Unit-Iso 19650-5 2020

INSTITUTO URUGUAYO UNIT-ISO
DE NORMAS TÉCNICAS 19650-5:2020

(Adopción UNIT
julio 2021)
Edición
2021-07
Organización y digitalización de la
información en obras de edificación e
ingeniería civil aplicando BIM (Building
Information Modelling) – Gestión de la
información aplicando BIM –
Parte 5:
Enfoque basado en la seguridad para la
gestión de la información
(ISO 19650-5:2020, IDT)
Organization and digitization of information about buildings and civil

engineering works, including building information modelling (BIM).
Information management using building information
modelling -
Part 5: Security-minded approach to information management
Organisation et numérisation des informations relatives aux bâtiments et

ouvrages de génie civil, y compris modélisation des informations de la
construction (BIM). Gestion de l’information par la modélisation des
informations de la construction -
Partie 5: Approche de la gestion de l’information axée sur la sécurité
Número de referencia
UNIT-ISO 19650-5:2020
Sólo las secciones informativas de la norma son públicas.

Para ver el contenido completo de la misma, deberá comprarla dando clic en el botón comprar norma.
El INSTITUTO URUGUAYO DE NORMAS TÉCNICAS
ha adoptado en julio de 2021
la Norma Internacional ISO 19650-5:2020
como norma:
UNIT-ISO 19650-5:2020, Organización y digitalización de la

información en obras de edificación e ingeniería civil aplicando BIM
(Building Information Modelling) – Gestión de la información
aplicando BIM – Parte 5: Enfoque basado en la seguridad para la
gestión de la información.
Esta norma UNIT-ISO publicada por el Instituto Uruguayo de Normas

Técnicas recoge en forma íntegra el texto de la Norma Internacional
ISO correspondiente.
A los efectos de la aplicación de esta norma UNIT-ISO las referencias

normativas de la norma ISO original se ajustan a las indicadas en la
siguiente tabla:
Referencia original ISO Se aplica

ISO 19650-2 UNIT-ISO 19650-2
Para la restante norma citada en las referencias normativas se aplica

directamente la Norma Internacional mientras no haya norma UNIT.
En la siguiente tabla se indica la correspondencia entre la Bibliografía

de la norma ISO y documentos editados por UNIT.
Bibliografía ISO Documentos UNIT

ISO 19011 UNIT-ISO 19011
ISO 19650-1 UNIT-ISO 19650-1
ISO/IEC 27001 UNIT-ISO/IEC 27001
ISO 31000 UNIT-ISO 31000
ISO 55000:2014 PU UNIT-ISO 55000:2014
Los restantes documentos normativos citados en la bibliografía se

pueden obtener en UNIT en sus idiomas originales.
DOCUMENTO PROTEGIDO POR DERECHOS DE AUTOR

(COPYRIGHT)
© ISO 2020 © UNIT 2021
Todos los derechos reservados. Ninguna parte de esta publicación puede ser reproducida o
utilizada en cualquier forma o por medio alguno, electrónico o mecánico, incluyendo
fotocopias, microflim, etc., sin el permiso escrito del Instituto Uruguayo de Normas
Técnicas, en su calidad de representante exclusivo de la ISO en Uruguay, o por la propia
ISO.
INSTITUTO URUGUAYO DE NORMAS ISO copyright office

TECNICAS Case postale 56 • CH-1211 Geneva 20
Plaza Independencia 812 piso 2 Tel. + 41 22 749 01 11
C.P. 11.100, Montevideo, Uruguay Fax + 41 22 749 09 47
Tel. + 598 2 901 20 48 E-mail: copyright@iso.org
Fax + 598 2 902 16 81 Web: www.iso.org
E-mail: unit-iso@unit.org.uy
Web: www.unit.org.uy

ii
Índice Página
Prólogo ............................................................................................................................................................................ v
Introducción ................................................................................................................................................................ vi
1 Objeto ................................................................................................................................................................... 1
2 Referencias normativas................................................................................................................................. 1
3 Términos y Definiciones ............................................................................................................................... 2
4 Establecimiento de la necesidad de un enfoque basado en la seguridad mediante un
proceso de evaluación de la sensibilidad ........................................................................................................... 4
4.1 Realización del proceso de evaluación de la sensibilidad ......................................................................... 4
4.2 Comprensión del rango de riesgos de seguridad .......................................................................................... 4
4.3 Identificación de las sensibilidades de la organización.............................................................................. 4
4.4 Establecimiento de sensibilidades de terceros .............................................................................................. 5
4.5 Registro del resultado de la evaluación de la sensibilidad ....................................................................... 6
4.6 Revisión de la evaluación de la sensibilidad ................................................................................................... 6
4.7 Determinación de la necesidad de un enfoque basado en la seguridad .............................................. 6
4.8 Registro del resultado del proceso de triaje de seguridad........................................................................ 7
4.9 Se necesita un enfoque basado en la seguridad............................................................................................. 8
4.10 No se necesita un enfoque basado en la seguridad ................................................................................... 8
5 Inicio del enfoque basado en la seguridad ............................................................................................. 8
5.1 Establecer la gobernanza, las responsabilidades y las obligaciones del enfoque basado en la
seguridad .............................................................................................................................................................................. 8
5.2 Inicio del desarrollo del enfoque basado en la seguridad ...................................................................... 10
6 Desarrollo de una estrategia de seguridad ......................................................................................... 10
6.1 Generalidades ........................................................................................................................................................... 10
6.2 Evaluación de los riesgos de seguridad ......................................................................................................... 11
6.3 Desarrollo de medidas de mitigación de riesgos de seguridad ............................................................ 11
6.4 Documentación de los riesgos de seguridad residuales y admisibles ............................................... 12
6.5 Revisión de la estrategia de seguridad ........................................................................................................... 12
7 Desarrollo de un plan de gestión de la seguridad............................................................................. 13
7.1 Generalidades ........................................................................................................................................................... 13
7.2 Suministro de información a terceros ............................................................................................................ 13
7.3 Seguridad logística.................................................................................................................................................. 14
7.4 Gestión de las obligaciones y responsabilidades en materia de seguridad .................................... 15
7.5 Vigilancia y auditoría ............................................................................................................................................. 15
7.6 Revisión del plan de gestión de la seguridad ............................................................................................... 15
8 Desarrollo de un plan de gestión de brechas e incidentes de seguridad ................................. 16

Para ver el contenido completo de la misma, deberá comprarla dando clic en el botón comprar norma. iii
8.1 Generalidades............................................................................................................................................................ 16
8.2 Detección de una brecha o incidente de seguridad ................................................................................... 16
8.3 Contención y recuperación .................................................................................................................................. 17
8.4 Revisión después de una brecha o incidente de seguridad .................................................................... 17
9 Trabajo con las partes contratadas ........................................................................................................ 17
9.1 Trabajo fuera de las contrataciones formales ............................................................................................. 17
9.2 Medidas contenidas en la documentación de la contratación .............................................................. 18
9.3 Asignación después de la contratación ......................................................................................................... 19
9.4 Fin de la contratación ............................................................................................................................................ 19
Anexo A (informativo) Información sobre el contexto de seguridad ...................................................... 20
Anexo B (informativo) Información sobre los tipos de controles de seguridad del personal, de la
seguridad física y técnica, así como sobre la gestión de seguridad de la información ................... 22
Anexo C (informativo) Evaluaciones relativas al suministro de información a terceros ................ 27
Anexo D (informativo) Acuerdos para el intercambio de información .................................................. 29
Bibliografía ................................................................................................................................................................. 31
Informe correspondiente a la norma UNIT-ISO 19650-5:2020 ............................................................... 32

iv Para ver el contenido completo de la misma, deberá comprarla dando clic en el botón comprar norma.
Prólogo
ISO (Organización Internacional de Normalización) es una federación mundial de organismos
nacionales de normalización (organismos miembros de ISO). El trabajo de elaboración de las Normas
Internacionales se lleva a cabo normalmente a través de los comités técnicos de ISO. Cada organismo
miembro interesado en una materia para la cual se haya establecido un comité técnico, tiene el
derecho de estar representado en dicho comité. Las organizaciones internacionales, gubernamentales
y no gubernamentales, vinculadas con ISO, también participan en el trabajo. ISO colabora
estrechamente con la Comisión Electrotécnica Internacional (IEC) en todos los temas de normalización
electrotécnica.
En la Parte 1 de las Directivas ISO/IEC se describen los procedimientos utilizados para desarrollar este
documento y aquellos previstos para su mantenimiento posterior. En particular debería tomarse nota
de los diferentes criterios de aprobación necesarios para los distintos tipos de documentos ISO. Este
documento ha sido redactado de acuerdo con las reglas editoriales de la Parte 2 de las Directivas
ISO/IEC (ver www.iso.org/directives).
Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento puedan
estar sujetos a derechos de patente. ISO no asume la responsabilidad por la identificación de alguno o
todos los derechos de patente. Los detalles sobre cualquier derecho de patente identificado durante el
desarrollo de este documento se indicarán en la Introducción y/o en la lista ISO de declaraciones de
patente recibidas (ver www.iso.org/patents).
Cualquier nombre comercial utilizado en este documento es información que se proporciona para
comodidad del usuario y no constituye una recomendación.
Para una explicación de la naturaleza voluntaria de las normas, el significado de los términos
específicos de ISO y las expresiones relacionadas con la evaluación de la conformidad, así como la
información acerca de la adhesión de ISO a los principios de la Organización Mundial del Comercio
(OMC) respecto a los Obstáculos Técnicos al Comercio (OTC), ver www.iso.org/iso/foreword.html.
Este documento ha sido elaborado por el Comité Técnico ISO/TC 59, Edificación y obra civil, Subcomité
SC 13, Organización y digitalización de la información de edificación y obra civil incluyendo la
modelización de la información de edificación (BIM), en colaboración con el Comité Europeo de
Normalización (CEN) Comité Técnico CEN/TC 442, Modelos de información relativos a la edificación,
conforme al acuerdo de cooperación técnica entre ISO y CEN (Acuerdo de Viena).
En el sitio web de ISO se puede encontrar un listado de todas las partes de la serie de
normas ISO 19650.
Cualquier comentario o pregunta sobre este documento deberían dirigirse al organismo nacional de
normalización del usuario. En www.iso.org/members.html se puede encontrar un listado completo de
estos organismos.

Para ver el contenido completo de la misma, deberá comprarla dando clic en el botón comprar norma. v
Introducción
El sector de la construcción está atravesando un período de evolución rápida. Se espera que la
adopción de Building Information Modelling (BIM) y el creciente uso de tecnologías digitales en el
diseño, la construcción, la fabricación, la operación y la gestión de activos o productos, así como la
prestación de servicios en el sector de la construcción, tengan un efecto transformador para las partes
involucradas. Es probable que, para aumentar la eficacia y la eficiencia, las iniciativas o proyectos que
desarrollen nuevos activos o soluciones, o que modifiquen o gestionen los activos o soluciones
existentes, deban ser de naturaleza más colaborativa. Esa colaboración requiere métodos de trabajo
más transparentes y abiertos y, en la medida de lo posible, el intercambio y uso de la información
digital de forma apropiada.
La combinación del entorno construido, físico y digital, debería permitir el cumplimiento de los
objetivos futuros en materia fiscal, financiera, funcional, de sostenibilidad y de crecimiento. Esto
repercutirá en los procesos de adquisición, desarrollo y operación, incluyendo una mayor colaboración
entre disciplinas y sectores. También dará lugar a un mayor uso de herramientas digitales y de
disponibilidad de información. El uso de las tecnologías de la información ya está apoyando nuevas
formas de trabajo, como el desarrollo off-site, la construcción basada en elementos prefabricados y la
automatización on-site. Los sistemas ciberfísicos avanzados permiten, mediante sensores (el elemento
cibernético o informático) que controlan las partes físicas del sistema, trabajar en tiempo real para
producir resultados en el mundo real. Se espera que esos sistemas permitan alcanzar beneficios tales
como una mayor eficiencia energética y una mejor gestión del ciclo de vida de los activos, mediante la
captura de información en tiempo real sobre el uso y estado del activo. Estos sistemas ya se utilizan en
el transporte, los servicios públicos, las infraestructuras, los edificios, la industria, los servicios de
salud y de defensa, así como en el desarrollo de comunidades inteligentes cuando son capaces de
interactuar como entornos ciberfísicos integrados.
Como consecuencia del uso creciente y la dependencia en las tecnologías de la información y la

comunicación se hace necesario abordar los problemas de vulnerabilidad inherentes y, por lo tanto,
sus implicaciones de seguridad, tanto para entornos construidos, activos, productos, servicios,
personas o comunidades, como para cualquier información relacionada.
Este documento ofrece un marco para ayudar a las organizaciones a comprender las cuestiones
fundamentales sobre las vulnerabilidades y la naturaleza de los controles necesarios para gestionar los
riesgos de seguridad que se producen a un nivel tolerable para las partes interesadas. Su propósito no
es, de ninguna manera, socavar la colaboración o los beneficios que pueden generar el uso de BIM, los
métodos de trabajo colaborativos y las tecnologías digitales.
El término "organización" incluye no sólo las partes contratadas y contratantes, como se define en la
norma ISO 19650-1, sino también a aquellas organizaciones que están del lado de la demanda pero
que no participan directamente en una contratación.
Los requisitos de seguridad de la información para una organización, un departamento o un sistema

de la organización individual se especifican en la norma ISO/IEC 27001, pero no pueden aplicarse a
varias organizaciones. El BIM, otros métodos de trabajo colaborativos y las tecnologías digitales
implican, generalmente, el intercambio colaborativo de información entre diversas organizaciones
independientes del sector de la construcción. Por ello, esta norma anima a adoptar un enfoque de
seguridad basado en los riesgos que pueda aplicarse tanto en un conjunto de organizaciones como
dentro de ellas. La naturaleza apropiada y proporcionada del enfoque también tiene el beneficio de
que las medidas no deberían impedir la participación de pequeñas y medianas empresas en el equipo
de producción.

vi Para ver el contenido completo de la misma, deberá comprarla dando clic en el botón comprar norma.
El enfoque basado en la seguridad puede aplicarse a lo largo del ciclo de vida de una iniciativa,
proyecto, activo, producto o servicio, ya sea planificado o existente, donde se obtiene, crea, procesa
y/o almacena información sensible.
La Figura 1 muestra la integración de este enfoque basado en la seguridad junto a otras estrategias,
políticas, planes y requisitos de información de la organización para, mediante tecnología digital, llevar
a cabo el desarrollo de proyectos, así como el mantenimiento y la operación de los activos, utilizando
BIM.
Leyenda
A estrategias y políticas coherentes y coordinadas
B planes coherentes y coordinados
C requisitos de información coherentes y coordinados
D actividades realizadas durante la fase de operación de los activos
E actividades realizadas durante la fase de desarrollo del activo (ver también la norma ISO 19650-2)
1 planes y objetivos de la organización
2 plan/política de gestión estratégica de activos (ver la norma ISO 55000)
3 estrategia de seguridad
4 otras estrategias y políticas de la organización
5 plan de gestión de activos (ver la norma ISO 55000)
6 plan de gestión de la seguridad
7 otros planes de la organización
8 requisitos de información del activo (AIR)
9 requisitos de información de seguridad (que forman parte del plan de gestión de la seguridad)
10 requisitos de información de la organización (OIR)
11 caso de negocio estratégico y programa estratégico
12 uso operacional del activo
13 medición del desempeño y acciones de mejora
NOTA No hay un orden implícito en la numeración de A, B y C.
Figura 1 – Integración del enfoque basado en la seguridad dentro del proceso más amplio de
BIM
NOTA La norma ISO 19650-1 contiene información sobre conceptos y principios, incluyendo OIR y AIR, para una
mejor comprensión del enfoque basado en la seguridad en el contexto de la serie de normas ISO 19650.

Para ver el contenido completo de la misma, deberá comprarla dando clic en el botón comprar norma. vii
La Figura 2 resume el proceso de decisión sobre la necesidad y, cuando sea apropiado,
implementación del enfoque basado en seguridad en relación a la gestión de la información.
Leyenda
A iniciar un enfoque basado en la seguridad
B desarrollar una estrategia de seguridad
C desarrollar un plan de gestión de la seguridad
S Sí
N No
1 mediante el proceso de triaje de seguridad (en inglés, security triage), determinar si se requiere un enfoque
basado en la seguridad
2 establecer acuerdos relativos a gobernanza, responsabilidad y rendición de cuentas del enfoque basado en la
seguridad
3 comenzar el desarrollo del enfoque basado en la seguridad
4 evaluar los riesgos de seguridad
5 desarrollar las medidas para reducir los riesgos de seguridad
6 documentar los riesgos de seguridad admisibles
7 desarrollar políticas y procesos para implementar las medidas de mitigación de riesgos de seguridad
8 desarrollar los requisitos de información de seguridad
9 elaborar los requisitos relativos al suministro de información a terceros (third parties)
10 desarrollar de los requisitos de seguridad logística
11 elaborar un plan de gestión de violaciones/incidentes de seguridad
12 trabajar con las partes contratadas, haya o no un contrato formal, para integrar el enfoque basado en la
seguridad, incluida la elaboración de acuerdos de intercambio de información cuando sea necesario
13 monitorear, auditar y revisar
14 proteger cualquier información comercial y personal sensible (no se requiere otro enfoque basado en la
seguridad)
15 revisar si hay algún cambio en la iniciativa, proyecto, activo, producto o servicio que pueda afectar a su
sensibilidad.
Figura 2 – Proceso de implementación del enfoque basado en la seguridad
establecido en este documento

viii Para ver el contenido completo de la misma, deberá comprarla dando clic en el botón comprar norma.
La implementación de las medidas descritas en esta norma contribuirá a reducir el riesgo de pérdida,
uso indebido o alteración de información sensible que pueda tener un impacto en la protección,
seguridad y resiliencia de los activos, productos y el entorno construido, o de los servicios prestados
por ellos. También contribuirá a la protección frente a la pérdida, el robo o la divulgación de
información comercial, información personal y propiedad intelectual. Cualquier incidente de este tipo
puede causar un daño considerable a la reputación, dando lugar a la pérdida de oportunidades y al
desvío de recursos para llevar a cabo la investigación, resolución y acciones a través de los medios de
comunicación, así como interrumpir o retrasar las operaciones cotidianas. Además, cuando se
producen incidentes y la información se ha hecho pública, es prácticamente imposible recuperar toda
esa información o impedir que se siga difundiendo.

Para ver el contenido completo de la misma, deberá comprarla dando clic en el botón comprar norma. ix
INSTITUTO URUGUAYO DE NORMAS TÉCNICAS UNIT-ISO 19650-5:2020
Adopción (IDT) UNIT julio 2021
Organización y digitalización de la información en obras

de edificación e ingeniería civil aplicando BIM (Building
Information Modelling) – Gestión de la información
aplicando BIM
Parte 5:
Enfoque basado en la seguridad para la gestión de la
información
1 Objeto
Este documento especifica los principios y requisitos para la gestión de la información basada en la
seguridad en una etapa de madurez descrita como "Building Information Modelling (BIM) según la
serie de normas ISO 19650", conforme se define en la norma ISO 19650-1, así como la gestión de la
seguridad de la información sensible que se obtiene, crea, procesa y almacena como parte o en
relación a cualquier iniciativa, proyecto, activo, producto o servicio.
Establece los pasos necesarios para crear y desarrollar una cultura y una mentalidad enfocadas a la
seguridad adecuada y proporcionada en las organizaciones con acceso a información sensible,
incluyendo la necesidad de monitorear y auditar el cumplimiento.
El enfoque descrito es aplicable a lo largo del ciclo de vida de una iniciativa, proyecto, activo, producto
o servicio, tanto proyectado como existente, durante el cual se obtiene, crea, procesa o almacena
información sensible.
Este documento está concebido para cualquier organización que emplee tecnologías y gestione la
información para la creación, diseño, construcción, fabricación, operación, gestión, modificación,
mejora, demolición o reciclaje de activos o productos, así como la prestación de servicios, en el sector
de la construcción. También es de interés y relevancia para las organizaciones que deseen proteger su
información comercial, información personal y su propiedad intelectual.
2 Referencias normativas
Los documentos que a continuación se indican, en su totalidad o en parte, constituyen requisitos de
este documento. Para referencias con fecha, solo aplica la edición citada. Para las referencias no
fechadas se aplica la última edición del documento referenciado (incluyendo cualquier modificación).
ISO 19650-2, Organización y digitalización de la información en obras de edificación e ingeniería civil

aplicando BIM (Building Information Modelling) – Gestión de la información aplicando BIM. Parte 2: Fase
de desarrollo de los activos
ISO 19650-3, Organización y digitalización de la información en obras de edificación e ingeniería civil

aplicando BIM (Building Information Modelling) – Gestión de la información aplicando BIM.
Parte 3: Fase de explotación de los activos

Para ver el contenido completo de la misma, deberá comprarla dando clic en el botón comprar norma. 1

Unit-Iso 19650-5 2020

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Unit-Iso 19650-5 2020

Cargado por

Copyright:

Formatos disponibles

INSTITUTO URUGUAYO UNIT-ISO

DE NORMAS TÉCNICAS 19650-5:2020

(ISO 19650-5:2020, IDT)

Organization and digitization of information about buildings and civil

Organisation et numérisation des informations relatives aux bâtiments et

Sólo las secciones informativas de la norma son públicas.