para cumplir los requisitos de seguridad de la propia organización.
El orden en que se presentan los requisitos en esta Norma no refleja su importancia ni el orden
en el que se van a implementar. Los elementos de la lista se enumeran solamente para
propósitos de referencia.
Esta Norma aplica la estructura de alto nivel, títulos idénticos de numerales, texto idéntico,
términos comunes y definiciones esenciales definidas en el Anexo SL de las Directivas ISO/IEC,
Parte 1, Suplemento ISO consolidado, y por tanto, mantiene la compatibilidad con otras normas
de sistemas de gestión que han adoptado el Anexo SL.
Este enfoque común definido en el Anexo SL será útil para aquellas organizaciones que decidan
poner en funcionamiento un único sistema de gestión que cumpla los requisitos de dos o más
normas de sistemas de gestión.
TECNOLOGÍA DE LA INFORMACIÓN.
TÉCNICAS DE SEGURIDAD.
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN.
REQUISITOS
Esta Norma especifica los requisitos para establecer, implementar, mantener y mejorar
continuamente un sistema de gestión de la seguridad de la información dentro del contexto de la
organización. La presente Norma incluye también los requisitos para la valoración y el tratamiento
de riesgos de seguridad de la información, adaptados a las necesidades de la organización. Los
requisitos establecidos en esta Norma son genéricos y están previstos para ser aplicables a todas
las organizaciones, independientemente de su tipo, tamaño o naturaleza. Cuando una
organización declara conformidad con esta Norma, no es aceptable excluir cualquiera de los
requisitos especificados de los numerales 4 al 10.
2. REFERENCIAS NORMATIVAS
3. TÉRMINOS Y DEFINICIONES
NORMA TÉCNICA COLOMBIANA NTC-ISO-IEC 27001 (Primera actualización)
Para los propósitos de este documento se aplican los términos y definiciones presentados en la
norma ISO/IEC 27000.
4. CONTEXTO DE LA ORGANIZACIÓN
La organización debe determinar las cuestiones externas e internas que son pertinentes para su
propósito y que afectan su capacidad para lograr los resultados previstos de su sistema de
gestión de la seguridad de la información.
NOTA La determinación de estas cuestiones hace referencia a establecer el contexto externo e interno de la
organización, considerado en el numeral 5.3 de la NTC-ISO 31000:2011[5].
1 de 26
NORMA TÉCNICA COLOMBIANA NTC-ISO-IEC 27001 (Primera actualización)
NOTA Los requisitos de las partes interesadas pueden incluir los requisitos legales y reglamentarios, y las obligaciones
contractuales.
c) las interfaces y dependencias entre las actividades realizadas por la organización, y las
que realizan otras organizaciones.
5. LIDERAZGO
La alta dirección debe demostrar liderazgo y compromiso con respecto al sistema de gestión de
la seguridad de la información:
2
NORMA TÉCNICA COLOMBIANA NTC-ISO-IEC 27001 (Primera actualización)
f) dirigiendo y apoyando a las personas, para contribuir a la eficacia del sistema de gestión
de la seguridad de la información;
5.2 POLÍTICA
La alta dirección debe asegurarse de que las responsabilidades y autoridades para los roles
pertinentes a la seguridad de la información se asignen y comuniquen.
3
NORMA TÉCNICA COLOMBIANA NTC-ISO-IEC 27001 (Primera actualización)
NOTA La alta dirección también puede asignar responsabilidades y autoridades para informar sobre el desempeño del
sistema de gestión de la seguridad de la información dentro de la organización.
6. PLANIFICACIÓN
6.1.1 Generalidades
e) la manera de:
4
NORMA TÉCNICA COLOMBIANA NTC-ISO-IEC 27001 (Primera actualización)
1) comparar los resultados del análisis de riesgos con los criterios de riesgo
establecidos en 6.1.2 a) y
b) determinar todos los controles que sean necesarios para implementar las opciones
escogidas para el tratamiento de riesgos de la seguridad de la información;
NOTA Las organizaciones pueden diseñar los controles necesarios, o identificarlos de cualquier fuente.
c) comparar los controles determinados en 6.1.3 b) con los del Anexo A, y verificar que no
se han omitidos controles necesarios;
NOTA 1 El Anexo A contiene una lista amplia de objetivos de control y controles. Se invita a los usuarios de
esta Norma a consultar el Anexo A, para asegurar que no se pasen por alto los controles necesarios.
NOTA 2 Los objetivos de control están incluidos implícitamente en los controles escogidos. Los objetivos de
control y los controles enumerados en el Anexo A no son exhaustivos, y pueden ser necesarios objetivos de
control y controles adicionales.
5
NORMA TÉCNICA COLOMBIANA NTC-ISO-IEC 27001 (Primera actualización)
d) producir una declaración de aplicabilidad que contenga los controles necesarios (véanse
el numeral 6.1.3 b) y c)) y la justificación de las inclusiones, ya sea que se implementen
o no, y la justificación para las exclusiones de los controles del Anexo A;
f) obtener, de parte de los dueños de los riesgos, la aprobación del plan de tratamiento de
riesgos de la seguridad de la información, y la aceptación de los riesgos residuales de la
seguridad de la información.
NOTA El proceso de valoración y tratamiento de riesgos de la seguridad de la información que se presenta en esta
Norma se alinea con los principios y directrices genéricas suministradas en la ISO 31000[5].
d) ser comunicados; y
f) lo que se va a hacer;
i) cuándo se finalizará; y
6
NORMA TÉCNICA COLOMBIANA NTC-ISO-IEC 27001 (Primera actualización)
7. SOPORTE
7.1 RECURSOS
7.2 COMPETENCIA
La organización debe:
c) cuando sea aplicable, tomar acciones para adquirir la competencia necesaria y evaluar la
eficacia de las acciones tomadas; y
NOTA Las acciones aplicables pueden incluir, por ejemplo: la formación, la tutoría o la reasignación de las personas
empleadas actualmente; o la contratación de personas competentes.
Las personas que realizan el trabajo bajo el control de la organización deben tomar conciencia
de:
7.4 COMUNICACIÓN
a) el contenido de la comunicación;
b) cuándo comunicar;
c) a quién comunicar;
7
NORMA TÉCNICA COLOMBIANA NTC-ISO-IEC 27001 (Primera actualización)
7.5.1 Generalidades
NOTA El alcance de la información documentada para un sistema de gestión de la seguridad de la información puede
ser diferente de una organización a otra, debido a:
b) el formato (por ejemplo, idioma, versión del software, gráficos) y sus medios de soporte
(por ejemplo, papel, electrónico);
8
NORMA TÉCNICA COLOMBIANA NTC-ISO-IEC 27001 (Primera actualización)
f) retención y disposición.
NOTA El acceso implica una decisión concerniente al permiso solamente para consultar la información documentada,
o el permiso y la autoridad para consultar y modificar la información documentada, etc.
8. OPERACIÓN
La organización debe planificar, implementar y controlar los procesos necesarios para cumplir
los requisitos de seguridad de la información y para implementar las acciones determinadas en
el numeral 6.1. La organización también debe implementar planes para lograr los objetivos de la
seguridad de la información determinados en el numeral 6.2.
La organización debe controlar los cambios planificados y revisar las consecuencias de los
cambios no previstos, tomando acciones para mitigar los efectos adversos, cuando sea
necesario.
La organización debe asegurar que los procesos contratados externamente estén controlados.
9
NORMA TÉCNICA COLOMBIANA NTC-ISO-IEC 27001 (Primera actualización)
a) a qué es necesario hacer seguimiento y qué es necesario medir, incluidos los procesos y
controles de la seguridad de la información;
b) los métodos de seguimiento, medición, análisis y evaluación, según sea aplicable, para
asegurar resultados válidos;
NOTA Para ser considerados válidos, los métodos seleccionados deberían producir resultados comparables
y reproducibles.
La organización debe llevar a cabo auditorías internas a intervalos planificados, para proporcionar
información acerca de si el sistema de gestión de la seguridad de la información:
a) es conforme con:
La organización debe:
10
NORMA TÉCNICA COLOMBIANA NTC-ISO-IEC 27001 (Primera actualización)
NOTA Para mayor información consultar las normas NTC-ISO 19011 y NTC-ISO 27007
a) el estado de las acciones con relación a las revisiones previas por la dirección;
b) los cambios en las cuestiones externas e internas que sean pertinentes al sistema de
gestión de la seguridad de la información;
3) resultados de la auditoría; y
Los elementos de salida de la revisión por la dirección deben incluir las decisiones relacionadas
con las oportunidades de mejora continua y cualquier necesidad de cambio en el sistema de
gestión de la seguridad de la información.
10. MEJORA
11
NORMA TÉCNICA COLOMBIANA NTC-ISO-IEC 27001 (Primera actualización)
1) la revisión de la no conformidad
Las acciones correctivas deben ser apropiadas a los efectos de las no conformidades
encontradas.
12
NORMA TÉCNICA COLOMBIANA NTC-ISO-IEC 27001 (Primera actualización)
ANEXO A
(Normativo)
Objetivo: Brindar orientación y soporte, por parte de la dirección, para la seguridad de la información de acuerdo con
los requisitos del negocio y con las leyes y reglamentos pertinentes.
Objetivo: Establecer un marco de referencia de gestión para iniciar y controlar la implementación y la operación de la
seguridad de la información dentro de la organización.
13
NORMA TÉCNICA COLOMBIANA NTC-ISO-IEC 27001 (Primera actualización)
Continúa…
Objetivo: Asegurar que los empleados y contratistas comprenden sus responsabilidades y son idóneos en los roles
para los que se consideran.
Objetivo: Asegurarse de que los empleados y contratistas tomen conciencia de sus responsabilidades de seguridad de
la información y las cumplan.
Objetivo:
Proteger los intereses de la organización como parte del proceso de cambio o terminación de empleo.
14
NORMA TÉCNICA COLOMBIANA NTC-ISO-IEC 27001 (Primera actualización)
15
NORMA TÉCNICA COLOMBIANA NTC-ISO-IEC 27001 (Primera actualización)
Objetivo: Identificar los activos organizacionales y definir las responsabilidades de protección apropiadas.
Objetivo: Asegurar que la información recibe un nivel apropiado de protección, de acuerdo con su importancia para la
organización.
16
NORMA TÉCNICA COLOMBIANA NTC-ISO-IEC 27001 (Primera actualización)
Tabla A.1.
(Continuación)
Objetivo:
Asegurar el acceso de los usuarios autorizados y evitar el acceso no autorizado a sistemas y servicios.
Objetivo: Hacer que los usuarios rindan cuentas por la salvaguarda de su información de autenticación.
17
NORMA TÉCNICA COLOMBIANA NTC-ISO-IEC 27001 (Primera actualización)
A.10 CRIPTOGRAFÍA
Objetivo: Asegurar el uso apropiado y eficaz de la criptografía para proteger la confidencialidad, la autenticidad y/o la
integridad de la información.
Objetivo: Prevenir el acceso físico no autorizado, el daño y la interferencia a la información y a las instalaciones de
procesamiento de información de la organización.
18
NORMA TÉCNICA COLOMBIANA NTC-ISO-IEC 27001 (Primera actualización)
Tabla A.1.
(Continuación)
A.11.2 Equipos
Objetivo: Prevenir la pérdida, daño, robo o compromiso de activos, y la interrupción de las operaciones de la
organización.
19
NORMA TÉCNICA COLOMBIANA NTC-ISO-IEC 27001 (Primera actualización)
Objetivo: Asegurar las operaciones correctas y seguras de las instalaciones de procesamiento de información.
Objetivo: Asegurarse de que la información y las instalaciones de procesamiento de información estén protegidas contra
códigos maliciosos.
Objetivo:
Proteger contra la pérdida de datos.
20
NORMA TÉCNICA COLOMBIANA NTC-ISO-IEC 27001 (Primera actualización)
Tabla A.1.
(Continuación)
Objetivo:
Asegurarse de la integridad de los sistemas operacionales.
21
NORMA TÉCNICA COLOMBIANA NTC-ISO-IEC 27001 (Primera actualización)
Tabla A.1.
(Continuación)
Objetivo: Mantener la seguridad de la información transferida dentro de una organización y con cualquier entidad
externa.
A.13.2.1 Políticas y procedimientos
de Control
de transferencia Se debe contar con políticas, procedimientos y controles de transferencia
información formales para proteger la transferencia de información mediante el uso de
todo tipo de instalaciones de comunicaciones.
A.13.2.2 Acuerdos sobre Control
transferencia de Los acuerdos deben tratar la transferencia segura de información del negocio
información entre la organización y las partes externas.
A.13.2.3 Mensajería electrónica Control
Se debe proteger adecuadamente la información incluida en la mensajería
electrónica.
22
NORMA TÉCNICA COLOMBIANA NTC-ISO-IEC 27001 (Primera actualización)
Tabla A.1.
(Continuación)
23
NORMA TÉCNICA COLOMBIANA NTC-ISO-IEC 27001 (Primera actualización)
Tabla A.1.
(Continuación)
A.14.2.6 Ambiente de Control
desarrollo seguro Las organizaciones deben establecer y proteger adecuadamente los
ambientes de desarrollo seguros para las actividades de desarrollo e
integración de sistemas que comprendan todo el ciclo de vida de desarrollo
de sistemas.
A.14.2.7 Desarrollo contratado Control
externamente La organización debe supervisar y hacer seguimiento de la actividad de
desarrollo de sistemas contratados externamente.
Objetivo: Asegurar la protección de los activos de la organización que sean accesibles a los proveedores.
Objetivo:
Mantener el nivel acordado de seguridad de la información y de prestación del servicio en línea con los acuerdos con
los proveedores.
A.15.2.1 Seguimiento y revisión de los Control
servicios de los Las organizaciones deben hacer seguimiento, revisar y auditar con
proveedores regularidad la prestación de servicios de los proveedores.
24
NORMA TÉCNICA COLOMBIANA NTC-ISO-IEC 27001 (Primera actualización)
Tabla A.1.
(Continuación)
Objetivo: Asegurar un enfoque coherente y eficaz para la gestión de incidentes de seguridad de la información, incluida
la comunicación sobre eventos de seguridad y debilidades.
A.16.1.1 Responsabilidades y Control
procedimientos Se deben establecer las responsabilidades y procedimientos de gestión
para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de
seguridad de la información.
Objetivo: La continuidad de seguridad de la información se debe incluir en los sistemas de gestión de la continuidad de
negocio de la organización.
25
NORMA TÉCNICA COLOMBIANA NTC-ISO-IEC 27001 (Primera actualización)
Tabla A.1.
(Continuación)
A.17.1.1 Planificación de la continuidad de Control
la seguridad de la La organización debe determinar sus requisitos para la seguridad de la
información información y la continuidad de la gestión de la seguridad de la
información en situaciones adversas, por ejemplo, durante una crisis o
desastre.
A.17.2 Redundancias
A.18 CUMPLIMIENTO
26
NORMA TÉCNICA COLOMBIANA NTC-ISO-IEC 27001 (Primera actualización)
Tabla A.1.
(Continuación)
27
NORMA TÉCNICA COLOMBIANA NTC-ISO-IEC 27001 (Primera actualización)
BIBLIOGRAFÍA
[1] ISO/IEC 27002:2013, Information Technology. Security Techniques. Code of Practice for
Information Security Controls.
[6] ISO/IEC Directives, Part 1, Consolidated ISO Supplement. Procedures Specific to ISO,
2012.
28
NORMA TÉCNICA COLOMBIANA NTC-ISO-IEC 27001 (Primera actualización)
29
NORMA TÉCNICA COLOMBIANA NTC-ISO-IEC 27001 (Primera actualización)
DOCUMENTO DE REFERENCIA
30