& icontec Internacional NORMA TECNICA NTC-ISO/IEC COLOMBIANA 27000 2017-03-22 TECNOLOGIA DE LA INFORMACION. TECNICAS DE SEGURIDAD. SISTEMAS DE GESTION DE SEGURIDAD DE LA INFORMACION (SGSI). VISION GENERAL Y VOCABULARIO E: INFORMATION TECHNOLOGY. SECURITY TECHNIQUES. INFORMATION SECURITY MANAGEMENT SYSTEMS. (OVERVIEW AND VOCABULARY CORRESPONDENCIA: festa norma es idéntica por traduccion (OT) de la ISONEC 27000:2016. DESCRIPTORES: informacion; seguridad de la Informacion; sistoma de gestion, términas; vocabulario. Les. 01,040.35; 35.040 ‘Ediada poo) netto Colotiana da Noras Tésvess y Carfcacon (CONTEC) ‘Apatade 14257 Bogols, D.C. ~ Te, (S71) GOTREEE - Fox (671) 2221430 Prohibis su reprosuccén sitada 2017-03-29PROLOGO EI Instituto Colombiano de Normas Técnicas y Cartificacién, ICONTEC, es el organisma nacional de normalizacién, segin el Decreto 1595 de 2016. ICONTEC es una entidad de cardcter privado, sin animo de lucro, cuya Misin es fundamental para brindar soporte y desarrollo al productor y proteccién al consumidor. Colabora con el sector gubernamental y apoya al sector. el pais, para lograr ventajas competiivas en los mercados interno y externo. { La representacién de todas los sf e! proceso de Normalizacion Técnica esté garantizada por los Coy i de Consulta Publica, este titimo de 2017-03-22. COMPENSAR ECOPETROL S.A, . EFECTIVO LTDA, -EFECTY-| COLOMBIA E8E S.A. GAMA CONSULTING SAS. GOVERNATI GREENSQA S.A, DISTANCIA -UNAD- GSC OUTSOURCING UNIVERSIDAD NACIONAL DE COLOMBIA INSTITUTO COLOMBIANO PARA LA EVALUACION DE LA EDUCACION - ICFE Ademas de las anteriores, en Consulta Publica el Proyecto se puso a consideracién de las siguientes empresas. AVIANCA ENTELGY COLOMBIA S.AS. BANCO DAVIVIENA EXTRUCOL S.A, BP SERVICES SAS. FLUIDSIGNAL GROUP S.A CONSORCIO SIM GERENTEDENEGOCIOS.COM SAS. CROSS BORDER TECHNOLOGY S.AS. NEWNET S.APROLOGO: 'SO_(Organizactén internacional de Normalizacion) e IEC (Comisién Electrotécnica Iintermacional) forman el sistema especializado para la normalizacion a nivel mundial. Los organismos nacionales que son miembros de ISO 6 IEC participan en el desarrollo de narmas Internacionales a través de los comités técnicos establecides por la organizacién raspectiva ara trater campos particulares de Ia actividad técnica. Los comités técnicos de ISO e IEC colaboran en los campos de mulyemiinteyss. Otras oxganizaciones intemacionales, gubernamentales y no gubernamentalel yacidn con ISO e IEC, también participan en el trabajo. En el campo de Tecnol gn, ISO e IEC han establecido el comité técnica conjunto ISO/IEC JTC 1 tes Los procedimientos usados Mia Beeiicumento y los previstos para su mantenimiento posterior se dest le ]O/IEC, Parte 1. fn particular, se deberian tener en ci apreoee esarios para los diferentes tipos de documenta, las reglas editoriales de las Directivas ISQ este documento principios de ta OMC 6M cuar enlace: hitps://vn.is0. oral El comité responsable de este" IT Secunty Techniques. La ISONEC 27000:2016 correspond IB eijsria ecicion cancela y reemplaza la tercera edicién (iSOMEC 27000:2014), que ha si Alizada técnicamente. NOTA Anivel nacional, la cuastawdiciin dela ISCMEC 27000:2016 corresponde a la NTCISOMIES 27000:2057NORMA TECNICA COLOMBIANA _NTC-ISO/IEC 27000 ot 02 0.3 aA 32 33 34 35 36 37 at 42 43 44 CONTENIDO Pagina INTRODUCCION .. VISION DE CONJUNTO .. LA FAMILIA DE NORMAS DE SGSI OBJETO DE ESTA NORMA INTERNACIONAL... OBJETO Y CAMPO DE APLICACION.... ‘TERMINOS Y DEFINICIONES SISTEMAS DE GESTION DE SEGURIDAD DE LA INFORMACION ... GENERALIDADES .. ZQUE ES UN SGSI7, EL ENFOQUE BASADO EN PROCESOS.. PORQUE ES IMPORTANTE UN SGSI ESTABLECER, REALIZAR SEGUIMIENTO, MANTENER Y MEJORAR EL SGSI 16 FACTORES CRITICOS DE EXITO DE UN SGSI.. BENEFICIOS DE LA FAMILIA DE NORMAS DE SGSI. LA FAMILIA DE NORMAS DE SGSI.... INFORMACION GENERAL NORMAS QUE DESCRIBEN UNA VISION GENERAL Y LA TERMINOLOGIA...... 22 NORMAS QUE ESPECIFICAN REQUISITOS... NORMAS QUE DESCRIBEN GUIAS 0 DIRECTRICES GENERALES ..NORMA TECNICA COLOMBIANA _NTC-ISO/IEC 27000 Pagina 4.5 NORMAS QUE DESCRIBEN GUIAS ESPECIFICAS SECTORIALES. BIBLIOGRAFIA....... DOCUMENTO DE REFERENCIA ff ANEXOSNORMA TECNICA COLOMBIANA _NTC-ISO/IEC 27000 0 INTRODUCCION 0.1 VISION GENERAL Las normas para los sistemas de gestién proporcionan un modelo 3 seguir para la implementacién y operacién de un sistema de gestién. Este modelo incorpora las caracteristicas que los expertos acuerdan como un reflejo del estado del arte a nivel internacional. El subcomité SC27 del comité conjunte ISO/IEC JTC 1 cuenta con un grupo de experios dedicado a Ia elaboracién de normas internacionales sobre sistemas de gestion de seguridad do Ia informacion, también conocido come familia de normas de Sistemas de Gestion de Seguridad de la Informacion (SGSI). Con’el uso de las normas de la familia de SGSI, las organizaciones pueden desarrollar e implementar un marco para gestionar la seguridad de sus activos de informacion incluyendo informacion financiera, propiedad intelectual, informacién del personal, 0 informacién confiada a una arganizacién por clientes 0 por terceros. Estas normas también pueden ser usadas por las organizaciones pera prepararse ante una evaluacion independiente de su SGSt aplicada 2 la proteccién de la informacién. 0.2 LA FAMILIA DE NORMAS DE SSI La familia de normas de SGSI (véase el capitulo 4) tiene como fin, ayudar @ organizaciones de {odo tipo y tamaho a implementar y operar un SGSI. La familia de normas SGSI incluye bajo et titulo general de: Tecnolagia de Ia informacion. Técnices de seguridad las siguientes normas (listadas en orden numérico) = NTC-ISO/IEC 27000, Tecnologia de la informacién. Técnicas de seguridad. Sistemas de Gastién de Seguridad de la Informacién (SGSI. Vision general y vocabulario, - _ NTC-ISONEC 27001, Tecnologia de ta informacién. Técnicas de seguridad. Sistemas de gestion de la seguridad de la inforracién. Requisitos, = GTC-ISOVEC 27002, Tecnologia de la informacion. Técnicas de seguridad. Cédigo de practica para controles de seguridad de la informacion, - GTC-ASOVIEC 27003, Tecnologia de la informacién. Técnicas de seguridad. Guia de Implementacién de un sistema de gestion de la seguridad de la informacion. = ISOMEC 27004, Information technology. Security techniques. Information security ‘management. Measurement. - _ NTG-ISONEC 27005, Tecnologia de la informacibn, Técnicas de seguridad. Gestion del slesgo en la seguridad de la informacion. = ISO/IEC 27008, Information technology. Security techniques.Requirements for bodies providing audit and certification of information security management systems.NORMA TECNICA COLOMBIANA _NTC-ISO/IEC 27000 = ISO/IEC 27007, Information technology. Secunty techniques. Guidelines for information security management systems aualting. = ISO/IEC TR 27008, Information technology. Security techniques. Guidelines for auditors on information security controls. = ISO/IEC 27008, information technology. Security techniques. Sector-specttic application of ISOMEC 27001. Requirements. = ISONIC. 27010, Information technology. Security techniques. Information secunty management for inter-sector and inter organizational communications. - ISO/IEC 27011, Information te Security techniques. Information security management guidelines for tel 1s organizations based on ISOMEC 27002. = ISOMEC 27013, Informati ichniques. Guidance on the integrated implementation of ISOM 1 = ISOMEC 27044, Informati niques. Governance of information security - — ISOEC . Information security practice for of practice for muds acting as Pil management guideline the energy utilly indus NOTA _ El tuo genera L regu” indica quo estas nornas. han sido Geearoliadas por et Subcomie SC 27. el Comité tecnico conjunto ISONEG JTC 1 Tecnologia dela informacion, Las normas cuyo titulo general no es Tecnologia de fa informacion. Técnicas de Seguridad, pero que también son parte de la familia de las normas SGSI son: = ISOMEC 27799:2008, Health informatics. Information security management in health using ISOEC 27002. 0.3 OBJETO DE ESTA NORMA INTERNACIONAL, Esta norma ofrece una vision general de los Sistemas de Gestién de Seguridad de le Informacion (SGSI), y define los terminos relacionados.NORMA TECNICA COLOMBIANA _NTC-ISO/IEC 27000 NOTA El Anexo A actara el uso de algunas formes verbales que se utlizan pare exprasar los resuisit ylo Fecomendaciones on la fama de nomas 62 SGI La familia de normas de SGSI cuenta con normas para: 2) definir fos requisites para un SGSI y para los organismos que certifiquen tales sistemas, b) _prestar apoyo directo, guia ylo interpretacién dotallada para los procesos generales para establecer, implementar, mantener y mejorar un SGSI; ©) ofrecer directrices especiticas para determinados sectores: d) —_abordar la evatuacién de la conformidad de un SGSI. Los términas y definiciones contenides en esta norma = cubren los términos y definiciones de uso comtin en la familia de normas de SGSI; = ne cubren todos los términos y las definiciones utlizados en la familia de normas de GSI y = no limitan a que otras normas la familia de SGSI puedan definir nuevos términos para su uso.NORMA TECNICA COLOMBIANA _NTC-ISO/IEC 27000 TECNOLOGIA DE LA INFORMACION TECNICAS DE SEGURIDAD SISTEMAS DE GESTION DE SEGURIDAD DE LA INFORMACION (SGS!) VISION GENERAL Y VOCABULARIO Esta norma proporciona una vish de gestion de fa seguridad de la informacion, asi comogps término’ GSI. Esta norma’ comerciales, agg (por ejemplo, empresas 0), |. Medios para abourat los requisitos (2.63) 2.3 Ataque (attack). autorizacién o hacer un uso nf un objeto (2.55) que puede ser Janos 0 automaticos. [FUENTE: ISONEC 18939:2007, 22. He JEn la definicion se reemplazo “entidad” por objeto") 8 2.5 Auditoria (audit). Proceso (2.61) sistematico, independiente y documentado para obtener evidencias de auditoria y evalusrlas de manera objetiva con el fin de determinar el grado en el que se cumplen los criterios de auditoria, NOTA elaentrada Una. auaitoria puede sor inerna (do primera pare), o extema (de segunda o tercera pari}, y puede ser comalnada (sombinande dos o mas disciplines), NOTA26/o-entrada —“Evidencin de auctoro”y “ertoros de auctoria” se definen en la Norma ISO 18041 2.6 Alcance de la auditoria (audit scope). Extension y limites de una auditorfa (2.8). [FUENTE: ISO 19017:2011, 3.14, modificada, La Nota 1 a la entrada ha sido eliminadal te 39NORMA TECNICA COLOMBIANA _NTC-ISO/IEC 27000 2.7 Autenticacién (authentication). Asegurar que una caracteristica declarada de una entidad 2 correcta, 2.8 Autenticidad (authenticity). Propiedad de que una entidad es lo que dice ser. 2.9 Disponibilidad (availability). Propiodad de ser accesible y utilzable a demanda por una entidad autorizada, 2.10 Medida base (base measure). Medida (2.47) definida en términos de un atributo (2.4) y el método para cuantificarlo, [FUENTE: ISO/IEC 15939:2007, 2.3, modificada. La Nota 2 ala entrada ha sido eliminada] NOTA ala entrada Una medida base es funcionalmanta independiente de ots medias (2.47). 2.11 Competencia (competence). Capacidad para aplicar conocimientos y habilidades con ef fin de lograr los resultados previstos, 242 Confidencialidad (confidentiality). Propiedad de la informacion gue la hace no disponible 0 sea divulgada a individuos, entidades 0 procesos (2.61) no autorizados. 2.13 Confo! fad (conformity). Cumplimiento de un requisite (2.63). 2.14 Consecuencia (consequence). Resultado de un evento (2.25) que afecta a los objetivos (2.56), [FUENTE: Guia ISO 73:2009, 3.6.1.3, modificada] NOTA e/aentrada. Un evento (2.25) puede conducir a una serio de consecvencias, NOTA2 ola cntrads. Una consecuencia puede sar cierta« incerta y rormalmente es nagatva en el contexte de la seguridad do la inormacten (2.33), NOTAS ala ontada Las consecuencias se pueden expresar deforma cuatativa o euantiatva, NOTA4 ala ontrada Las consecuencias iniciales pusden desencadenar ofocos eoaterales 248 Mejora continua (continual improvement). Actividad recurrent para mejorar el desempero (2.59). 2.16 Control (contro). Medida que mosifica un riesgo (2.68). [FUENTE: !SO Guide 73:2009, 3.8.1.1] NOTA afaontada Los contrles incluyen cusiquir proseso (2.6), pole (2.60), dispositive, artic, tras acciones que madfiquen un resgo (2.68), NOTA? alaentrada Las canttoles no siempre pueden proporcionat el efecto de mosticacion pravieio 0 asurido 2.47 Objetivo de control (control objective). Deciaracion que describe lo que se quiere lograr como resultado de la implementacién de controles (2.16). 2.18 Correccién (correction). Accién para eliminar una no conformidad (2.53) detectada, 249 Accién correctiva (corrective action). Accién para eliminar fa causa de una no conformidad (2.53) y prevenir que welva a ocurtr. 2NORMA TECNICA COLOMBIANA _NTC-ISO/IEC 27000 2.20 Datos (data). Conjunto de valores asociados a medidas base (2.10), medidas derivadas (2.22) ylo indicadores (2.30), [FUENTE: ISONEC 18939:2007, 2.4, modificada, Se ha adicionado la Nota 1 a la entrada] NOTA wlaentrada Esto defniciin sélo 60 aplica on ol contexto ce la Norma ISONEC 27004, 2.21 Criterios de decisién (decisién criteria). Umbrales, objetivos o patrones que se utlizan para determinar la necesidad de una accion o de una mayor investigacién, o para describir el nivel de confianza en un resultado determinado. [FUENTE: ISOMIEC 15999:2007, 2.7] 2.22 Medida derivada (derived measiily: 2.47) que se define en funcién de dos o mas valores de medidas base (2.10) [FUENTE: ISONEC 15939:209; Bole fa entrada ha sido eliminadal 2.23 Informacién document ented ation). informacién que una organizacion (2.57) tie ry Manton 4 uo esta contenida, NOTA 1 ale ante i te y media, y puede proven do cualquier fuerte, i NOTA2 ala fanificadas y se [FUENTE: Guia 180 73-2009, NOTA‘ alsenieda Un sventoli NOTA2 0 laenrada Un evento puet NOTAS elaenirada —Alguras veces, un eG 2.26 Direccién ejecutiva (executive management). Persona 0 grupo de personas en ia(s) que los érganos de gobiemo (2.29) han delegado la responsabilidad de implementar estrategias y politicas para aleanzar el propésito de la organizacién (2.57) NOTA # la entrada __La diraccin sjecuva a voces se llama alt dreccion (2.84) y puede inchit directors ‘generales (CEC), drectores fnanesoras (CFO), dectores da fa informacion, (CIO) y oltos rales simfares, 2.27 Contexto externo (eternal context). Entorno extemo en el que la organizacién busca alcanzar sus objetivos (2.56) [FUENTE: Guia ISO 73:2008, 3.3.1.1]NORMA TECNICA COLOMBIANA _ NTC-ISO/EC 27000 NOTA Elentomo extemne puede incu Spent, Sau SOc. poco, egal regulon, france, ecnoigco, econdmic, nia y Compettivo, a rivelintemacional, nacional, reiotal oe, ‘Sr slots las endorcas aus togan impacto sor os ebetvs (2.56) de eoganizoein (257 ~ ee leciones con las partes iforanadas (2.82) extras, sus porcepciones y sus valores, 2.28 Gobierno de la seguridad de 1a informacion (governance of information security) Sistema por ol cual las activicades relacionadas con Is segureed de informacion (2.33) de luna organizacién (2.57) son dirigidas y controlavias, 220 organo de gobierno (governing body). Persona o grupo de personas que inden Guentas Por el desemperio (2.58) y cumplimiento de la organizacion (2.57) NOTAaiaeateds En algunas jrisciciones,edgano de gobiemo puede ceria junta crecWve, Jaernlcador (indicator). Media 2.47) que proporciona una estimacién o una evaluacion de Te meinades atrbutos (2.4) derivado de un modelo analtce (22) don reepecke a necesidades de informacién (2.31) definidas, aon ecesidades de informacién (Information need). Conocimiento necesario para Gestionar los objetivos (2.56), las metas, el riesgo y los problemas, (FUENTE: ISOMEC 18939:2007: 2.12} 2.32 Instalaciones de procesamiento de info Cualquier sistema de procesamiento de la informa fisicos que los albergan, 2:38 Seguridad de ta informacién (information security), Preservacion de la confidencialidad (2.12), la integricad (2.40) y la disponibildad (2.8) de la informacion NOTA‘ ale ontada _sdiconalmente. cuede abor Ae cuentas 2 no repuato (2.58) y ia conetcad (2.60) 9196 propledades, como ls autenticied (2.8), la encicion i6n (information security continuity), Erocesas (261) y procedimiontos para asegurar la continuldad de lao pense relacionadas on fa Seguridad de la informacion (2.33), pone %a fel estado da un sistema, servicio 0 red que indica una Poste eon de la erunce, (2.60) de seguridad do la informacién (2.33). una alla en los contesee (2.16) 0 una Siluacién previa desconecida hasta el momento y que puede ser relevanic reas seguridad, 2.36 Incidente de seguridad de la informacién (information security incident), Evento ae tisnen ora cenantes de seguridad dla informacion (2.36), inesperates one deere Gus fener una probabilidad signifcatva de comprometer las Operators i Negocio y de amenazar la seguridad de la informacién (2.33) 727 Gestion de incidentes de seguridad de la informacién (information security incident Y aprerainah Procesos (2.61) para la deteccién, reporte, evaluacién, tespueeta, tratamiento, ¥ aprencizaje de incientes do seguridad de la informacién (2.96)NORMA TECNICA COLOMBIANA _NTC-ISO/EC 27000 2.38 Comunidad que comparte informacion (information sharing community). Grupo de organizaciones (2.57) que acuertan compartir informacion. NOTA‘ alzenirada Une omanizacién (257) puede ser un indi. 2.39 Sistema de informacién (information system). Aplicaciones, servicios, activos de tecnolagias de la informacién y otros componentes para manejar informacion. 2.40 Integridad (Integrity). Propiedad de exactitud y completitud. 2.41 Parte interesada (interested party). Persona u organizacion (2.57) que puede afectar. estar afectada, 0 percibir que esté afectada por una decision 0 actividad. 2.42 Contexto interno (internal cor interno en el que la organizacién (2.57) busca aleanzar sus objetivos. [FUENTE: Guia ISO 73:2008, NOTA ala entrada Eleontextoin el gobiemo, = tas potions capital, tempo de dectiones 2.43 Proyecto del SGSI (ISI ‘organizacién (2.57) para impl 2.44 Nivel de riesgo (level of Mak) agi UE ie 9% (2.68) exoresado en términos de la combinacién de las consecuencia® | peoueBiided (2.45) [FUENTE: Gula ISO 73:2009, 3.6.1.8 ‘ado de la definicién “o una combinacion de siesgos"] 2.45 Probabilidad (likehood). Posibilidad de que algo pase .da_ han sido [FUENTE: Gula ISO 73:2009, 3.6.1.1, modificada. Las Notas 1 y 2 a la ef eliminadas} 2.46 Sistema de gestion (management system). Conjunto de elementos de una organizacién (2.57) interrelacionados 0 que interactian para establecer politicas (2.60), objetivos (2.56) y procesos (2.61) para lograr estos objetivos, NOTA a ioentode Un sisteme de geetisn puede tratar ura sol csc 0 varias disciplinas| NORMA TECNICA COLOMBIANA _NTC-ISO/IEC 27000 NOTA Zale entrada Los elementos del sitame incluyen fa estuctre de ls ergenizecién, los roles y las responsabisiades, la pianifeacion la aperacn, NOTA alacntrada El alcance de un sistema do gestion puede inka la tolaiiad de la organiza (2.57), funciones espectficas @ identiicadas de la organizecion (257), sacclones especiieas @ Wentficadas (de organizacién (2.87) © una 0 més funcones dentro de un grupo de organiasiones (esr) 2.47 Medida (measure). Variable a ia que se te asigna un valor como ‘modicién (2.48). resultado de una [FUENTE: ISO/EC 15939:2007, 2.15, modificadal NOTA 1 a ta entroda £1 tering “medidas” so utliza para hacer reference conjuniomente a medifas bese (2.10), adidas dervadae (2 22), incicadores (220), 2.48 Medicién (measurement). rocoso (2.61) para determinar un valor. NOTA 1 2 a entrada En ei contexte de seguridad dela informacion (2.33), el proceso (2.61) para delerminat un valor raquiee informacién sobre la efcaca (224) do un sistema do gestion (248) de sequstlag oe le niorrookn (2.35) y sus contoies (2.16) asociados,utizando un metodo de madicin (20), una uncom de madleée (249), on ‘modelo anatico (22), y unos citenas de decison (227) 2.49 Funcién de medicién (measurement function). Algoritmo 0 célculo realizado para combinar dos 0 mas medidas base (2.10) [FUENTE: ISOHEC 1939:2007, 2.20} 2,50 Método de medicién (measurement method). Secuencia légica de operaciones, Gescritas genéricamente, utiizadas en la cuantificacién de un atribulo (2.4) con respecto a una escola (2.80) especificada, (FUENTE: ISOVEC 18939:2007, 2.22, modificada. La Nota 2 a la entrada ha sido eliminada} NOTA 1 ala entrada El tpo de método de medivion depend de ls naturaleza de Jas operaciones vt Para cuantiicar un alrbulo (2.4), Se pueden aistingu dos tipse: = subjetvo:la cuantfeacion ge bata enol juiio humeno, bjetvo: la cuanticactin se basa on regias numéscas, 2.51 Resultados de las mediciones (measurement results). Uno o mas inaicadores (2.30) y Sus correspondientes interpretaciones que abordan una necesidad de informacién (2.31), 2.52 Seguimiento (monitoring). Determinacién del estado de un sistema, un proceso (2.61) 0 una actividad, NOTA | aa enirada Para determinar el estado puede ser necesaro cheques, suporvsar uw absorvar on forma 2.83 No conformidad (nonconformity). Incumplimiento de un requisito (2.63), 2.54 No tepudio (non-repudiation). Capacidad para corroborar que es cieria la relvindicacién de que ocurti6 un evento (2.25) 0 una accién y las entidades que lo originaron 2.55 Objeto (object). Elemento caracterizado por medio de la medicion (2.48) de sus atributos (24),NORMA TECNICA COLOMBIANA _NTC-ISO/IEC 27000 2.58 Objetivo (objective). Resultado a lograr. NOTA‘ ala entrada Un obytvo puode ser estatégico,tictice u operative. NOTAZ ala entrada Los objets puedon efenise a deranies siscipinas (como melas ancieas, de ‘seguriiad y said 2n al wana y ambentales) y sa pueden apicar an diferentes niveles (como estategicns, para toda ia erganizactin, para proyectos, productos y procesos (2.61), NOTASa/a entrda Un objetivo se puede exprosar do otras maneras, por oom, como un resultado pravito, un propasite, un ertatio eperatvo, in objetivo de seguridad de a infurnacin (2.33),0 mediante el uso de {érminos con un significado similar (oor ejemp'o, fn, fnaidas & meta. NOTA 4a fa entada En el contexte de sistemas de gastiin (2.48) dela seguridad de fa informacion (2-93). la Dorgonizacin establece los abjatvas ce seguridad ae la nformacion (2.23), en coneordancia con ia pattes|? 60) de ‘saqurdad dela informacion (2.33), para lograrresuladas gspecifens 2.57 Organizacién (organization), 10 de personas que tienen sus propias funciones con responsabilidades., s para el logro de sus objetivos (2.56). NOTA le entiade El cones se mia a, empresariog unipersonsles, fompresas, comporaciones, frmas, aut fn si mismas, parciaimente © grupos de tls, sear publica o prvadas. mediante of cual una ‘organizacién (2, de una organizacion (287). NOTA 14 relacionar con hatiazges 2.60 Politica 87), como las expresa formaimenie su alta 2.61 Proceso (process). C: icionadas © que interactiian, que transforma entradas on salida! 2.62 Confiabilidad (reflability). stencia del comportamiento deseado y los resultados. 2.63 Requisito (requirement). Necesidad 0 expectativa que esta establecida, generaiments implicita u obligatori. NOTA 1 al entrada neralmente impli” signifiea que es wna costumbre © prictica comin on le ‘erganizzcion (2.57) y on las pares interesadas, que la nacestiad o expectatva que se considera est implica, NOTA? ala entrada Un requisite espacifcado es al que esta deciarado, por ejemplo, en Jaformecion Socumertacia (2.23), 2.64 Riesgo residual (residual risk). Riesgo (2.68) remanente después del tratamiento del riesgo (2.78). NOTA als entrada El-daago resklual puede contener lssgos (2.58) no kentticados. 7NORMA TECNICA COLOMBIANA _NTC4SO/IEC 27000 NOTA? aia entrada El tesgo residual también se puede conocer come “lesgo rete’ 2.65 Revisién (review). Actividad que se realiza para determinar la idoneldad, la adecuacion y la eficacia (2,24) del tema estudiado para conseguir los objetivos (2.56) establecidos. [FUENTE: Gula ISO 73:2009, 3.8.2.2, modificada. La Nota 1 a la entrada ha sido eliminada} 2.66 Objeto en revision (review objective). Elemento especifico que esta siendo revisado. 2.67 Objetivo de la revision (review objective). Declaracién que describe lo que se quiere lograr como resultado de una rovisién (2.65) 2.68 Riesgo (risk). Efecto de a incertidumbre sobre fos objetivos. [FUENTE: Guia ISO 73:2009, 1.1, modificada] NOTA ala entada Un efecto es una desviacién, pasta yo nega, respecto ato provsto, NOTA? ala entrada _La Incertidumbre os el estado, incluso parcial, do defictoncia en la informacion reatva a fa Comprension 0 al eonocimiento de un evento (2.28), de sus consecuercias (2.14) de su probabilidad (2.45), NOTAS ais entrada Con frecuencia, of resgo se caracteriza por referencia @ everics (2.25) otencinles y 8 sus consecuancias @2.44) 0 una cembinacisn de ambos. NOTA als entrada Con frecuencia, el riesgo se expresa en términes de combinacién de las consecuencias (2.14) de un evento (2.25) (ineluyande ios cambios en las ereunsiancias)y desu probablivad (2.45) de ocurencia, NOTAS alo entrada Enel context do sistemas de gostion (2.46) de la seguridad dota ifovmacién (2.23), os esges de seguridad de la inermacion (233) se pueden expresar como ol electo de la incertdumire sabre los ‘Objatves (2.561 de seguridad de a informacion (2.33) NOTAS aleentraca _Elriesgo de seguridad de fa informacion (2.83) se relaciona con ta gostbildad de que Tas menace (283) expoten vunarabliades (289) de un activo o grupo de acs de informacion y causen dao & ‘ina orpanizacion (257) 2.69 Aceptacion del riesgo (risk acceptance). Decisién informada para tomar un riesgo (2.68) particular. [FUENTE: Guia ISO 73:2009, 3.7.1.6] NOTA 1 elaenirada La aceptocién el riesgo puode tener lugar sin qua oxsta tratamiento del sgo (2.79) 0 urant 61 procose (2.64) oe tratarnvento eo e599 (2.78), NOTA? aia ontrada Los nasgos (2.68) acoptados son abjelo de soguimiento (2.52) y do revision (265). 2.70 Anélisis del riesgo (risk analysis). Proceso (2.61) que permite comprender la naturaleza det riesgo (2.68) y determinar el nivel de riesgo (2.44), [FUENTE: Guia ISO 73:2009, 3.6.1] NOTA elo entrada El andisis dol resgo proparciona lag bases pars la avaluacién del Hasgo (2.74) y la toma {de decisions rolatvas al atariente dat riesgo (2.78), NOTA? elaenirada — Elanélisis del siasgo incluye la estmacién del iosoo. 2.71 Valoracién del riesgo (risk assessment). Froceso (2.61) global que comprende la dentificacién del rigsgo (2.75), el analisis del riesgo (2.70) y la evaluacion del riesgo (2.74). [FUENTE: Guta ISO 73:2009, 3.4.1]NORMA TECNICA COLOMBIANA _ NTC-ISO/EC 27000 2.72 Gomunicacién y consulta del riesgo (risk communication and consultation). Procesos (2.81) iteratives y continues que realiza una organizacién para _proporcionar. Compartir u obtener informacién y para establecer el didlogo con las partes interesadas (2.82), en relacién con la gestion del riesgo (2.68). NOTA alaentrada La informacisn puede corresgonder a la exstenca, la natualeza, a forma, probabiidad Tat8) a importance, le evaluacin, 2 aceplabildad y l ratamento do! riesgo (2.68). NOTA? aa entrada La consulta constiaye un proceso (2.51) de comunicaoiin iformada de doble sentido aoe ee gonizanion (2.57) y sus patos ineresades (282), sobre una eueston antes de tomar une decision © ‘Jotermingr una onontacien sobre dicha cuestion. La consul oS un proceso (2.81) quo impacta sobre una decisién a través da la infuencia mas que por el poder. ¥ = une contribusion para una toma de dec toma de decisién conju 2.73 Griterios de riesgo (risk eri ferencia respecto a los que se evalita la importancia de un riesgo (2.68). {FUENTE: Guia ISO 73: NOTA 1 2a entrada organizacon, y an eb contexto coxtorna (227) © nero polices (2.60) y otros requists (263), 1) que comprende la busqueda, el reconoci [FUENTE: Guia ISO 73:2008 NOTA‘ alacntroda —_ La identifica feacion 0 lap Fuentes de riesgo, fos eventos (2.25), sus eausas y sus consocuencias ( NOTA2 21a ontrada La tentieacion de Eolcar datos histérces, anaiss toricos, opiniones Infonmadas ¥ de experos, asi como necesisedes: inoresodas (2.82) 2.76 Gestién del riesgo (Risk management). Actividades coordinadas para dirigit y controlar tuna organizacién (2,57) en fo relativo al riesgo (2.68). [FUENTE: Guia ISO 73:2008, 2.1] 2.7T Proceso de gestién del riesgo (risk management process). Aplicacin sistematica de politicas (2.60), procedimientos y practicas de gestion para las actividades de comunicacion, vonsulta, establecimiento de! contexto, e identficacién, analisis, evaluacién, tratamiento, seguimiento y revision det riesgo (2.68). [FUENTE: Guia ISO 73:2009, 3.1, modificada. Se ha adicionado la nota 1 2 la entrada] 9NORMA TECNICA COLOMBIANA _NTC-ISO/IEC 27000 NOTA? eieentroga La Norma ISOMEC 27006 uiliza ol término ‘process’ (261) para describe ta gestion Nira del noago. Los elemenios dentro dl grogeso (261) de gest de riesgo (2.76 s2 denominan ‘acoso 2.78 Duetio del riesgo (risk owner). Persona 0 entidad que tiene [a responsabilidad de rendir ‘cuentas y la autoridad para gestionar un riesgo (2.68). [FUENTE: Guia ISO 73:2009 3.5.1.5] 2.79 Tratamiento del riesgo (risk treatment). Proceso (2.61) para modificar el riesgo (2.68) [FUENTE: Guta ISO 73:2000. 3. fel térming “decision” por “eleccién’) modificada, En la Nota 1 a la entrada se ha reemplazado NOTA 1 alaenvedo — Eltratamiento dol espe puede impicer Cevtar et tsgo (2.58), decderdo no incr a continua con fa actives que metva a riesgo (2.68), aceplar@aumentarrssgo (2.88) con objeto de buscar una oportunidad. elimina fuente de oso (288), cambiar a probabidad (249), = cambiar las consecuertcias (214, cornprtce esg0 (2.68) con ota otras pate fnckwyndo os contatos ye nancaminto del Hesyo] = mantener el riesgo (2.68) eon base a una ccison nfo. NOTA2 ala entrada Los tratarientos del ceage quo tatan con consecuencias (2.14) nagativas, en aeasiones cee como tigaién del riesgo" colminacion del fasgo”,"prevencién del aso" y “reduccion dt esge" NOTAS. ale enirace El tratamonte del esgo puede crginar nuevos rlasgas (2.88) o masifenr Ios Hesaos {2.58 anetentes. 2.80 Escala (scale). Conjunto ordenado de valores continuos o discretos, © un conjunto de ‘categorias a las que se asigna el atributo (2.4) [FUENTE: ISOMEC 18939:2007, 2.35, modificada] NOTA‘ elo entrada El tipo se escola dopende de la naturaleza do la relacion entre los valores de la escale Cominmente se enifiean cuatro tipos de escale raminal:los valores de meceién (2.48) son categoria, = oftna: os valores de medion (2.48) son categories ordenedas, intervate: los valores de medctn (248) tienen ditancias iguales cortespondientes a cantisadas iguates det atrbuto (24). = propor: le valores de merllin (2.48) tienen distancias iquales correspondiantes & cantidadesiguales [ol auto (24) dance el valor cero corasponde a ningun ce ls atrbutos. Estos son sélo ejemplos de tipos de escala. 2.81 Norma de implementacién de la seguridad (security implementation standard). Documenta que especifica las formas autorizadas para satisfacer las necesidades de seguridad, 2.82 Parte interesada (stakeholder). Persona u organizacién (2.57) que puede atectar. estar Sfectada,o percibir que esi afectada por una decision 0 actividad. 10NORMA TECNICA COLOMBIANA _NTC-ISO/IEC 27000 [FUENTE: Guia ISO 73:2009, 3.2.1.1, modificada. La Nota 1 a la entrada ha sido eliminada] 2.83 Amenaza (threat). Causa potencial de un incidente no deseado, el cual puede ocasionar dafo a un sistema oa una organizacién (2.57). 2.84 Alta direccién (top management). Persona o grupo de personas que ditigen y controlan luna organizacién (2.57) al mas alto nivel. NOTA telaenttda La alta direccién lene el poder para delogar autoidad y proporcionar recursos denivo de ‘a organizacién 250). NOTA 2a la entrada Slelaleance del sistoma de gestion (2.46) comprende slo una parte de una oryanizacion (257), entonces lta drecci6n ee reiere a quienes diigen y contolan ese parte de la ergenizacion (257), 2.85 Entidad de confianza para jn de Informacién (trusted information ‘communication entity). Organi: informacion dentro de una com 2.86 Unidad de medida (ur Jconcreta, definida y adoptada por convenio, con la cual se compar sma naturaleza a fin de expresar cla objetiva de Ica prevista. \acién mediante la'apor objetiva de vo 0 de un control (2.16) que puede ‘ser explotada por una o més 3. SISTEMAS DE GESTION ‘LA INFORMACION 3.1 GENERALIDADES Las organizaciones de todo tipo y tamafio: a) _recogen, procesan, almacenan y transmiten informacion; b) __reconocen que la informacién y los procesos, sistemas, redes y personas relacionados ‘con ella son activos importantes para el logro de los objetivos de la organizacién; ©) se enfrentan a una variedad de rlesgos que puedan afectar el funcionamiento correcto de los activos; y d) _abordan su exposicién al riesgo percibido a través de la implementacion de controles de seguridad de la informacién. "NORMA TECNICA COLOMBIANA _NTC-ISO/IEC 27000 ‘Toda la informacién guardada y procesada por una organizacion esta expuesia @ alaques, trores, riesgos naturales (por ejemplo, inundaciones o incendios), etc. y esté expuesta @ Sunerablidades inherentes en su uso. El término “seguridad de fa informacion” generalmmente wateo on el hecho de que a informacion se considera un activo que tiene valor y, como tal cquiere una proteccion adecuada, por ejemplo, contra la pércida de su disponibidad Covfidencialided e integridad. La habilitacién de una Informacion precisa y completa, y disponible de manera oportuna a las personas autorizadas es un catalizador de la efciencia empresarial La proteccién de los actives de informaciin mediante la definicion, implementacién. mmantenimiento y mejora de la seguridad de la informacion de forma eficaz es esencial para port que una organizacién logre sus objetivos, y mantenga y mejere el cumplimiento de 12 fegilacion y su Imagen. Estas actividades coordinadas dirigidas hacia la implementacion de (ealeles adecuados y ef tratamiento de los riesgos inaceptables en seguridad de la (aormacion son generaimente conocidas como los elementos de gestién de la seguridad de la informacion. Debido a que los riesgos asociados a la seguridad de Ia informacién y la eficacia de los contfoles cambian seguin las circunstancias, las organizaciones necesitan: a) realizar seguimiento y evaluar la eficacia de los controles y procedimientos implementados: b) __dentificar os riesgos emergentes que deben tratarse: y )__seleccionar, implementar y mejorar los controles segin sea necesario, Para relacioner y coordinar dichas actividades relativas a la seguridad de a informacion, cada Organizacion necesita establecer su poliica y sus objetivos para fa seguridad de fa informacion, J lograr estos objetivos do manera efect'va mediante el uso de un sistema de gestion 3.2 2QUEES UN SGSI? 3.2.1 Visién general y principios Un SGSI (Sistema de Gestién de la Seguridad de la Informacion) consiste en un conjunto de palticas, procedimientos, directrices y recursos y actividades asociados, que son gestionades oe manera colectiva por una organizacién con el fin de proteger sus activos de informacion. Un SCSI 95 un enfogue sistematico para establecer, implementa. operar. hacer seguimiento, Feviser, mantener y mojorar ta seguridad de la informacion de una organizacién para alcanzar los objetivos de negocio. Este enfoque esta basado en una valoracién del riesgo ¥ en los niveles de aceptacion del riesgo de la organizacién disefiados para tratar y gestionar con Shicatia los riespos. El andliss de los requisitos para la protectin de los actives de informacien J a aplicacion de controles adecuados para gavantizer la proteccién de estos actvas, de Yrormacién, segin sea necesario, contribuye a la exitosa implementacion de un SGSI. Los siguientes principios fundamentales también pueden contribu a la implementacion exiiosa de un SGSI fa) la conciencia de la necesidad de seguridad de fa informacion; b) la asignacién de responsabilidades en seguridad de fa informacién <) a incorporacién del compromiso de la Direccién y los intereses de las partes interesadas; 12NORMA TECNICA COLOMBIANA _NTC-ISO/IEC 27000 d) la mejora de los valores sociales; 2) valoracion de riesgos para determinar los controles adecuados para aleanzar niveles aceptables de riesgo’ f) la seguridad incorporada como un elemento esencial de los sistemas y redes de Informacion; 9) la prevencién y deteccién activas de incidentes de seguridad de fa informacion; hh) elasegurar un enfoque exhaustive a la gestion de la seguridad de la informacion: y ) ta valoracién continua de la de la informacién y la realizacion de modificaciones cuando correspafiae 3.2.2. Lainformacion La informacién es un activo ai u é portantes del negocio, es esencial para el negosio de una organi jcosita ser debidamente protegida. La informacién puedggser almacet fendo: formato digital (por nados en : ato fisico (por ejemplo, informacion i conocimiento de los Wn puede Ser trans raids BOE indo: mensajeria, verbal. Indepengi eel io por el cual se transmision, jlidad y ta integridad de la informacién. La segditidad g a gestion de fos controles apropiados que involucran Iai Bush 46 URlaniA|o rengo de amenazas. con el objetivo de asegurar ol éxito empre ‘su continuidad, y minimizar las consecuencias de los incidentl La seguridad de la informacion segs controles aplicables, seleccionados &tfays ceso de gestion de riesges que se haya elegido y gestionado por medio de un Acluyendo politicas, procesos, procedimientos, estructuras organizacionales, software y hardware para proteger los activos de informacion jdentificados. Estos controles necesitan ser especificados, implementados, realizarles Seguimiento, cevisados y mejorados cuando sea necesario, para garantizar que la seguridad de ia informacion y los objetivos de negocio especiticos se cumplan. Se espera que los controles de Seguridad de la informacién pertinentes se integren de forma coherente con los procesos de negocio de una organizacién. 3.2.4 Lagestion La gestion implica actividades para ding, controlar y mejorar de manera continua la corganizacion dentro de las estructuras adecuadas. Las actividades de gestion incluyen el acto fa forma, o la practica de la organizacién, el manejo, direcci6n, supervision y control de fos 13NORMA TECNICA COLOMBIANA _NTC-ISO/IEC 27000 recursos. Las estructuras de gestidn se extienden desde una unica persona en una forganizacion pequefia hasta jerarquias de gestion compuestas por muchos individuos en las grandes organizaciones. En términos de un SGSI, la gestion implica la supervision y la toma de las decisiones necosarias para alcanzar ios objetivos de negocio mediante Ia proteccién de Ios actives de informacion de la organizacién. La gestiOn de la seguridad de la informacién se expresa a travos de [a formulacion y el uso de las politicas de seguridad de la informacién, procedimientos y directrices, que luego son aplicadas en toda ja organizacién por parte de todos los individuos vineulados con la organizacion. 3.2.5 Elsistema de gestion Un sistema de gestién utiliza un marco de recursos para alcanzar los objetivos de una organizacion. El sistema de gestion incluyo ia estructura organizacional, las politicas. ta planificacion de actividades, responsabilidades, practicas, procedimientos, procesos y recursos. En términos de seguridad de la informacién, un sistema de gestién permite a una organizacion fa) atistacer los requisites de seguridad de la informacion de los clientes y otras partes interosadas; b) mejorar los planes y actividades de la organizacién; c)__cumplir con los objetivos de seguridad de informacién de la organizacion: 3) cumplir can las regulaciones, leyes y obligaciones sectoriales; y ©) gestionar tos actives de informacién de una manera organizada que facilita la mejora continua y la adaptacion a las actuales metas de la organizacién. 3.3. EL ENFOQUE BASADO EN PROCESOS Las organizaciones necesitan identificar y_gestionar numerosas actividades con el fin de funcionar de manera eficaz y eficiente. Cualquier actividad que utlice recursos necesita gestionarse para permitir la transformacién de entradas en salidas empleando un conjunto de Bclividades interrelacionadas 0 que interactdan, esto también se conoce como un proceso. La Salida de un proceso puede ser directamento la entrada a otro proceso y, en general esta transformacian se lleva a cabo en condiciones planificadas y controladas. La aplicacion de un sistema de procesos dentro de una organizacion, junto con la identificacién e interacciones de estos procesos, y su gestion, puede ser referida como un “enfoque basado en procesos” 3.4 PORQUE ES IMPORTANTE UN SGSI Los riesgos asociados con Ios activos de informacién de una organizacién necesitan ser tratados. Lograr la seguridad de la informacion requiere la gestién del riesgo, y engioba los riesgos relacionados con amenazas fisicas, humanas y tecnolégicas asociados con todas las formas de informacidn, ya sean internas 0 utlizadas por la organizacién. Se espera que la adopcién de un SGSI sea una decision estratégica para una organizacion y es necesario que esta decisién se integre a la perfeccion, de una manera proporcional y actualizada de acuerdo con las necesidades de la organizaci6n. 14NORMA TECNICA COLOMBIANA _NTC-ISO/IEC 27000 El disefo e implementacién del SGSI de una organizacion estén influenciados por las hecesidades y objetivos de la organizacién, los requisitos de seguridad, los procesos de negocio empleados y ol tamafio y estructura de la organizacién, El cisefio y operaciin de un SCSI necesita reflejar fos intereses y requisitos de seguridad do la informacion de todas tas partes interesadas de la organizacién, otros terceros pertinentes. ncluyendo clientes, proveedores, socios, accionistas y En un mundo interconectado, la informacion y sus procesos relacionados, fos sistemas y las Fedes constituyen activos crticos de! negocio. Las organizaciones y sus sistemas y redes de Informacion se enfrentan a amenazas de seguridad provenientes de una amplia gama de fuentes, incluyendo el fraude asistido por computador, espionaje, sabotaje. vandalismo, jncondigs € inundaciones. El dafo a los sistemas y las redes de informacion causados por ‘c6digos maliciosos, piratas informaticos, mas comunes, mas ambiciosos, y mas Un SGSI es importante tanto. cualquier industria, un SCSI e4 ‘esencial para las actividades privadas y el hecho de compart acceso y manejo degle informact almacenamiento tuamente reconocibl 1acigg.ne siempre se ti la seguridad de argo, la seguridad Integrar la seguridad e! costoso. Un SGSI im} yaa planificacién cut acceso, que pul (lagico), fisico, adm medio para garantizar ‘en funcién de la organizacion La adopcién exitosa de_un permitiendo a una organizacién: adecuadamente contra las amen rma continua; Joteger los activos de informacion ues de denegacién de servicio cada vez son licas como dol sector privado. En poya el comercio electrénico y es rconexién de las redes publicas y jmenta la dificultad de controlar el dispositivos méviles de litar la efieacia de los normas de SGSI, se acidad de aplicar, {a informacion, rollo de fos. nsiderada de medios scedimientos fo informacion F qué controles la atoncién a fos fr de caracter tecnico riores, proporcionan un te autorizado y restringido dad de la informacion. a) logtar_ mayor _confianza vos de informacion estan protegidos b) mantener un marco estructurado y global para identiicar y valorar los esgos de Seguridad de la informacion, seleccionar y aplicar los controles correspondientes, y medir y mejorar su eficacia: ©) mejorar de manera continua su entorno de control: y 4d) _lograr un cumplimiento eficaz de las obligactones legales y reglamentarias. 16NORMA TECNICA COLOMBIANA _NTC-ISO/IEC 27000 3.5 ESTABLECER, REALIZAR SEGUIMIENTO, MANTENER Y MEJORAR EL SGSI 3.5.1. Informacién general Una organizacién necesita llevar a cabo los siguientes pasos en el establecimiento, seguimiento, mantenimiento y mejora de su SCSI: a) identificar los activos de informacion y sus corespondientes requisitos de seguridad de la informacin (véase el numeral 3.5.2); b) _valorar los riesgos de seguridad de la informacién (véase el numeral 3.6.3) y tratar los riesgos de seguridad de la informacién (véase el numeral 3.5.4); )_seleccionar © implementar los controles pertinentes para gestionar los riesgos inaceptables (véase el numeral 3.5.5); d) realizar seguimiento, mantener y mejorar la eficacia de los controles de seguridad asociados con los actives de informacién de la organizacién (véase ef numeral 3.5.6). Para asegurar que el SGSI esté protegiondo eficazmente los activos de informacién de ta organizacién de forma continua, es necesario que se repttan continuamente los pasos (a) a (3) para identiicar cambios en los riesgos, 0 en las estrategias de la organizacién, 0 en los Objetivos de negocio. 3.5.2 Identificar los requisites de seguridad de la informacién Dentro de la estrategia general y los objetivos de negocio de la organizacién, de su tamaho y desu situacién geografica, los requisitos de seguridad de la informacién pueden ser identificados a través del conocimiento de: a) tos activos de informacién identificados y su valor: b) las necesidades de negocio para el procesamiento, almacenamiento y comunicacién de la informacion; ©) _ los requisitos contractuales, legales y regtamentarios Llevar a cabo una metddica valoracion de los riesgos asociados con los activos de informacion de la organizacién implica un analisis de las amenazas a los activos de informacion; fa yulnerabllidad a, y la probabilidad de materializacién de una amenaza a los activos de informacion, y ef impacto potencial de cualquier incidente de seguridad de la informacién sobre los activos de informacion. Se espera que el gasto incurrido en fos controles de seguridad portinentes sea proporcionada con respecto al impacto percibido en caso de materializacion del Fiesgo. 3.5.3. Valoracién de los riesgos de seguriciad de la informacion Gestionar tos riesgos de seguridad de informacién requiere unos métodos adecuados de valoracién y de tratamiento del riesgo que pueden inciuir una estimacion de fos costos y beneficios, de los requisites legales, de las preocupaciones de las partes interesadas, y de ottas entradas y variables segtin sea apropiado, La valoracién de los riesgos deberia identificar, cuantificar y prlorizar rlesgos con base en los ctiterios de aceptacién de riesgos y abjetivos de la organizacion pertinentes. Los resultados 6NORMA TECNICA COLOMBIANA _NTC-ISO/IEC 27000 deberian orientar y determinar las acciones y prioridades para la gestion de los riesgos de seguridad de informacion, y para la implementacin de los controles de seguridad seleccionados para proteger contra estos riesgos. La valoracion de riesgos deberia incluir un enfoque sistematico para estimar la magnitud de los riesgos (andlisis del riesgo) y el proceso de comparar los riesgos estimados contra los criterios de riesgo para determinar la significancia de los riesgos (evaluaciGn de riesgos), La valoracién de riesgos deberia realizarse de manera periédica para abordar los cambios en Jos requisites de seguridad de la informacién y en la situacién del riesgo, por ejemplo, en los activos, amenazas, vulnerabilidades, impactos, en la evaluacién del riesgo, y cuando ocura un cambio significative. Esta valoracién de riegos deboria ser llevada a cabo de una manera metodica capaz de producir resultados y reproducibles. La valoracién de riesgos de segurig in deberia tener un alcance claro definido con el fin de ser eficaz y deberiagielel ¢ con la valoracion de riesgos de otras reas, sies apropiado, ie La Norma NTC-ISO/EC 27005 61 i de la informacién, in i fi del riesgo, ef tratamiento dol riesgo, ta aceptagiag 90. imiento y Ia revision del riesgo. Se incluyg 3.5.4 Tray Para cada UN@- ge ioe: 8 facién de riesgos, es necesario i ‘opciones para ol a) laaplicacién di b) el conocimiento y aceflgians siempre que se satisfagan de una manera clara la politica Wa jos de aceptacién del riesgo; ©) el no permitir aquellas accid los riesgos, 4) a comparticion de los rlesgos con terceras partes, por ejemplo con entidades aseguradoras 0 proveedores. Para aquellos rlesgos para los que la dacisién de tratamiento es la aplicacién de los controles apropiados, dichos controles deberian ser seleccionados e implementados. 3.5.5 Seleccionar e implementar los controles. Una vez que hayan sido identificados los requisitos de seguridad de Ia informacién (véase el numeral 3.6.2), y que hayan sido determinados y valorados los riesgos de seguridad de ta Informacién asociados a los activos de informacién identificados (véase el numeral 3.5.3), y decisiones que hayan sido tomadas para el tratamiento de los riesgos de seguridad de la 7NORMA TECNICA COLOMBIANA —_NTC-ISO/IEC 27000 informacion (véase el numeral 3.5.4)), deben seleccionarse e implementarse fos controles adecuados para reducir los riesgos, Los controles deberian asegurar que los riesgos se reducen a un nivel aceptable teniendo en cuenta lo siguiente: 2) los requisitos y testricciones derivados de la regulacién y legislacion nacional © internacional b) tos objetivos de la organizacin; ©) Los requisites operacionales y restricciones; 0d) su costo de implantaciéin y aperacién con relacion a los riesgos reducidos y residuales. ten proporcion a fos requisitos y restricciones de la organizacion; fe} sus objetivos para realizar el seguimiento, evaluar y mejorar la eficiencia y eficacia de Jos controles Ge seguridad de la informacién como apoyo @ los objetivos de la organizacién. La seleccién e Implantacion de fos controles deberia ser documentada dentro de la declaracion do aplicabiidad para ayudar al cumplimiento de los requisitos: 4) la necesidad de equilibrar fa inversién en la implantaciéin y operacién de los controles contra las posibles pérdidas resultantes de incidentes de seguridad de la informacién Los controles especificados en la GTC-ISO/IEC 27002 se conocen como las mejores précticas aplicables para fa mayoria de las organizaciones y son facilmente adaptables a organizaciones de diferente tamafio y grado de complejidad. Otras normas de la familia de normas de SGSI proporcionan orientaeién para la selaccién y aplicacién de los controles de la GTC-ISO/EC 27002 pata el sistema de gestion de la seguridad de la informacién. Los controles de seguridad de la informacién deberian considerarse en la fase de disefio y en la especificacion de los requisites de los sistemas y proyectos. El no hacerlo asi, puede ocasionar costes adicionales y en una menor eficacia de la solucién, y puede ser, en el peor de os casos, imposible el conseguir una adecuada seguridad. Los controles pueden ser seleccionados de la GTC-ISO/EC 27002, 0 de otros conjuntos de controles, 0 bien pueden disefarse nuevos controles para cumplir con necesidades especificas de la organizacién, Es necesario llamar la atencién sobre ef hecho de que algunos controles pueden no ser aplicables ja todos los sistemas o entomnas de informacién, y pueden por tanto no ser practicos para todas las organizaciones. En ocasiones, lleva tiempo implementar un conjunto de controles seleccionado, y durante ese tiempo el nivel de riesgo puede hacerse mayor que al nivel tolerada en el largo plazo. Los criterios de riesgo deberian cubrir fa tolerabilidad de los riesgos en el corto plazo, mientras son implementados los controles de seguridad. Las partes interesadas deberian estar informadas ide los niveles de riesgo que se estiman 0 anticipan en los diferentes espacios de tiempo durante ef periodo de implementacién progresiva de los controles. ‘Se deberia tener en cuenta que ningiin conjunto de controles puede conseguir una completa seguridad de la informacion, Se deberian implantar acciones de gestion adicionalos para realizar seguimiento, evaluar y mejorar la eficiencia y eficacia de los controles de seguridad de {a informacion para ayudar a alcanzar los abjetivos de la organizacién, La seleccién e implementaci6n de los controles deberia ser documentada dentro de la declaracién de aplicabilidad para ayudar al cumplimiento de los requisites. 8NORMA TECNICA COLOMBIANA _NTC-ISO/EC 27000 3.5.6 Realizar seguimiento, mantener y mejorar la eficacia de los SGSI Una organizacién necesita mantener y mejorar el SGS| mediante el seguimiento y evaluacion del desempeno respecto a la politica y los objetivos de fa organizacion, y comunicando los resultados a la direccién para su revision. Esta revision del SGSI comprobaré que el SGSI incluye controles especificos que son adecuados para tratar los riesgos que estén dentro del akcance del SGSI. Ademss proporcionara evidencias de verficacion y trazabilidad de las acciones correctivas, preventivas y de mejora sobre la base de los registros de las areas a las cuales se les realiza seguimiento. 3.5.7. Mejora continua El objetivo de la mejora continua de es aumentar la probabilidad de lograr ios objetivos relativos a la preservacion legcialidad, disponibitidad e integridad de ta a) b) 3 ¢) ®) 9 . i ‘oportunidades adicionales de mejora. En este sentido, 1d continua, es decir, las acciones se repiten con frecuencia. La rel Se GleMtes y de otras partes interesadas, las auditorias y la revision det EH) S@buridad de ta informacion, pueden también ser utilzadas para ide gi 3.6 FACTORES CRITICOS DE Un gran niimero de factores son crit 2 la implementacién exitosa de un SGSI que ermita a una organizacién cumplir con sus objetivos de negocio, Algunos ejemplos de factores criticos de éxito son: a) que la politica, los objetivos y actividades de seguridad de la informacion estén alineadas con los objetivos; b) un enfoque y un marco para el diseno, implementacion, seguimiento, mantenimiento y mejora de la seguridad de la informacién en consonancia con la cultura de la organizacion; ©) el apoyo visible y el compromiso de todos los niveles de la Direccién, especialmente de la alta Direccién; 49NORMA TECNICA COLOMBIANA _NTC-ISO/IEC 27000 d) el entendimiento de los requisites de proteccién de los activos de informacién obtenido ‘mediante la aplicacién de la gestion del riesgo de la seguridad de la informacién (véase la Norma ISO/IEC 27008): 2) _un programa efectivo de concientizacién, formacién y educacién sobre seguridad de fa informacién, informando a todos los empleados y otras partes pertinentes de sus obligaciones en seguridad de Ia informacion establecidas en las politicas de seguridad de la informacién, normas, etc., y motivarios a actuar en consecuencia: 1) un proceso eficaz de gestién de incidentes de seguridad de la informacion, 9) _unenfoque efectivo de gestion de fa continuidad del negocio: y h) un sistema de medicion utiizado para evaluar el desempefio en Ia gestiin de la seguridad de fa informacién y para proporcionar sugerencias de mejora. Un SGSI aumenta la probabilidad de que una organizacién alcance de forma coherente los factores criticos de éxito para proteger sus activas de informacién, 3.7 BENEFICIOS DE LA FAMILIA DE NORMAS DE SGSI Los beneficios de implementar un SGSI produciran principalmente una reduccién de los riesgos ‘asociados a la seguridad de la informacién (es decir, reduciendo la probabilidad yio el impacto causado por los incidentes de seguridad de la informacién). Especificamente, los beneficios obtenidos por una organizacién para lograr el éxito sostenible a partir de la adopcién de la familia de normas SGSI incluyen los siguientes: 8) un marco estructurado que soporte al proceso de especificar, implementar, operar y mantener un SGSI, general. efciente en costos, integrado y alineado que satislaga las necesidades de la organizacion en diferentes operaciones y lugares; b) una ayuda para la direccién en la estructuracitin de su enfoque hacia la gestion de la seguridad de la informacion, en el contexto de la gestion y gobierno del riesgo corporativo, incluidas las acciones de educacién y formacién en una gestién holistica de la Seguridad de Ia informacién a ios propictarios del negocio y del sistema: ©) a promocion de buenas practicas de seguridad de la informacién, aceptadas a nival mundial, de una manera no preceptiva, dando a las organizaciones la flexibiidad para adoptar y mejorar los controles pertinentes, respetando sus circunstancias especificas y para mantenerlos de cara a futuros cambios internos y externos: ¥ d) — disponer de un fenguaje comin y una base conceptual para la seguridad de la informacion, haciendo mas facil confiar en los socios de un negocio que este es conforme @ un SGSI, especialmente si requieren fa certficacion conforme a la NTC- ISOMEC 27001 por un organismo de certiicacion acreditado: e) —_aumentar la confianza en la organizacién por las partes interesadas: 1) satistacer necesidades y expectativas sociales; y @) una gestién mas eficaz desde un punto de vista econémico de las inversiones en seguridad de la informacién, 20NORMA TECNICA COLOMBIANA _NTC-ISO/IEC 27000 4. LAFAMILIA DE NORMAS DE SGSI 4.1 INFORMACION GENERAL, La familia de normas SGSI consiste en una serie de normas relacionadas entre si, ya publicadas 0 en preparacién, y que contiene una serie de importantes componentes estructurales. Estos componentes se centran en normas para describir requisitos de un SGSI (NTC-ISONEC 27001}, requisitos para los organismos de certficacién (ISO/IEC 27006) que Cerlifiquen el cumplimiento con la NTC-ISO/IEC 27001 y un marco de requisitos adicionales para fa implementacion de un SGSI para sectores especificos (ISO/IEC 27009), Otras normas ofrecen orientacién para los diversos aspects de la implementacién de un SGSI, abordando un proceso genérico, asi come orientacién sectorial espectfica. Las relaciones entre las normas de la, ilustran en la Figura 4 Figura 1, Relaciones entre las normas de a familia SGSI 2NORMA TECNICA COLOMBIANA _NTC-ISOMEC 27000 a) Cada grupo de normas de la familia de SGSI se describe indicando su tipo (0 rol) dentro de la familia de SGSI y su ndmero de referencia. Los numerales a los que esto aplica son: normas que describen una vision general y la terminologia (véase el numeral 4.2): b)—_normas que especifican requisitos (véase el numeral 4.3); ©) las normas que describen directrices generales (véase el numeral 4.4); 0 4d} normas que describen directrices especificas sectoriales (véase el numeral 4.5) 4.2 _NORMAS QUE DESCRIBEN UNA VISION GENERAL Y LA TERMINOLOGIA 4.24 NTC-SOIEC 27000 (esta norma) Tecnologias de la informacién. Técnicas de segutidad. Sisternas de Gestion de Seguridad de la Informacion (SGSI). Vision general y vocabulario. Campo de aplicacién: Esta norma proporciona a organizaciones y personas: @) una visién generat de a famiia de las normas SCSI; b) una introduccién a los sistemas de gestion de seguridad de la informacién (SCSI) ©) los términos y las definiciones ulilizadas en toda la familia de las normas de SSI Objeto: La NTC-SOMEC 27000 describe los fundamentos de los sistemas de gestion do seguridad de la informacion, que consttuyen el objeto de la familia de les normas de SCSI, y define los términos relacionados 43 NORMAS QUE ESPECIFICAN REQUISITOS. 43.4 NTCISONEC 27001 Tecnologia de la informacién. Técnicas de seguridad. Sistemas de gestién de la seguridad de la informacion. Requisitos. Campo de aplicacién: Esta norma especifica los requisites para establecer, Implementar, operar, realizar ef seguimiento, revisar. mantener y mejorar el Sistema de Gestion de la Seguridad de la Informacion (SGS!) en el marco de los riesgos de negocio generales de la organizacién. Establece requisitos para la implementacién de los controles de seguridad adaptadas a las necesidades de las organizaciones individuales o partes de la misma. Esta norma puede ser utilzada por todas las organizaciones independiente de su tipo, tamaiio o naturaleza, Objeto: La NTC-SOMEC 27001 establece ios requisitos normativos para el desarrollo y operacion de un SGSI, incluyendo un conjunto de controles para el control y mitigacién de los riesgos asociados con los activos de informacion que la organizacién trata de proteger mediante la operacion de su SGSI. Las organizaciones que operan un SGSI pueden hacer que se ausite y certfique su conformidad. Los objetivos de control y controles del anexo A de la NTC+SOVEC 27001 deben ser seleccionados en funcién de las necesidades, durante el proceso del SGSI para satisfacer los requisitos identificados. Los objetivos de control y controles que se enumeran en la Tabla A.1 de la NTC-ISONEC 27001 proceden directamente y estan alineados con los que se enumeran en los capitulos 5 a 18 de la GTC-ISONIEC 27002. 22NORMA TECNICA COLOMBIANA _NTC-ISO/IEC 27000 4.3.2 ISOMEC 27006 Information technology. Security techniques. Requirements for bodies providing audit and Certification of information security management systems. Campo de aplicacién: Esta norma internacional especifica los requisites y proporciona las directrices que han de cumplir las entidades que aucitan y certifican un SGSI seguin la Norma NTC-SONEC 27001, ademas de los requisitos contenidos en la NTC-ISONEC 17021. Su intencién principal es servir de apoyo para la acreditacién de organismos de certificacion que proporcionan servicios de certificacion de SGSI seguin la NTC-ISOVIEC 27001 Objeto: La Norma ISO/IEC 27006 complementa a la Norma NTC-ISO/IEC 17021 al ofrecer los ‘requisitos para que las organizaciones .ci6n sean acreditadas de manera que éstas provean certificaciones de conformid: frente a los requisites especificados en la NTCASONEC 27001 4.4 NORMAS QUE DESC! 44.1 GTC-SONEC 27002 Tecnologia de Ia i seguridad de fa j Campo de proporcionan la puesta en march: res practicas en los en los capitulos del Anexo A de la 44.2 GTCASONEC Tecnologia de fa informacién| Tegaeas G24. Gio cic implementacién de un sistema de gestion de la seguridad de 1 facion para la implementacion practica e ‘operas, supervisar, revisar, mantener y mejorar un SGSI segun la NTC-ISONEC. Objeto: La GTC-ISOIIEC 27003 proporciona un enfoque basado en procesos orientado a la implomentacion con éxito del SGSI segin la NTC-ISO/IEC 27001 4.43 ISONEC 27004 Information technology. Secunty techniques. information security management. Measurement. Campo de aplicacién: Esta norma internacional proparciona orientacién y asesoramient sobre el desarrollo y uso de las metricas con el fin de evaluar la eficacia del SGSI. de los objetivos de los cantroles y controles usados para aplicar y administrar la seguridad de la Informacion, tal como se especifica en la NTC-ISOJIEC 27001 23NORMA TECNICA COLOMBIANA _NTC-ISO/IEC 27000 Objeto: La Norma ISOMEC 27004 proporciona un marco de métricas que permite una evaluacién de la eficacia del SGSI de acuerdo con la NTC-ISOVIEG 27001. 4.4.4. NTC-ASO/EC 27005 ‘Tecnologia de la informacion. Técnicas de seguridad, Gestion del riesgo en la seguridad de Ia informacion, Campo de aplicacién: Esta norma propotciona directrices para la gestion de riesgos de seguridad de la informacion. El enfogue descrifo en esta norma internacional apoya tos conceptos generales que se especifican en la NTC-ISOMEC 27001, Objeto: La NTC-ISOMEC 27008 proporciona directrices sobre la implementacion de un enfoque de gestion de riesgos orientado @ procesos para ayudar en la aplicacién de manera Satistactoria y al cumplimiento de los requisitos de gestién de riesgos de seguridad de fa NTC- ISONEC 27001 44.5 ISO/IEC 27007 Information technology. Security techniques. Guidelines for information security management systems auditing. Campo de aplicacién: Esta norma intemacional ofrece orientacion sobre la realizacion de auditorias de SGSI, asf como sobre fa competencia de los auditores del sistema de gestion de Seguridad de la informacién, ademas de las directrices contenidas en la NTC-ISO 19011, que es aplicable a los sistemas de gestion en general Objeto: La Norma ISO/IEC 27007 proporciona directrices a las organizaciones que tienen que realizar auditorias internas © externas de un SGSI asi como directrices para gestionar un programa de auditoria de SGSI segin los requisitos especificados en la NTC-ISO/EG 27001. 4.4.6 ISONEC TR 27008 Information technology. Security techniques. Guidelines for auditors on information security controls. Campo de aplicacién: Este Reporte Técnico proporciona directrices sobre la revisién de la implementacion y operacién de controles inciuyendo la comprobacién del cumplimiento técnico de los controles del sistema de informacién, de conformidad con las normas de seguridad de la informacién establecidas en una organizacion Objeto: Este Reporte Técnico proporciona un enfoque de los controles de seguridad de ta informacion, incluyendo la comprobacion del cumplimiento téenico con relacion a la implementacién de a norma de seguridad de Ia informacion que se haya establecide en le forganizacion, Este documento no pretende ser una guia especifica de comprobacién del umplimiento respecto @ mediciones, valoracién del riesgo 0 auditoria del SGSI como se especttica respectivamente en las Normas ISONEC 27004, NTC-ISOMEC 27005 0 ISONEG 27007. Tampoco esta dirigido a la auditoria de los sistemas de gestion, 44.7 ISONEC 27013 Information technology. Security techniques. Guidance on the integrated implementation of ISOMEC 27001 and ISOMEC 2000-1, 24NORMA TECNICA COLOMBIANA _NTC-ISO/IEC 27000 Campo de aplicacién: Esta noma intemacional proporciona ottentacion para la implementacion integrada de la NTC-ISO/EC 27001 y la NTC-ISONEC 20000-1 para las corganizaciones que tengan intencién de: a) implementar la NTC-ISO/EC 27001 cuando ya tienen implementada la NTC-ISOMEC 2000-1, 0 viceversa: b) _implementar conjuntamente la NTC-ISONEC 27001 y la NTC-ISOMEC 2000-1 ©) __integrar las implementaciones existentes de los sistemas de gostién de la NTC-ISOMEC 27001 y ta NTC-ISOMEC 2000-1, Esta norma intemacional se enfoca 6; ente en la implementacion integrada de_un sistema de gestion de seguridad de (SGS!) segtin lo especificado en la NTC- ISOMEC 27001 y un sistema de gf GS) de acuerdo a lo especificado en la NTC-ISOMEC 20000-1. Objeto: Proporcionar a las ndimiento de las_caracteristicas, similitudes y diferencias entre la ITC-ISO/IEC 2000-1 para ayudar en la. planificacién forme a ambas normas internacionales. 448 ISONEX medidas de seg . Fecto en la reputacién de una organizack 19, como parte de sus responsabiidades de para asegurar que se consig. 4.4.9 ISO/IEC TR 27016 Information technology. Security 168 economics. Ambito de aplicacién: Este reporte tecnico proporcionara una metodologia que permita a las organizaciones un mejor entendimiento desde un punto de vista econémico, de como valorar de manera precisa los activos de informacién identificados, valorar los riegos potenciales para dichos activos, apreciar et valor que los controles de proteccién de la informacién proporcionan a dicho actives y determinar el nivel éptimo de recursos a aplicar para proporcionar seguridad a los actives de informacion. Objeto: Este reporte técnico complementard la familia de normas de SGSI, proporcionando un unto de vista econémico a la proteccién de los activos de informacion de una organizacion en el contexto del entorno social en el que opera la organizacién y proporcionando directrices de ‘c6mo aplicar criterios de economia organizacional a la seguridad de la informacion a través del uso de modelos y ejemplos. 2NORMA TECNICA COLOMBIANA _NTC-SO/IEC 27000 4.5 NORMAS QUE DESCRIBEN GUIAS ESPECIFICAS SECTORIALES 45.1 ISOMEC 27010 Information technology. Security techniques. Information securty management for inter-sector and inter organizational communications. ‘Campo de aplicacién: Esta norma internacional proporciona directrices adicionales a las dadas en la familia de normas ISO/IEC 27000 para la implementacién de ta gestion de la seguridad en entornes donde diferentes comunidades comparten informacién, ‘adicionalmente, proporciona controles y directrices especificos _relativos al _ inicio, implementacidn, mantenimiento y mejora de la seguridad de la informacién para las comunicaciones inter sectoriales e inter organizacionales. CObjeto: Esta norma internacional se aplica a todo tipo de intercambio o comparticiin de informacion sensible, ya sea de Ambito publico 0 privado, a nivel nacional 0 intermacional dentro del mismo sector industrial o de mercado, o entre diferentes sectores. En particular, es aplicable a los intercambios y comparticion de informacion relativa a la provision ‘mantenimionto y proteccion de una infraestructura critica de un estado 0 de una organizacion. 45.2 ISONEC 27011 Information technology. Security techniques. Information security management guidelines for telecommunications organizations based on ISONEC 27002. Campo de aplicacién: Esta norma internacional proporciona directrices de apoyo a la implementacién de un Sistema de Gestion de Seguridad de fa Informacion (SGSI) en les organizaciones de telecomunicaciones. ‘Objeto: La Norma ISO/IEC 27011 permite @ las ocganizaciones de telecomunicaciones cumptir con una linea base de requisites de gestién de seguridad de Ia informacion de confidencialidad, integridad, disponibilidad y cualquier otra propiedad de seguridad pertinente. 45.3 ISONEC TR 27018 Information technology. Security techniques. Information security management guidelines for financial services. Campo de aplicacién: Este Reporte Técnico proporciona directrices adicionales a las dadas en la familia de Normas ISO/IEC 27000, para el inicio, implementacién, mantenimiento y mejora de la seguridad de la informacion en organizaciones que proveen servicios financieres, Objet: Este Reporte Técnico es un suplementa especializado de la NTC-ISOEC 27001 y de la GTC-ISOMEC 27002 para su uso en organizaciones que prestan servicios financieros, con objeto de servir de apoyo a: 2) el inicio, implementacién, mantenimiento, y mejora de un sistema de gestion de seguridad de la informacion basado en la NTC-ISOMEC 27001; b}) el diseno © implementacién de los controles definidos en la GTC-ISO /IEC 27002 0 en esta norma. 26 seieonnsesviltedaNORMA TECNICA COLOMBIANA _NTC-ISO/IEC 27000 4.5.4 ISOMEC 27017 Information technology. Security techniques. Code of practice for information security controls based on ISO/IEC 27002 for cloud services. Campo de aplicacién: ISO/IEC 27017 proporciona directrices para los controles de seguridad Ge la informacién aplicable a la provision y uso de servicios en la nube suministrando: = Guias de implementacién adicionales de los controles pertinentes especificados en ta GTCASONEC 27002. - controles adicionales y guias de orientacién relacionados especificamente @ los servicios en la nube. Objeto: Esta norma internacional pepe gs y guias de implementacion tanto para proveedores de servicios en la ny 6 sorvicios en la nube. 45.5 ISOMEC 27018 x protection of personally ntrol_ cominmente | directrices para fa ser ara proteger la ;cidn personal (Pll) de i compatiias proven computaciors pueden ser pel : Sin embargo, 105 . ulacién y obligacién de proteccion do PIM sae t Pl, los cuales no estan cubiertos en esta no : Le 45.6 ISOMEC TR 27019 imation security management guidelines based on ISO/IEC 27002 for proce sean Sys ectic to the energy utilty industry. Campo de aplicacién: La ISONEC TH @proporciona directrices sobre los controles de seguridad de la informacién a ser implementados en el sistema de control de proceso utiizado por [a industria de servicios pablicos de energia para controlar y hacer seguimiento de la generacion, transmisién, almacenamiento y distribucién de energia eliéctrica, gas, calefaccién ‘en combinacién con el control de procesos de soporte. Esto incluye en particular. los siguientes sistemas, aplicaciones y componentes: = control, seguimiento y tecnologia de automatizacién del proceso de distribucion y centrat de soporte general de TI, asi coma los sistemas de Ti utlizados para su operacion, tales coma los dispositives de programacién y parametrizacién. 27NORMA TECNICA COLOMBIANA _NTC-SO/IEC 27000 = controladores digitales y componentes de automatizacion, tales como dispositives de Control y de campo 0 controladores légicos programables (PLC), incluyendo fos ‘sensores digitales y elementos actuadores; = todos los sistemas de TI utlizades en el dominio de control de proceso. por ejamato, tareas de visualizacion de datos suplementarias y para el control, seguimiento, archivo de los datos y fines de documentacion: = Ta tecnologia general de comunicaciones utilzada en el dominio de control de proceso, por ejemplo, redes, telemetria, aplicaciones de telecontrol y tecnologia de contol Femota: = dispositives de medicién digital y de medicin, por ejemplo para medir el consumo de fenergia 0 valores de emision: _ Jos sistemas de proteccién y de seguridad digital, por ejemplo, roles de proteccion 0 PLCs de seguridad: = componentes de fos futuros entomos de redes inteligentes de distribucion: Todo el software, firmware y aplicaciones instaladas en los sistemas mencionados anteriormente. CObjeto: Adicional a los objetivos y medidas de seguridad que se establecen en ta GTCISO! Tee 27002, este Reporte Técnico proporciona directrices para los sistemas ulilizados por !os servicios publices de energia y proveedores de energia en controles de seguridad de Ia informacion que abordan requisites especiales. 45.4 18027799 Health informatics. Information security management in health using ISOMEC 27002 Campo de aplicacién: Esta norma internacional proporciona directrices de apoyo @ la Splicacién de un Sistema de Gestion de Seguridad de la Informacién (SCSI) en las organizaciones de la salud. CObjeto: fa Norma ISO/IEC 27799 proporciona a las organizaciones de la salud una adaptacion Ge ia GTC-ISONEC 27002 con guias especificas para el sector de la salud y que son SSicenales a los orientaciones proporcionadas para el cumplimiento de los requisites del ‘Anexo A de la NTC-ISONEC 27001. 28NORMA TECNICA COLOMBIANA _NTC-ISO/EC 27000 ANEXO A (informative) FORMAS VERBALES PARA LA EXPRESION DE LAS DISPOSICIONES: Nadie esta obligado a aplicar las normas de Ia familia de normas de SGSI. Sin embargo esta obligacion puede venir impuesta, por ejemplo, por via legislativa, regulatoria o por un contrato ‘entre partes. Con el fin de poder solicitar el cumplimiento de un documento, el usuario necesita ser capaz de identificar los requisitos necesarios que debe cumplir. El usuario también tiene que ser capaz de distinguir estos requisitos de las recomendaciones donde hay una cierta libertad de eleccion. La siguiente tabla aclara de qué mar fijento de la familia de normas de SGSI debe ser interpretado segiin las expresig yas, es decir diferenciando aquellas que ‘expresan requisitos o recomend ‘ene varios terminode (Pasties 29E | } f NORMA TECNICA COLOMBIANA _NTC-ISO/IEC 27000 ANEXO B (Informative) TERMINOS Y PROPIETARIO DEL TERMINO B.1 PROPIETARIO DEL TERMINO EI"propietario de! término” en la familia de normas ISO/IEC 27000 es fa norma que inicialmente define el término. El *propietario del término” es también el responsable del mantenimiento de la definicion, y por tanto de: = suprovision: = surevisién; - suactualizacion: y - suretiro. NOTA1 La Norma ISOM 27000 nunca ee prosiotaria da ninguno do los tominos que contiane NOTA2 Lag Normas ISOMIEC 27001 o ISONEC 27006, en calidad do normat con carter normativo (conleniendo requisitos), siempre provalecen frente a ola norma ‘propietara de ermino” B.2_ TERMINOS UTILIZADOS EN ESTA NORMA B.2.1 ISONEC 27001 auditoria 25 disponibiidad 29 competencia an confidencialidad 212 contormidad 213 rmejora continua 218 control 2.18 coreecién 2.18 accién correctiva 2.19 informacién documentads 223 eficacia 2.24 seguridad de la informacion 233 integridas 2.40 30NORMA TECNICA COLOMBIANA _NTC-ISO/IEC 27000 parte interesada 244 sistema de gestion 2.46 medicion 2.48 seguimiento 252 Ro conformidad 2.53 objetivo 2.56 corganizacién 257 contratar externamente 2.58 desempefio 259 politica 60 proceso et requisito 63 revision 68 riesgo 68 duefio dl 78 alta direccié >. 2.84 B.2.2 ISOMEC : control de acceso ataque autenticacion autenticidad objetivo de controt 247 instalaciones de procesamiento de informacién 2.32 continuidad de la seguridad de la informacion 2.34 evento 0 suceso de seguridad de la informacién 2.35 incidente de seguridad de la informacién 2.36 gestion de incidentes de seguridad de la informacion 2.37 31NORMA TECNICA COLOMBIANA _NTC-ISONEC 27000 sistema de informacién 239 no repudio 254 confiabilidad 262 B.2.3. ISO/EC 27003 proyecto de SGSI 243 B.2.4 ISO/IEC 27004 modelo analitico 22 atributo 24 medida base 2.10 datos 2.20 criterios de decision 224 medida derivada 2.22 indicador 2.30 necesidades de informacion 2.31 medida 247 funcién de madicion 249 método de medicién 2.60 resultados de las mediciones 251 objeto 255 escala 2.80 unidad de medida 2.86 validacion 2.87 verificacion 2.88 B.2. ISO/IEC 27005 consecuencia 214 evento 2.25 contexto externo 227 contexto interno. 2.42 32NORMA TECNICA COLOMBIANA —_NTC-ISO/EC 27000 nivel de riesgo probabilidad (likehood) riesgo residual aceptacién det riesgo analisis del riesgo valoracion del riesgo comunicacién y consulta del riesgo criterios de riesgo evaluacién del riesgo identificacién det riesgo gestién det riesgo documentos de ct marca B27 ISONEC 27007 aleance de la euditoria B.2.8 ISONEC TR 27008 objeto en revisién objetivo de la revision norma de implementacién de la seguridad B29 ISONEC 27010 colectivo que comparte informacion entidad de confianza para la comunicacién de inforracién 33 2.44 2.45 2.84 2.69 2.70 27 272 2.73 2.74 2.75 76 26 2.66 2.87 2.81 2.38 2.85| | NORMA TECNICA COLOMBIANA —_NTC-ISO/IEC 27000 8.2.10 ISONEC 27011 colocacion centro de comunicacién comunicaciones esenciales no revelacién de las comunicaciones informacion personal llamada priortaria aplicaciones de telecomunicaciones negocio de telecomunicaciones sala de equipo de telecomunicaciones instalaciones de telecomunicacién ‘organizaciones de telecomunicacién registros de telecomunicacién servicios de telecomunicacion Gliente del servicio de telecomunicacién usuario del servicio de telecomunicacién instalaciones terminales usuario B.2.11 ISONEC 27014 direccién ejecutiva 2.26 gobemanza de la seguridad de la informacion 2.28 ‘érgano de gobierno 2.29 parte interesada 2.82 B.2.12 ISOIEC TR 27015 servicios financieros 8.2.13 ISOMEC TR 27016 pérdida anual esperada (ALE) 34 oe as -NORMA TECNICA COLOMBIANA _NTC-ISO/IEC 27000 valor directo comparativa econémica factor econémico justificacion econémica valor afiadida econémico ‘economia valor esperado valor extendido valor indirecto valor de oportunida requisitos regulatorios retomno de la inversién valor social valor valor en riesgo B.2.14 ISONEC TR 27017 capacidad violacion de fos datos arrendamiento muiltiple seguro maquinas virtuales 35NORMA TECNICA COLOMBIANA _NTC-ISO/EC 27000 8.2.15 ISO/IEC TR 27018 violacién de datos informacion de identificacién personal (PII) controlador de Pll Pil principal procesador de Pll procesamiento de Pll proveedor de servicio en la nube pablica B.2.16 ISONEC TR 27019 apagon ‘equipo de respuesta de emergencia de computo CERT infraestructura critica depuracion distribucion instalacion de equipamento de energia proveedor de energia servicio pibico de energia Interfase maquina- hombre mantenimiento PLC sistema de control de proceso seguridad sistema de seguridad red inteligente declaracién de aplicabliidad, SOA sistema de transmisin 36NORMA TECNICA COLOMBIANA _NTC-ISO/IEC 27000 1 1c) [3] 4 (5) g (10) 1] [12} [13] (14 BIBLIOGRAFIA NTC-ISOAEC 17021, Evaluacién de la conformidad. Requisitos para los organismos que realizan la auditoria y certficacion de sistemas. NTC-1S0 $000:2018, Sistemas de gestién de la calidad. fundamentos y vocabulario. NTC-IS0 19011:2011, Directrices para la auditoria de los sistemas de gestion. NTC-ISO/IEC 27001, Tecnologia de la informacion. Técnicas de seguridad. Sistemas de gestién de la seguridad de la informacién (SGSI). Requisitos. GTC-ISONEC 27002, Tecnologig formacién. Técnicas de seguridad. Cédigo de practica para controles de seg Bigformacion. GTCASONEC 27003, 16 | ds Qacion. Técnicas de seguridad. Guia de juridad de fa informacion feasyrement. de seguridad. Gestion det tion of information auditing inter-sector and inter ISO/IEC 2000-1, ISONEC 27014, Governance of information security ISONEC TR 27015, information security management guidelines for financial services. ISOMEC TR 27016, Information security management. Organizational economics. ISOMEC 27017, Code of practice for information security controls based on ISOMEC 27002 for cloud services. ISO/IEC 27018, Code of practice for protection of personally identifiable information (Pil) in public. 37NORMA TECNICA COLOMBIANA _NTC-ISO/EC 27000 (21) (22) {23} (24) (25) ISONEC 27019, Information security management guidelines based on ISOMEC 27002 for process control systems specific to the energy utility industry. ISO 27799, Health informatics. information security management in health using ISQMEC 27002. ISOMEC Guia 73:2009, Gestion de riesgo. Vocabulario. ISOMEC 15939:2007, Sistemas e Ingenieria de software. Proceso de medicion. NTC-ISONEC 2000-1, Tecnologia de Ia informacion. Gestion del servicio. Parte 1 requisitos del sistema de gestion del servicio. 38 meshes ene iiniaitehsnrinetNORMA TECNICA COLOMBIANA _NTC-ISO/IEC 27000 DOCUMENTO DE REFERENCIA INTERNATIONAL ORGANIZATION FOR STANDARDIZATION, INTERNATIONAL ELECTROTECHNICAL COMMISSION. Information technology. Security techniques Information security management systems. Overview and vocabulary. Geneva, 2016, 34 p. {ISONEC 27000) 39