Curso 27001 AIB

Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód.
006 - 2019
TEMARIO
1. QUE ES ISO E HISTORIA DE LA ISO
2. PRINCIPIOS FUNDAMENTALES DEL SISTEMA DE GESTIÓN
DE SEGURIDAD DE LA INFORMACIÓN.
3. CICLO P-H-V-A
4. CONTEXTO DE LA ORGANIZACIÓN
1. Comprensión de la organización y su contexto
2. Comprensión de las necesidades y expectativas de las partes
interesadas
3. Determinación del alcance del sistema de gestión de seguridad de
la información,
4. Sistema de gestión de seguridad de la información.
5. LIDERAZGO
1. Liderazgo y compromiso
2. Política
3. Roles, responsabilidades y autoridades en la Organización
6. PLANIFICACIÓN
1. Acciones para abordar riesgos y oportunidades
2. Objetivos de Seguridad de la información y planes para lograrlos
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019 2
7.
TEMARIO
APOYO1. Recursos
2. Competencia
3. Toma de conciencia
4. Comunicación
5. Información documentada
8. OPERACIÓN
1. Planificación y control operacional
2. Valoración de riesgos de seguridad de la información
3. Tratamiento de riesgos de seguridad de la información
9. EVALUACIÓN DEL DESEMPEÑO
1. Seguimiento, medición
2. Auditoria interna
3. Revisión por la dirección
10. MEJORA
1. Generalidades
2. No conformidad y acción correctiva
3. Mejora continua
TEMARIO
11. ANEXO A (DOMINIOS, OBJETIVOS DE CONTROL Y CONTROLES DE
REFERENCIA)
12. NORMA ISO 19011:2011
13. REQUISITOS SELECCIONES AUDITORES ISO/IEC 27006:2015
Antes de empezar…
¡Vamos a presentarnos!
Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód. 006 - 2019
• Global Colombia Certificación SAS es un ORGANISMO
EVALUADOR DE LA CONFORMIDAD debidamente acreditado por
ONAC. Nos especializamos en el sector Servicios y Gobierno.
Capacitación, Evaluación y Certificación

ISO 9001:2015
ISO/IEC 29110-4-1
Normas sectoriales turismo
CMMI Dev y Serv
eSCM
ISO/IEC 27001:2013
PRESENTACIÓN
DE ASISTENTES
Por favor compartir su

nombre, su labor
dentro de la entidad y
sus expectativas.
1. ¿Qué es ISO e historia de la ISO? (a)
ISO es una organización internacional independiente y no gubernamental con una

membresía de 162 organismos nacionales de normalización.
A través de sus miembros, reúne a expertos para compartir conocimientos y

desarrollar normas internacionales voluntarias, basadas en el consenso y
relevantes para el mercado que respalden la innovación y brinden soluciones a los
desafíos mundiales. Se encuentra ubicada la Secretaría Central en Ginebra,
Suiza.
Debido a que la 'Organización Internacional de Normalización' tendría diferentes

siglas en diferentes idiomas (IOS en inglés, OIN en francés para Organización
internacional de normalización), nuestros fundadores decidieron darle la forma
abreviada ISO. ISO se deriva del griego isos, que significa igual. Cualquiera sea el
país, cualquiera que sea el idioma, siempre somos ISO.
1. ¿Qué es ISO e historia de la ISO? (b)
ISO/IEC 27001: 2013
Especifica los requisitos para establecer, implementar, mantener y mejorar

continuamente un sistema de gestión de seguridad de la información dentro del
contexto de la organización. También incluye requisitos para la evaluación y el
tratamiento de los riesgos de seguridad de la información adaptados a las
necesidades de la organización. Los requisitos establecidos en ISO / IEC 27001:
2013 son genéricos y están destinados a ser aplicables a todas las
organizaciones, independientemente de su tipo, tamaño o naturaleza.
Previamente ISO/IEC 27001:2005.
1. ¿Qué es ISO e historia de la ISO? (c)
ISO/IEC 27003: 2017
Proporciona una explicación y orientación sobre ISO/IEC 27001: 2013.

Previamente ISO/IEC 27003:2010.
ISO/IEC 27004: 2016
Proporciona pautas destinadas a ayudar a las organizaciones a evaluar el

rendimiento de la seguridad de la información y la efectividad de un sistema de
gestión de seguridad de la información para cumplir con los requisitos de ISO /
IEC 27001: 2013, 9.1. Establece:
a) el monitoreo y medición del desempeño de seguridad de la información;

b)el monitoreo y la medición de la efectividad de un sistema de gestión de
seguridad de la información (SGSI), incluidos sus procesos y controles;
c) El análisis y evaluación de los resultados de seguimiento y medición.
ISO / IEC 27004: 2016 es aplicable a todos los tipos y tamaños de organizaciones.
Previamente ISO/IEC 27004:2009,
1. ¿Qué es ISO e historia de la ISO? (e)
ISO/IEC 27005: 2018
Este documento proporciona pautas para la gestión de riesgos de seguridad de la

información.
Este documento respalda los conceptos generales especificados en ISO / IEC

27001 y está diseñado para ayudar a la implementación satisfactoria de la
seguridad de la información basada en un enfoque de gestión de riesgos.
El conocimiento de los conceptos, modelos, procesos y terminologías descritos en

ISO / IEC 27001 e ISO / IEC 27002 es importante para una comprensión completa
de este documento.
Este documento es aplicable a todos los tipos de organizaciones (por ejemplo,

empresas comerciales, agencias gubernamentales, organizaciones sin fines de
lucro) que pretenden gestionar riesgos que pueden comprometer la seguridad de
la información de la organización. Previamente ISO/IEC 27005:2011, ISO/IEC
27005:2008, ISO/IEC TR 13335-3:1998 e ISO/IEC TR 13335-4:2000.
1. ¿Qué es ISO e historia de la ISO? (f)
ISO/IEC 27006: 2015
Especifica los requisitos y proporciona orientación para los organismos que

proporcionan auditoría y certificación de un sistema de gestión de seguridad de la
información (SGSI), además de los requisitos contenidos en ISO / IEC 17021-1 e
ISO / IEC 27001. Su objetivo principal es respaldar la acreditación de la
certificación. Entidades que proporcionan la certificación ISMS.
Previamente ISO/IEC 27001:2006:2011, ISO/IEC 27006:2007.
2. Principios fundamentales del sistema de
seguridad de la información (a)
a) Confidencialidad: asegurando que solo quienes estén autorizados pueden

acceder a la información;
b) Integridad: asegurando que la información y sus métodos de proceso son

exactos y completos;
c)Disponibilidad: asegurando que los usuarios autorizados tengan acceso a la

información y a sus activos asociados cuando lo requieran.
La seguridad de la información se consigue implantando un conjunto adecuado de

controles, que pueden ser políticas, normas, procedimientos, estructuras
organizativas, equipos, prácticas y funciones de software.
3. Ciclo P-H-V-A (a)
La base para el enfoque que subyace a un sistema de gestión integrado se

fundamenta en el concepto de Planificar, Hacer, Verificar y Actuar (PHVA). El
modelo PHVA proporciona un proceso iterativo usado por las organizaciones para
lograr la mejora continua. Se puede aplicar a un sistema de gestión integrado y a
cada uno de sus elementos individuales, y se puede describir brevemente así:
• Planificar: establecer los objetivos y los procesos necesarios para generar y

proporcionar resultados de acuerdo con la política ambiental de la organización.
• Hacer: implementar los procesos según lo planificado.
• Verificar: hacer el seguimiento y medir los procesos respecto a la política,
incluidos sus compromisos, objetivos y criterios operacionales, e informar de
sus resultados.
• Actuar: emprender acciones para mejorar continuamente.
3. Ciclo P-H-V-A (b)
SISTEMA INTEGRADO DE GESTIÓN
7. Apoyo
8. Operación
4. Contexto de la
organización
Planificar Hacer
Satisfacción del
cliente
Requisitos de las
6. 9. Evaluación
partes interesadas 5. liderazgo de
Planificación
desempeño Productos
y Servicios
4.2 Necesidades y
expectativas de
las Actuar Verificar
partes
interesadas
10. Mejora
4. Contexto de la organización
4.1 Comprensión de la organización y
su contexto (a)
La organización debe determinar las

cuestiones externas e internas que son
pertinentes para su propósito y que
afectan su capacidad para lograr los
resultados previstos de su sistema
gestión de la seguridad de la
deinformación.
4. Contexto dela organización
4.1 Comprensión de la organización y su
contexto (b)
Métodos:
• Análisis PEST/PESTE/PESTEL (Factores políticos, sociales y

culturales).
• Matriz dePerfil Competitivo (MPC) comprender mejor el entorno

externo y la competencia en una industria en particular
• Matriz de Evaluación de Factores Externos (MEFE)
• Matriz de Evaluación de Factores Internos (MEFI)
• Matriz FODA (Fortalezas, Oportunidades, Debilidades y Amenazas)
4.1 Comprensión de la organización y
su contexto (c)
Análisis interno Análisis externo
DEBILIDAD AMENAZA
Aspecto negativo de Aspecto negativo del
una situación interna y entorno exterior y
actual su proyección futura
FORTALEZA OPORTUNIDAD
Aspecto positivo de una Aspecto positivo del
situación interna y actual entorno exterior y su
proyección futura
Determine 2 fortalezas, 2 debilidades, 2 oportunidades y
2 amenazas sobre Atlantic International BPO.
Comente con sus compañeros.
Proponga 1 acción para 1 debilidad.
4.2 Comprensión de las necesidades
y expectativas de las partes interesadas
La organización debe determinar:

a)laspartes interesadas que
son pertinentes al sistema de gestión de la
seguridad de la información; y
b)los requisitos de estas
partes interesadas pertinentes a seguridad
de la información.
NOTA: Los requisitos de las partes

interesadas pueden incluir los requisitos
legales y reglamentarios, y las
obligaciones contractuales.
4. Contexto de la organización
4.3 Determinar alcance del SGSI
Se debe determinar los límites y la aplicabilidad del

SGSI para establecer su alcance.
• Para determinar el alcance la organización debe

considerar:
• Aspectos internos y externos referidas en el 4.1.
y
• Los requisitos referidos en 4.2.; y
• Las interfaces y dependencias entre las
actividades realizadas y las que realizan otras
empresas.
• El alcance debe estar disponible como
información documentada
Familiarícese con el alcance del SGSI de Atlantic
Internacional BPO.
¿Lo considera suficiente? ¿escaso?
¿Cómo se relaciona Usted con este alcance?
4.4 Sistema de gestión seguridad de la
de información
Definir entradas Determinar

secuencia Definir y aplicar métodos
requeridas y salidas necesarios para operación
esperadas e
interacción eficaz y control
Determinar los recursos

Abordar riesgos y Asignar
necesarios para estos
oportunidades responsabilidades y
procesos
autoridades
Evaluar e
Mejorar procesos y
implementar
el SGSI
cambios necesarios
5. Liderazgo
5.1 Liderazgo y compromiso
La Alta Dirección debe demostrar liderazgo y compromiso con respecto al SGSI

así:
• Asegurando que se establece la política y los objetivos del SGSI.

• Asegurando la integración de los requisitos del SGSI con los procesos de
negocio
• Asegurando la disponibilidad de los recursos necesarios
• Comunicando la importancia de una gestión eficaz y de conformidad con los
requisitos del SGSI.
• Asegurando que el SGSI logre los resultados previstos.
• Dirigiendo y apoyando al personal para aportar a la eficacia del SGSI.
• Promoviendo mejora continúa.
• Apoyando otros roles pertinentes de la dirección para demostrar liderazgo
aplicado a sus áreas de responsabilidad.
5. Liderazgo
5.2 Política
La Alta Dirección debe establecer una política que:
• Sea adecuada al propósito de la empresa.

• Incluya objetivos de Seguridad de la Información o proporcione el marco para
el establecimiento de los mismos.
• Incluya un compromiso de cumplir los requisitos aplicables relacionados con
la Seguridad.
• Incluya compromiso de Mejora Continua
La política debe:
• Estar como información documentada.

• Comunicarse dentro de la empresa.
• Estar disponible para las partes interesadas, según sea apropiado.
Tome la política de seguridad de la información
de Atlantic Internacional BPO.
¿Cumple con los requisitos exigidos en el numeral 5.2?
5. Liderazgo
5.3 Roles, responsabilidades y autoridades en la
organización
La alta dirección debe asegurarse de que las responsabilidades y autoridades

para los roles pertinentes se asignen y comuniquen.
La alta dirección debe asignar la responsabilidad y autoridad para:
a)asegurarse de que el sistema de gestión de la seguridad de la información sea

conforme con los requisitos de esta Norma Internacional; e
b) informar a la alta dirección sobre el desempeño del sistema de gestión de la

seguridad de la información.
Revise la estructura del SGSI.
¿qué roles intervienen?
Revise la definición del rol del oficial de seguridad.
¿Existe ese rol? ¿Sería necesario?
6. Planificación
1. Acciones para tratar riesgos y oportunidades
1. GENERALIDADES.
Al planificar el SGSI, se debe considerar las cuestiones referidas en el apartado

4.1. Y los requisitos a que se hace referencia en el apartado 4.2. Y determinar los
riesgos y oportunidades con el fin de:
a. Asegurar que el SGSI pueda lograr los resultados previstos.

b. Prevenir o reducir los efectos indeseados.
c. Lograr la mejorar continua.
La organización debe planificar:

d. Las acciones para tratar los riesgos y oportunidades
e. La manera de:
• Integrar e implementar estas acciones en sus procesos

• Evaluar la eficacia de estas acciones.
6. Planificación
6.1.2. Evaluación de riesgos de la seguridad de la
información (a).
Se debe definir y aplicar un proceso de evaluación de riesgos del

SGSI que:
Establezca y mantenga criterios de riesgo de seguridad que
Criterios de Aceptación de Riesgos.
•incluya:
• Criterios para realizar evaluaciones de riesgos.
Asegure que las evaluaciones repetidas riesgos produzcan resultados

de consistentes, válidos y comparables.
Identifique los riesgos:
•Aplicar el proceso de evaluación de riesgos para identificar los riesgos asociados

con la pérdida de la confidencialidad, de integridad y de disponibilidad de la
información dentro del alcance.
• Identificar a los dueños de los riesgos.
6. Planificación
6.1.2. Evaluación de riesgos de la seguridad de la
información (b).
Analice los riesgos:
•Evaluar las consecuencias potenciales si se materializan los riesgos

identificados
6.1.2 c. 1.
• Evaluar la probabilidad realista de que ocurran los riesgos identificados 6.1.2 c.
1.
• Determinar los niveles de riesgo.
Evalúe los riesgos:

• Comparar los resultados del análisis de riesgos con los criterios establecidos en
identificados 6.1.2 a.
• Priorizar los riesgos analizados para el tratamiento de riesgos.
Se debe conservar información documentada acerca del proceso de evaluación

de riesgos.
6. Planificación
6.1.3. Tratamiento de riesgos de la seguridad de
la información.
Se debe definir y aplicar un proceso de tratamiento de riesgos para:
• Seleccionar las opciones apropiadas de tratamiento de riesgos,

teniendo en cuenta los
resultados de la evaluación de riesgos.
• Determinar todos los controles que sean necesarios para implementar las opciones
escogidas para el tratamiento de riesgos.
• Comparar los controles determinados en 6.1.3 b. con los del Anexo A y verificar que
no se han omitidos controles.
• Elaborar una Declaración de Aplicabilidad que tenga los controles necesarios y la
justificación de las exclusiones, ya sea que se implementen o no y la justificación para
las exclusiones de los controles del Anexo A.
• Formular un plan de tratamiento de riesgos.
• Obtener la aprobación del plan te tratamiento de riesgos y la aceptación de riesgos
residuales por parte de los dueños de los riesgos
Se debe conservar información documentada acerca del proceso de tratamiento de

riesgos
Considere un pequeño proyecto de implementación de ISO 27001
en su empresa.
Determine para este 3 riesgos y sus acciones de mitigación.
Previamente, defina los criterios de calificación de riesgo basado en

la probabilidad de que estos ocurran vs. El impacto en caso de
materializarse.
6. Planificación
6.2. Objetivos de seguridad de la información
y planes para lograrlos (a)
La organización debe establecer los objetivos de seguridad de la información en

las funciones y niveles pertinentes:
Los objetivos deben ser:
• Coherentes con la política de seguridad de la información.

• Medibles (Si es posible).
• Tener en cuenta los requisitos de seguridad de la información aplicables, y los
resultados de los tratamientos de riesgos.
• Ser comunicados y actualizados según sea apropiado.
La organización debe conservar información documentada sobre los objetivos.
6. Planificación
6.2. Objetivos de seguridad de la información
y planes para lograrlos (b)
Cuando se hace la planificación de los objetivos la organización

debe determinar:
• Lo que se va a hacer.
• Que recursos se requerirán.
• Quien será el responsable.
• Cuando se finalizará.
• Como se evaluarán los resultados.
Para el objetivo:
“Adquirir los conocimientos suficientes en ISO/IEC 27001”
Diseñe el formato de un plan (tipo Excel) donde se incluya ese

objetivo:
- Un indicador para medir que se cumple

- 3 acciones para alcanzarlo
- Responsable de esas acciones
- Fecha para esas acciones
7. Apoyo
7.1. Recursos
Se debe determinar y proporcionar los recursos necesarios para

el establecimiento, implementación, mantenimiento y mejora continua delSGSI.
7. Apoyo
7.2. Competencia
Se debe:
• Determinar la competencia de las personas que realizan un trabajo que afecte

el desempeño de la seguridad de la información.
• Asegurar que las personas sean competentes, basándose en:
educación,
formación o experiencia adecuadas.
• Tomar acciones para adquirir la competencia necesario y evaluar su eficacia
(cuando sea aplicable)
• Conservar la información documentada apropiada como evidencia.
7. Apoyo
7.3. Toma de conciencia
TOMA DE CONCIENCIA
Las personas deben tomar conciencia de:
• La política.
• Su contribución a la eficacia, incluyendo los beneficios de una mejora del

desempeño.
• Las implicaciones de la No Conformidad con los requisitos del SGSI.
7. Apoyo
7.4. Comunicación
Se debe determinar la necesidad de comunicaciones externas e internas que

incluyan:
• El contenido de la comunicación.
• Cuándo comunicar.
• A quién comunicar.
• Quién debe comunicar
• Los procesos para llevar a cabo la comunicación.
Elija un mensaje a comunicar dentro del proyecto de
implementación ISO/IEC 27001 y defina para este:
- Qué comunicar
- Cuándo
- Cómo
- Dónde y con què
7. Apoyo
5. Información documentada (a)
1. GENERALIDADES.
Se debe incluir:
Información documentada requerida por la norma

Información documentada que la organización ha determinado que es necesaria
para la eficacia del SGSI.
Nota: El alcance de la información documentada puede ser diferente de una

organización a otra, debido a:
El tamaño de la organización y su tipo de actividades, procesos, productos y

servicios.
La Complejidad de los procesos y sus interacciones.
La Competencia de las personas.

7. Apoyo
5. Información documentada (b)
2. CREACIÓN Y ACTUALIZACIÓN.
Cuando se crea o actualiza información documentada, se debe asegurar que:
La identificación y descripción
El formato y sus medios de soporte.
La revisión y aprobación con respecto a la idoneidad y adecuación.
3. CONTROL DE LA INFORMACIÓN DOCUMENTADA.
La información documentada se debe controlar para asegurar que:
Esté disponible y adecuado para su uso, cuando y donde se requiere

Esté protegida adecuadamente.
7. Apoyo
7.5. Información documentada (c)
7.5.3 CONTROL DE LA INFORMACIÓN DOCUMENTADA.
Para controlar la información se debe tratar de:
• Distribución, acceso, recuperación y uso

• Almacenamiento y preservación, incluido la legibilidad.
• Control de Cambios
• Retención y disposición.
Se debe identificar y controlar la información de origen externo, que la

organización ha determinado que es necesario para la planificación y operación
del SGSI.
8. Operación
8.1 Planificación y control operacional
La Organización debe realizar una planificación, implantación y control de todos

los procesos necesarios para cumplir con los requisitos de seguridad de la
información y para implementar las acciones determinadas en el # 6.1, además
las organización debe implementar planes para lograr los objetivos de la
seguridad de la información en el # 6.2.
La organización debe mantener lar información documentada en la medida

necesaria para tener la confianza en los procesos que se han llevado a cabo
según lo planificado.
La organización debe controlar los cambios planificados y revisar las

consecuencias de los cambios no previstos, tomando acciones para mitigar los
efectos adversos, cuando se necesario.
La organización debe asegurar que los procesos subcontratados estén

controlados.
8. Operación
8.2 Valoración de los riesgos de seguridad de la
información
La organización debe llevar a cabo valoración de los riesgos de seguridad de la

información a intervalos planificados o cuando se proporcionan u ocurran
cambios significativos teniendo en cuenta los criterios establecidos en el # 6.1.2 .
La organización deben conservar información documentada de los resultados de

las valoraciones de los riesgos de seguridad de la información.
Tome los 3 riesgos que definió previamente para el proyecto de
implementación de ISO 27001 en su empresa.
Valore esos riesgos.
A continuación tome los 3 riesgos de otro grupo y valórelos.
Compare con ese grupo los resultados.
8. Operación
8.3 Tratamiento de los riesgos de seguridad de la
información
La organización debe implementar plan de tratamiento de

riesgos de seguridad
de la información
La organización deben conservar información documentada de los resultados de

los tratamiento de los riesgos de seguridad de la información.
9. Evaluación de desempeño
9.1 Seguimiento, medición, análisis y evaluación.
Se debe evaluar el desempeño del SGSI y la eficacia del SGSI.
Se debe determinar:
• A qué se requiere hacer y medir, incluidos los procesos y

seguimiento controles del SGSI.
• Los métodos de seguimiento, medición, análisis y evaluación, para asegurar
resultados válidos.
• Cuándo se deben llevar a cabo el seguimiento y la medición.
• Quien debe llevar a cabo el seguimiento y la medición.
• Cuándo se deben analizar y evaluar los resultados de seguimiento y medición.
• Quién debe analizar y evaluar estos resultados.
Se debe conservar información documentada apropiada como evidencia de los

resultados del monitoreo y la medición.
Solicite el formato de hoja de vida de indicadores y defina uno para
el SGSI.
9.2 Auditoria interna (a)
La organización debe realizar auditorias internas al SGSI a intervalos

planificados, para determinar si los objetivos de control, controles, procesos y
procedimientos de su SGSI:
a) Cumplen los requisitos de esta norma internacional y de la

legislación o
reglamentaciones pertinentes;
b) Cumplen los requisitos identificados de seguridad de la información;
c) Están implementados y se mantienen eficazmente, y
d) Tienen un desempeño acorde con lo esperado.
9.2 Auditoria interna (b)
La organización debe:
La organización debe planificar, establecer, implementar y mantener uno o varios

programas de auditoria que incluyan la frecuencia, los métodos, las
responsabilidades, los requisitos de la planificación y la elaboración de los informes.
Los programas de auditoria deben tener en cuenta la importancia de los procesos
involucrados y los resultados de las auditorias previas.
Para cada auditoria, definir los criterios y el alcance de ésta
Seleccionar los auditores y llevar a cabo las auditorias para asegurarse de la

objetividad e imparcialidad.
Asegurarse que los resultados de las auditorias se informan a la dirección pertinente.
Conservar información documentada como evidencia de la implementación del

programa de auditoria y los resultados de esta.
Solicite el procedimiento de Auditorìas Internas y familiarícese con
él.
Por favor responda:
1. ¿Incluye los controles pertinentes para asegurar que la

actividad se realice bien?
2. ¿Agregarìa Usted algún control?
3. ¿Cuántos formatos incluye?
9.3 Revisión por la dirección (a)
La alta dirección debe revisar el sistema de gestión de seguridad de la información

de la organización a intervalos planificados, para asegurarse de su conveniencia,
adecuación y eficacia continuas.
La revisión por la dirección debe incluir:
• Estado de las acciones de las revisiones anteriores.
• Cambios en los aspectos externos e internos que afecten el SGSI
• Retroalimentación del desempeño del SGSI, incluidas las tendencias a:
• No Conformidades y Acciones Correctivas.
• Seguimiento y resultados de las mediciones.
9.4 Revisión por la dirección (b)
• Resultados de auditoria.
• Y cumplimientos de los objetivos de seguridad de la información.
• Retroalimentación de las partes interesadas
• Resultados de la evaluación de riesgos y estado del plan de tratamiento.
• Oportunidades de mejora
Los elementos de la salida de la revisión por la dirección deben incluir las

decisiones relacionadas con las oportunidades de mejorar continua y cualquier
necesidad de cambio del sistema de gestión de seguridad de la información.
Se debe conservar información documentada como evidencia de los resultados de

las revisiones por la dirección.
10. Mejora
10.1 No conformidades y acciones correctivas (a)
Cuando se tenga una No Conformidad, se debe:
Reaccionar ante la No Conformidad, según aplique:

Tomar acciones para controlarla y corregirla.
Hacer frente a las consecuencias
Evaluar la necesidad de acciones para eliminar las causas, con el fin de que no
vuelvan a ocurrir las No Conformidades, mediante:
• Revisión de la No Conformidad.
• Determinar las causas.
• Determinar si existen No Conformidades similares o que potencialmente podrían
ocurrir.
• Implementar acciones
• Revisar la eficacia de las acciones tomadas.
• Hacer cambios al SGSI cuando sea necesario.
10. Mejora
10.1 No conformidades y acciones correctivas (b)
• Las acciones correctivas deben ser apropiadas a los efectos de las

no conformidades encontradas.
• La organización debe conservar información documentada como evidencia de:
• La naturaleza de las no conformidades y cualquier otra acción posterior tomada.
• Los resultados de cualquier acción correctiva.
Analizar causas es una de las actividades más complejas de un sistema de
gestión.
Por favor revise el procedimiento de gestión de acciones correctivas y

familiarícese con la metodología de análisis de causas.
Realice un análisis de causas sobre las no conformidades:
“No se evidencia la retroalimentación del cliente en la revisión gerencial”

“No se evidencia la definición del perfil del auditor interno del SGSI”
10. Mejora
10.2 Mejora continua
La organización debe mejorar continuamente de la conveniencia, adecuación y

eficacia del sistema de seguridad de la información.
Anexo A
Dentro de la norma ISO 27001, el Anexo A es el más conocido por ser normativo,
lo que indica que su implementación es imprescindible. Y en cuanto a controles de
seguridad en ISO 27001 se refiere, constituye una parte esencial, pues presenta
una lista de dichos controles que pueden resultar fundamentales para mejorar la
protección de la información en las organizaciones.
Dominio 5: Política de Seguridad de la información
A.5.1. Orientación de la dirección para la gestión de la seguridad de la información.
Objetivo:
Brindar orientación y soporte, por pate de la dirección, para la seguridad de la información de

acuerdo con los requisitos del negocio y con las leyes y reglamentos pertinentes.
Controles:
• Políticas para la seguridad de la información: Se debe definir un conjunto de políticas

para la seguridad de la información, aprobada por la dirección, publicada y comunicada a
los empleados y a las partes externas pertinentes.
• Revisión de las políticas para la seguridad de la información: las políticas para la

seguridad de la información se deben revisar a intervalos planificados, o si ocurren
cambios significativos, para asegurar su conveniencia, adecuación y eficacia continúas.
Dominio 6: Organización de la Seguridad de
la Información
A.6.1. Organización Interna.
Objetivo:
Establecer un marco de referencia de gestión para iniciar y controlar la

implementación y la operación de la seguridad de la información dentro de la
organización.
Controles:
• Roles y responsabilidades para la seguridad de la información: Se deben

definir y asignar todas las responsabilidades de la seguridad de la información.
• Separación de deberes: Los deberes y áreas de responsabilidad en conflicto

se deben separar para reducir las posibilidades de modificación no autorizada o
no intencional, o el uso indebido de los activos de la organización.
la Información
A.6.1. Organización Interna.
Objetivo:
Establecer un marco de referencia de gestión para iniciar y controlar la

implementación y la operación de la seguridad de la información dentro de la
organización.
Controles:
• Contacto con autoridades: Se deben mantener contactos apropiados con

las autoridades competentes.
• Contacto con grupos de interés especial: Se deben mantener contactos
apropiados con grupos de interés especial u otros foros y asociaciones
profesionales especializadas en seguridad.
• Seguridad de la información en la gestión de proyectos: La seguridad de
la información se debe tratar en la gestión de proyectos, independientemente
del tipo de proyecto.
la Información
A.6.2. Dispositivos Móviles y Teletrabajo.
Objetivo:
Garantizar la seguridad del teletrabajo y el uso de dispositivos móviles.

Controles:
• Políticas para dispositivos móviles: Se deben adoptar una política y unas

medidas de seguridad de soporte, para gestionar los riesgos introducidos por el
uso de dispositivos móviles.
• Teletrabajo: Se debe implementar una política y unas medidas de seguridad de

soporte, para proteger la información a la que se tiene acceso, que es
procesada o almacenada en los lugares en los que se realiza el teletrabajo.
Dominio 7: Seguridad de los recursos
humanos
A.7.1. Antes de asumir el empleo.
Objetivo:
Asegurar que los empleados y contratistas comprenden sus responsabilidades y

son idóneos en los roles para los que se consideran.
Controles:
• Selección: la verificación de los antecedentes de todos los candidatos a un

empleo se deben llevar a cabo de acuerdo con las leyes, reglamentaciones y
ética pertinentes y deben ser proporcionales a los requisitos del negocio, a la
clasificación de la información a que se va a tener acceso, y a los riesgos
percibidos.
humanos
A.7.1. Antes de asumir el empleo.
Objetivo:
Asegurar que los empleados y contratistas comprenden sus responsabilidades y

son idóneos en los roles para los que se consideran.
Controles:
• Términos y condiciones del empleo: Los acuerdos contractuales con

empleados y contratistas deben establecer sus responsabilidades y las de la
organización en cuanto a la seguridad de la información.
humanos
A.7.2. Durante la ejecución del empleo.
Objetivo:
Asegurarse de que los empleados y contratistas tomen conciencia de sus responsabilidades

de seguridad de la información y las cumplan.
Controles:
• Responsabilidad de la dirección: La dirección debe exigir a todos los empleados y

contratistas la aplicación de la seguridad de la información de acuerdo con las políticas y
procedimientos establecidos por la organización.
• Toma de conciencia, educación y formación de la SI: Todos los empleados de la

organización, y en donde sea pertinente, los contratistas, deben recibir la educación y la
formación en toma de conciencia apropiada, y actualizaciones regulares sobres las
políticas y procedimientos de la organización pertinentes a su cargo.
humanos
A.7.2. Durante la ejecución del empleo.
Objetivo:
Asegurarse de que los empleados y contratistas tomen conciencia de sus

responsabilidades de seguridad de la información y las cumplan.
Controles:
• Proceso Disciplinario: Se debe contar con un proceso formal, el cual debe ser
comunicado, para emprender acciones contra empleados que hayan cometido
una violación a la seguridad de la información.
humanos
A.7.3. Terminación y Cambio de empleo.
Objetivo:
Proteger los intereses de la organización como parte del proceso de cambio o

terminación de empleo.
Controles:
• Terminación cambio de responsabilidades de empleo:

responsabilidades
o y los deberes de seguridad de las la
permanecen válidos después de la terminación o cambio de empleo seque
información deben
definir, comunicar al empleado o contratista y se deben hacer cumplir.
Determine 5 acciones que cumplan con los controles del Dominio 7
Dominio 8: Gestión de activos
A.8.1. Responsabilidad por los activos.
Objetivo:
Identificar los activos organizacionales y definir las responsabilidades de

protección apropiadas.
Controles:
• Inventario de Se deben identificar los activos asociados con

Activos:
información e instalaciones de procesamiento de información, y se debe
elaborar y mantener un inventarios de esos activos.
• Propiedad de los Activos: Los activos mantenidos en el inventario deben tener

un propietario.
A.8.1. Responsabilidad por los activos.
Objetivo:
Identificar los activos organizacionales y definir las responsabilidades de

protección apropiadas.
Controles:
• Uso aceptable de los Activos: Se deben identificar, documentar e implementar

reglas para el uso aceptable de información y de activos asociados con
información e instalaciones de procesamiento de información.
• Devolución de Activos: Todos los empleados y usuarios de partes externas

deben devolver todos los activos de la organización que se encuentren a su
cargo, al terminar su empleo, contrato o acuerdo.
A.8.2. Clasificación de la Información.
Objetivo:
Asegura que la información recibe un nivel apropiado de protección, de acuerdo

con su importancia para la organización.
Controles:
• Clasificación de la información: la información se debe clasificar en función

de los requisitos legales, valor, criticidad y susceptibilidad a divulgación o a
modificación no autorizada.
• Etiquetado de la información: Se debe desarrollar e implementar un conjunto

adecuado de procedimientos para el etiquetado de la información, de acuerdo
con el esquema de clasificación de información adoptado por la organización.
A.8.2. Clasificación de la Información.
Objetivo:
Asegura que la información recibe un nivel apropiado de protección, de acuerdo

con su importancia para la organización.
Controles:
• Manejo de activos: Se deben desarrollar e implementar procedimientos para el

manejo de activos, de acuerdo con el esquema de clasificación de información
adoptado por la organización.
A.8.3. Manejo de Medios.
Objetivo:
Evitar la divulgación, la modificación, el retiro o la destrucción no autorizados de

información almacenada en los medios.
Controles:
• Gestión de medios removibles: Se deben implementar procedimientos para la

gestión de medios removibles, de acuerdo con el esquema de clasificación
adoptado por la organización.
• Disposición de los medios: Se debe disponer en forma segura de los medios

cuando ya no se requieran, utilizando procedimientos formales.
A.8.3. Manejo de Medios.
Objetivo:
Evitar la divulgación, la modificación, el retiro o la destrucción no autorizados de

información almacenada en los medios.
Controles:
• Transferencia de medios físicos: Los medios que contiene información se

deben proteger contra acceso no autorizado, uso indebido o corrupción.
Dominio 9: Control de acceso
A.9.1. Requisitos del negocio para control de acceso.
Objetivo:
Limitar el acceso a información y a instalaciones de procesamiento de información.
Controles:
• Política de control de acceso: Se debe establecer, documentar y revisar una

política de control de acceso con base en los requisitos del negocio y de
• Acceso a redes y a servicios en red: Solo se debe permitir acceso de los

usuarios a la red y a los servicios de red para los que haya sido autorizados
específicamente.
A.9.2. Gestión de acceso de usuarios.
Objetivo:
Asegurar el acceso de los usuarios autorizados y evitar el acceso no autorizado a

sistemas y servicios.
Controles:
• Registro y cancelación del registro de usuarios: Se debe implementar un

proceso formal de registro y de cancelación de registro de usuarios, para
posibilitar la asignación de los derechos de acceso.
• Suministro de acceso de usuarios: Se debe implementar un proceso de

suministro de acceso formal de usuarios para asignar o revocar derechos de
acceso para todo tipo de usuarios para todos los sistemas y servicios.
Objetivo:

Controles:
• Gestión de derechos de acceso privilegiado: Se debe restringir y controlar la

asignación y uso de derechos de acceso privilegiado.
• Gestión de información de autenticación secreta de usuarios: La

asignación de información de autenticación secreta se debe controlar por medio
de un proceso de gestión formal.
Objetivo:

Controles:
• Revisión de los derechos de acceso de usuarios: Los propietarios de los

activos deben revisar los derechos de acceso de los usuarios, a intervalos
regulares.
• Retiro o ajuste de los derechos de acceso: Los derechos de acceso de todos

los empleados y de usuarios externos a la información y a las instalaciones de
procesamiento de información se deben retirar al terminar su empleo, contrato o
acuerdo, o se deben ajustar cuando se hagan los cambios.
A.9.3. Responsabilidad de los Usuarios.
Objetivo:
Hacer que los usuarios rindan cuentas por la salvaguarda de su información de

autenticación.
Controles:
• Uso de información de autenticación secreta: Se debe exigir a los usuarios

que cumplan las practicas de la organización para el uso de información de
autenticación secreta.
A.9.4. Control de acceso a sistemas y aplicaciones.
Objetivo:
Evitar el acceso no autorizado a sistemas y aplicaciones.
Controles:
• Restricción de acceso a la información: El acceso a la información y a las funciones de

los sistemas de las aplicaciones se deben restringir de acuerdo con la política de control
de acceso.
• Procedimiento de ingreso seguro: Cuando lo requiere la política de control de acceso,

el acceso a los sistemas y aplicaciones se debe controlar mediante un proceso de ingreso
seguro.
• Sistema de gestión de contraseñas: Los sistemas de gestión de contraseñas deben ser

interactivos y deben asegurar la calidad de las contraseñas.
A.9.4. Control de acceso a sistemas y aplicaciones.
Objetivo:
Evitar el acceso no autorizado a sistemas y aplicaciones.
Controles:
• Uso de programas utilitarios privilegiados: Se debe restringir y controlar

estrictamente el uso de programas utilitarios que podrían tener capacidad de
anular el sistema y los controles de las aplicaciones.
• Control de acceso a códigos fuente de programas: Se debe restringir el

acceso a los códigos fuentes de los programas.
Determine 5 acciones que cumplan con los controles del Dominio 8 y 9
Dominio 10: Criptografía
A.10.1. Controles criptográficos.
Objetivo:
Asegurar el uso apropiado y eficaz de la criptografía para proteger la

confidencialidad, la autenticidad y/o la integridad de la información.
Controles:
• Política sobre el uso de controles criptográficos: Se debe desarrollar e

implementar una política sobre el uso de controles criptográficos para la
protección de la información.
• Gestión de Llaves: Se debe desarrollar e implementar una política sobre el

uso, protección y tiempo de vida de las llaves criptográficas, durante todo su
ciclo de vida.
Dominio 11: Seguridad física y del entorno
A.11.1. Áreas Seguras.
Objetivo:
Prevenir el acceso físico no autorizado, el daño y la interferencia a la información y

a las instalaciones de procesamiento de información de la organización.
Controles:
• Perímetros de seguridad física: Se deben y usar perímetros de

seguridad,
definir y usarlos para proteger áreas que contengan
información
confidencial o critica, e instalaciones de manejo de información.
• Controles de acceso físico: Las áreas seguras se deben proteger mediante

controles de acceso apropiados para asegurar que solo se permite el acceso a
persona al autorizado.
Objetivo:

Controles:
• Seguridad de oficinas, recintos e instalaciones: Se deben diseñar y aplicar

seguridad física a oficinas, recintos e instalaciones.
• Protección contra amenazas externas y ambientales: Se debe diseñar y

aplicar protección física contra desastres naturales, ataques maliciosos o
accidentes.
Objetivo:

Controles:
• Trabajo en áreas seguras: Se deben diseñar y aplicar procedimientos para

trabajo en áreas seguras.
• Áreas de despacho y carga: Se deben controlar los puntos de acceso tales

como áreas de despacho y de carga y otros puntos en donde pueden entrar
personas no autorizadas, y si es posible, aislarlos de las instalaciones de
procesamiento de información para evitar el acceso no autorizado.
A.11.2. Equipos.
Objetivo:
Prevenir la pérdida, daño, robo o compromiso de activos y la interrupción de las operaciones

de la organización.
Controles:
• Ubicación y protección de los equipos: Los equipos deben estar ubicados y protegidos
para reducir los riesgos de amenazas y peligros del entorno, y las posibilidades de acceso
no autorizado.
• Servicios de suministro: Los equipos se deben proteger contra fallas de energía y otras
interrupciones causadas por fallas en los servicios de suministro.
• Seguridad del cableado: El cableado de energía eléctrica y de telecomunicaciones que

porta datos o brinda soporte a los servicios de información se debe proteger contra
interceptación, interferencia o daño.
A.11.2. Equipos.
Objetivo:

Controles:
• Mantenimiento de equipos: Los equipos se deben mantener correctamente

para
asegurar su disponibilidad e integridad continuas.
• Retiro de activos: Los equipos, información o software no se deben retirar de su sitio sin
autorización previa.
• Seguridad de equipos y activos fuera de las instalaciones: Se deben aplicar las

medidas de seguridad a los activos que se encuentran fuera de las instalaciones de la
organización, teniendo en cuenta los diferentes riesgos de trabajar fuera de dichas
instalaciones.
A.11.2. Equipos.
Objetivo:

Controles:
• Disposición segura o reutilización de equipos: Se deben verificar todos los elementos

de los equipos que contengan medios de almacenamiento para asegurar que cualquier
dato confidencial o software licenciado haya sido retirado o sobre escrito.
• Equipos de usuario desatendido: los usuarios deben asegurarse de que a los equipos
desatendidos se les da la protección apropiada.
• Política de escritorio limpio y pantalla limpia: Se debe adoptar una política de escritorio
limpio para los portapapeles y medios de almacenamiento removibles, y una política de
pantalla limpia en las instalaciones de procesamiento de información.
Dominio 12: Seguridad de las operaciones
A.12.1. Procedimientos operacionales y responsabilidades.
Objetivo:
Asegurar las operaciones correctas y seguras de las instalaciones de

procesamiento de información.
Controles:
• Procedimientos de operación documentados: Los procedimientos de

operación se deben documentar y poner a disposición de todos los usuario que
los necesitan.
• Gestión de cambios: Se deben controlar los cambios en la organización, en los

procesos de negocio, en las instalaciones y en los sistemas de procesamiento
de información que afectan la seguridad de la información.
A.12.1. Procedimientos operacionales y responsabilidades.
Objetivo:
Asegurar las operaciones correctas y seguras de las instalaciones de

procesamiento de información.
Controles:
• Gestión de capacidad: Se debe hacer seguimiento al uso de recursos, hacer

los ajustes y hacer proyecciones de los requisitos de capacidad futura, para
asegurar el desempeño requerido del sistema.
• Separación de los ambientes de desarrollo, pruebas y operación: Se deben

separar los ambientes de desarrollo, prueba y operación, para reducir los
riesgos de acceso o cambios no autorizados al ambiente de operación.
A.12.2. Protección contra códigos maliciosos.
Objetivo:
Asegurarse de que la información y las instalaciones de procesamiento de

información estén protegidas contra códigos maliciosos.
Controles:
• Controles contra códigos maliciosos: Se deben implementar controles de

detección, de prevención y de recuperación, combinados con la toma de
conciencia apropiada de los usuarios, para proteger contra códigos maliciosos.
A.12.3. Copias de Respaldo.
Objetivo:
Proteger contra pérdida de datos.
Controles:
• Respaldo de información: Se deben hacer copias de respaldo de

información,
la software e imágenes de los sistemas, y ponerlas a pruebas
regularmente de acuerdo con una política de copias de respaldo de la
información.
A.12.4. Registro y Seguimiento.
Objetivo:
Registrar eventos y generar evidencia.
Controles:
• Registro de eventos: Se debe elaborar, conservar y revisar regularmente los

registros acerca de actividades del usuario, excepciones, fallas y eventos de
• Protección de la información de registro: las instalaciones y la información

de registros se deben proteger contra alteración y acceso no autorizado.
A.12.4. Registro y Seguimiento.
Objetivo:
Registrar eventos y generar evidencia.
Controles:
• Registros del administrador y del operador: las actividades del administrador

y del operador del sistema se deben registrar, y los registros se deben proteger
y revisar con regularidad.
• Sincronización de relojes: los relojes de todos los sistemas de procesamiento

de información pertinentes dentro de una organización o ámbito de seguridad se
deben sincronizar con una única fuente de referencia de tiempo.
A.12.5. Control de software operacional.
Objetivo:
Asegurarse de la integridad de los sistemas operacionales.
Controles:
• Instalación de software en sistemas operativos: Se deben

implementar procedimientos para controlar la instalación de software en
sistemas operativos.
A.12.6. Gestión de la vulnerabilidad técnica.
Objetivo:
Prevenir el aprovechamiento de las vulnerabilidades técnicas
Controles:
• Gestión de las vulnerabilidades técnicas: Se deben obtener oportunamente

información acerca de las vulnerabilidades técnicas de los sistemas de
información que se usen, evaluar la exposición de la organización a estas
vulnerabilidades, y tomar las medidas apropiadas para tratar el riesgo asociado.
• Restricciones sobre la instalación de software: Se deben establecer e

implementar las reglas para la instalación de software por parte de los usuarios.
A.12.7. Consideraciones sobre auditorías de sistemas de información.
Objetivo:
Minimizar el impacto de las actividades de auditoría sobre los sistemas operativos
Controles:
• Controles de auditorías de sistemas de información: los requisitos y

actividades de auditoria que involucran la verificación de los sistemas operativos
se deben planificar y acordar cuidadosamente para minimizar las interrupciones
en los procesos del negocio.
Determine 5 acciones que cumplan con los controles del Dominio 10 a 12
Dominio 13: Seguridad de las comunicaciones
A.13.1. Gestión de la seguridad en las redes.
Objetivo:
Asegurar la protección de la información en las redes, y sus instalaciones de procesamiento

de información de soporte
Controles:
• Controles de Soporte: las redes se deben gestionar y controlar para proteger

la
información en sistemas y aplicaciones.
• Seguridad de los servicios de red: Se debe identificar los mecanismos de seguridad, los
niveles de servicio y los requisitos de gestión de todos los servicios de red, e incluirlos en
los acuerdos de servicio de red, ya sea que los servicios se presten internamente o se
contraten externamente.
• Separación en las redes: los grupos de servicio de información, usuarios y sistemas de
información se deben separar en las redes.
A.13.2. Transferencia de información.
Objetivo:
Mantener la seguridad de la información transferida dentro de una organización y

con cualquier entidad externa.
Controles:
• Políticas y procedimientos de transferencia de información: Se debe contar

con políticas y controles de transferencia formales para proteger la transferencia
de información mediante el uso de todo tipo de instalaciones de
comunicaciones.
• Acuerdos sobre transferencia de información: los acuerdos deben tratar la

transferencia segura de información del negocio entre la organización y las
partes externas.
A.13.2. Transferencia de información.
Objetivo:
Mantener la seguridad de la información transferida dentro de una organización y

con cualquier entidad externa.
Controles:
• Mensajería electrónica: Se debe proteger adecuadamente la

información incluida en la mensajería electrónica.
• Acuerdos de confidencialidad o de no divulgación: Se deben identificar,

revisar regularmente y documentar los requisitos para los acuerdos de
confidencialidad o no divulgación que reflejen las necesidades de
organización para la protección de la información.
la
Dominio 14: desarrollo y
Adquisición, mantenimiento de
sistemas
A.14.1. Requisitos de seguridad de los sistemas de información.
Objetivo:
Asegurar que la seguridad de la información sea una parte integral de los sistemas de
información durante todo el ciclo de vida. Esto incluye también los requisitos para sistemas de
información que prestan servicios sobre redes públicas.
Controles:
• Análisis y especificación de requisitos de seguridad de la información: Los requisitos

relacionados con seguridad de la información se deben incluir en los requisitos para
nuevos sistemas de información o para mejoras a los sistemas de información existentes.
• Seguridad de servicios de las aplicaciones en redes públicas: la información

involucrada en los servicios de las aplicaciones que pasan sobre redes públicas se debe
proteger de actividades fraudulentas, disputas contractuales y divulgación y modificación
no autorizadas.
sistemas
A.14.1. Requisitos de seguridad de los sistemas de información.
Objetivo:
Asegurar que la seguridad de la información sea una parte integral de los sistemas
de información durante todo el ciclo de vida. Esto incluye también los requisitos
para sistemas de información que prestan servicios sobre redes públicas.
Controles:
• Protección de transacciones de los servicios de las aplicaciones: la

información involucrada en las transacciones de los servicios se debe proteger
para evitar la transmisión incompleta, el enrutamiento errado, la alteración no
autorizada de mensajes, la divulgación no autorizada, y la duplicación o
reproducción de mensajes no autorizada.
Dominio Adquisición, desarrollo y mantenimiento de
14:
sistemas
A.14.2. Seguridad en los procesos de desarrollo y de soporte.
Objetivo:
Asegurar que la seguridad de la información esté diseñada e implementada dentro del

ciclo de vida de desarrollo de los sistemas de información.
Controles:
• Política de desarrollo seguro: Se deben establecer y aplicar reglas para el desarrollo

de software y de sistemas, a los desarrollos dentro de la organización.
• Procedimientos de control de cambios en sistemas: Los cambios a los sistemas
dentro del ciclo de vida de desarrollo se deben controlar mediante el uso de
procedimientos formales de control de cambios.
• Revisión técnica de las aplicaciones después de cambios en la plataforma de
operación: Cuando se cambian las plataformas de operación, se deben revisar las
aplicaciones criticas del negocio, y someter a prueba para asegurar que no haya
impacto adverso en las operaciones o seguridad de la organización.
Dominio 14: Adquisición, desarrollo y mantenimiento
de sistemas
Objetivo:
Asegurar que la seguridad de la información esté diseñada e implementada dentro del ciclo
de vida de desarrollo de los sistemas de información.
Controles:
• Restricciones en los cambios a los paquetes de software: Se deben desalentar las
modificaciones a los paquetes de software , los cuales se deben limitar a los cambios
necesarios, y todos los cambios se deben controlar estrictamente.
• Principios de construcción de los sistemas seguros: Se deben establecer, documentar

y mantener principios para la construcción de sistemas seguros, y aplicarlos a cualquier
actividad de implementación de sistemas de información.
• Ambiente de desarrollo seguro: las organizaciones deben establecer y proteger

adecuadamente los ambientes de desarrollo seguros para las actividades de desarrollo e
integración de sistemas que comprendan todos el ciclo de vida de desarrollo de sistemas.
Dominio Adquisición, desarrollo y mantenimiento de
sistemas
14:
Objetivo:
Asegurar que la seguridad de la información esté diseñada e implementada dentro del ciclo
de vida de desarrollo de los sistemas de información.
Controles:
• Desarrollo contratado externamente: La organización debe supervisar y hacer

seguimiento de la actividad de desarrollo de sistemas contratados externamente.
• Pruebas de seguridad de sistemas: Durante el desarrollo se deben llevar a cabo

pruebas de funcionalidad de la seguridad.
• Prueba de aceptación de sistemas: para los sistemas de información nuevos,

actualizaciones y nuevas versiones, se deben establecer programas de prueba para
aceptación y criterios de aceptación relacionados.
sistemas
A.14.3. Datos de prueba.
Objetivo:
Asegurar la protección de los datos usados para pruebas.
Controles:
• Protección de datos de prueba: Los datos de prueba se deben seleccionar,

proteger y controlar cuidadosamente.
Determine 5 acciones que cumplan con los controles del Dominio 13 y 14
Dominio 15: Relaciones con los proveedores
A.15.1. Seguridad de la información en las relaciones con proveedores.
Objetivo:
Asegurar la protección de los activos de la organización que sean accesibles a los

proveedores.
Controles:
• Política de seguridad de la información para las relaciones con proveedores: Los

requisitos de seguridad de la información para mitigar los riesgos asociados con el
acceso a proveedores a los activos de la organización se deben acordar con estos y se
deben documentar.
• Tratamiento de la seguridad dentro de los acuerdos con proveedores: Se deben

establecer y acordar todos los requisitos de seguridad de la información pertinentes con
cada proveedor que pueda tener acceso, procesar, almacenar, comunicar o suministrar
componentes de infraestructura de TI para la información dela organización.
A.15.1. Seguridad de la información en las relaciones con proveedores.
Objetivo:
Asegurar la protección de los activos de la organización que sean accesibles a

los proveedores.
Controles:
• Cadena de suministro de tecnología de información y comunicación:

Los acuerdos con proveedores deben incluir requisitos para tratar los riesgos
de seguridad de la información asociados con la cadena de suministro de
productos y servicios de tecnología de información y comunicación.
A.15.2. Gestión de la prestación de servicios de proveedores.
Objetivo:
Mantener el nivel acordado de SI y de prestación del servicio en línea con los acuerdos
con los proveedores.
Controles:
• Seguimiento y revisión de los servicios de los proveedores: las organizaciones

deben hacer seguimiento, revisar y auditar con regularidad la prestación de servicios
de los proveedores.
• Gestión de cambios en los servicios de los proveedores: Se deben GESTIÓNar

los cambios en el suministro de servicios por parte de los proveedores, incluido el
mantenimiento y la mejora de las políticas, procedimientos y controles e seguridad de
las información existentes, teniendo en cuenta la criticidad de la información, sistemas
y procesos del negocio involucrados, y la reevaluación de los riesgos.
Dominio 16: Gestión de incidentes de seguridad de
la información
A.16.1. Gestión de incidentes y mejoras en la seguridad de la información.
Objetivo:
Asegurar un enfoque coherente y eficaz para la gestión de incidentes de seguridad de

la información, incluida la comunicación sobre eventos de seguridad y debilidades.
Controles:
• Responsabilidades y procedimientos: Se deben establecer las responsabilidades
y procedimientos de gestión para asegurar una respuesta rápida, eficaz y ordenada
a los incidentes de seguridad de la información.
• Reporte de eventos de seguridad de la información: Los eventos de seguridad de

la información se deben informar a través de los canales de gestión apropiados, tan
pronto como sea posible.
• Reporte de debilidades de seguridad de la información: Se debe exigir a todos

los empleados y contratistas que usan los servicios y sistemas de información de la
organización, que observen y reporten cualquier debilidad de seguridad de la
información observada o sospechada en los sistemas o servicios.
Dominio 16: Gestión de incidentes de seguridad de la
información
16. GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN
1. Gestión de incidentes y mejoras en la seguridad de la información.
Objetivo:
Asegurar un enfoque coherente y eficaz para la gestión de incidentes de seguridad de la
información, incluida la comunicación sobre eventos de seguridad y debilidades.
Controles:
• Reporte de debilidades de seguridad de la información: Se debe exigir a todos los
empleados y contratistas que usan los servicios y sistemas de información de la
organización, que observen y reporten cualquier debilidad de seguridad de la
información observada o sospechada en los sistemas o servicios.
• Evaluación de eventos de seguridad de la información y decisiones sobre ellos:

Los eventos de seguridad de la información se deben evaluar y se debe decidir si se
van a clasificar como incidentes de seguridad de la información.
Dominio 16: Gestión de incidentes de seguridad de
la información
A.16.1. Gestión de incidentes y mejoras en la seguridad de la información.
Objetivo:
Asegurar un enfoque coherente y eficaz para la gestión de incidentes de seguridad de la
información, incluida la comunicación sobre eventos de seguridad y debilidades.
Controles:
• Respuesta a incidentes de seguridad de la información: Se debe dar respuesta a

los incidentes de seguridad de la información de acuerdo con procedimientos
documentados.
• Aprendizaje obtenido de las incidentes de seguridad de la información: El

conocimientos adquirido al analizar y resolver incidentes de seguridad de la
información se debe usar para reducir la posibilidad o el impacto de incidentes
futuros.
• Recolección de evidencia: La organización debe definir y aplicar procedimientos

para la identificación, recolección, adquisición y preservación de información que
pueda servir como evidencia.
Dominio 17: Aspectos de seguridad de la información de la
gestión de continuidad del negocio
A.17.1. Continuidad de la Seguridad de la Información.
Objetivo:
La continuidad de seguridad de la información se debe incluir en los sistemas de gestión de
la continuidad de negocio de la organización.
Controles:
• Planificación de la continuidad de la seguridad de la información: la organización

debe determinar sus requisitos para la seguridad de la información y la continuidad de la
gestión de la seguridad de la información en situaciones adversas, por ejemplo durante
una crisis o desastre.
• Implementación de la continuidad de la seguridad de la información: la organización

debe establecer, documentar, implementar y mantener procesos, procedimientos y
controles para asegurar el nivel continuidad requerido para la seguridad de la información
durante una situación adversa.
A.17.1. Continuidad de la Seguridad de la Información.
Objetivo:
La continuidad de seguridad de la información se debe incluir en los sistemas de gestión de

la continuidad de negocio de la organización.
Controles:
• Verificación, revisión y evaluación de la continuidad de la seguridad de la

información: la organización debe verificar a intervalos regulares los controles de
continuidad de seguridad de la información establecidos e implementados, con el fin de
asegurar que son validos y eficaces durante situaciones adversas.
A.17.2. Redundancia.
Objetivo:
Asegurar la disponibilidad de instalaciones de procesamiento de información.
Controles:
• Disponibilidad de instalaciones de procesamiento de información: las

instalaciones de procesamiento de información se deben implementar con
redundancia suficiente para cumplir los requisitos de disponibilidad.
Dominio 18: Cumplimiento
A.18.1. Cumplimiento de requisitos legales y contractuales.
Objetivo:
Evitar el incumplimiento de las obligaciones legales, estatutarias de reglamentación o
contractuales relacionadas con seguridad de la información y de cualquier requisito de
seguridad
Controles:
• Identificación de la legislación aplicable y de los requisitos contractuales: Todos los

requisitos estatutarios, reglamentarios y contractuales pertinentes y el enfoque de la
organización para cumplirlos, se deben identificar y documentar explícitamente, y
mantenerlos actualizados para cada sistema de información y para la organización.
• Derechos de propiedad intelectual: Se debe implementar procedimientos apropiados

para asegurar el cumplimiento de los requisitos legislativos, de reglamentación y
contractuales relacionados con los derechos de propiedad intelectual y el uso de
productos software patentados.
Objetivo:
Evitar el incumplimiento de las obligaciones legales, estatutarias de reglamentación o

contractuales relacionadas con seguridad de la información y de cualquier requisito de
seguridad
Controles:
• Protección de registros: Los registros se deben proteger contra pérdida, destrucción,

falsificación, acceso no autorizado y liberación no autorizada, de acuerdo con los
requisitos legislativos, de reglamentación, contractuales y de negocio.
• Privacidad y protección de información de datos personales: Se debe asegurar la

privacidad y la protección de la información de datos personales, como se exige en la
legislación y la reglamentación pertinentes, cuando sea aplicable.
Objetivo:
Evitar el incumplimiento de las obligaciones legales, estatutarias de

reglamentación o contractuales relacionadas con seguridad de la información y
de cualquier requisito de seguridad
Controles:
• Reglamentación de controles criptográficos: Se debe usar controles

criptográficos, cumplimiento de todos los acuerdos, legislación
reglamentación pertinentes. y
en
A.18.2. Revisiones de Seguridad de la Información.
Objetivo:
Asegurar que la seguridad de la información se implemente y opere de acuerdo con las

políticas y procedimientos organizacionales.
Controles:
• Revisión independiente de la seguridad de la información: el enfoque de l

organización para la gestión de la seguridad de la información y su implementación (es
decir, los objetivos de control, los controles, las políticas, los procesos y los
procedimientos para seguridad de la información) se deben revisar
independientemente a intervalos planificados o cuando ocurran cambios significativos.
• Cumplimiento con las políticas y normas de seguridad: Los directores deben

revisar con regularidad el cumplimiento del procesamiento y procedimientos de
información dentro de su área de responsabilidad, con las políticas y normas de
seguridad apropiadas.
A.18.2. Revisiones de Seguridad de la Información.
Objetivo:
Asegurar que la seguridad de la información se implemente y opere

de acuerdo con las políticas y procedimientos organizacionales.
Controles:
• Revisión del cumplimiento técnico: los sistemas de información se deben

revisar periódicamente para determinar el cumplimiento con las políticas y
normas de seguridad de la información.
Determine 5 acciones que cumplan con los controles del Dominio 15 a 18

Curso 27001 AIB

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Curso 27001 AIB

Cargado por

Copyright:

Formatos disponibles

Global Colombia Certificación – Dirección Técnica – ISO/IEC 27001:2013 Cód.

Capacitación, Evaluación y Certificación

Por favor compartir su

ISO es una organización internacional independiente y no gubernamental con una

A través de sus miembros, reúne a expertos para compartir conocimientos y

Debido a que la 'Organización Internacional de Normalización' tendría diferentes

ISO/IEC 27001: 2013

Especifica los requisitos para establecer, implementar, mantener y mejorar

Proporciona una explicación y orientación sobre ISO/IEC 27001: 2013.

ISO/IEC 27004: 2016

Proporciona pautas destinadas a ayudar a las organizaciones a evaluar el

a) el monitoreo y medición del desempeño de seguridad de la información;

Este documento proporciona pautas para la gestión de riesgos de seguridad de la

Este documento respalda los conceptos generales especificados en ISO / IEC

El conocimiento de los conceptos, modelos, procesos y terminologías descritos en

Este documento es aplicable a todos los tipos de organizaciones (por ejemplo,

ISO/IEC 27006: 2015

Especifica los requisitos y proporciona orientación para los organismos que

Previamente ISO/IEC 27001:2006:2011, ISO/IEC 27006:2007.

a) Confidencialidad: asegurando que solo quienes estén autorizados pueden

b) Integridad: asegurando que la información y sus métodos de proceso son

c)Disponibilidad: asegurando que los usuarios autorizados tengan acceso a la

La seguridad de la información se consigue implantando un conjunto adecuado de

La base para el enfoque que subyace a un sistema de gestión integrado se

• Planificar: establecer los objetivos y los procesos necesarios para generar y

SISTEMA INTEGRADO DE GESTIÓN

La organización debe determinar las

• Análisis PEST/PESTE/PESTEL (Factores políticos, sociales y

• Matriz dePerfil Competitivo (MPC) comprender mejor el entorno

• Matriz de Evaluación de Factores Externos (MEFE)

• Matriz de Evaluación de Factores Internos (MEFI)

• Matriz FODA (Fortalezas, Oportunidades, Debilidades y Amenazas)

Análisis interno Análisis externo

Comente con sus compañeros.

Proponga 1 acción para 1 debilidad.

La organización debe determinar:

NOTA: Los requisitos de las partes

Se debe determinar los límites y la aplicabilidad del

• Para determinar el alcance la organización debe

¿Lo considera suficiente? ¿escaso?

¿Cómo se relaciona Usted con este alcance?

Definir entradas Determinar

Determinar los recursos

La Alta Dirección debe demostrar liderazgo y compromiso con respecto al SGSI

• Asegurando que se establece la política y los objetivos del SGSI.

La Alta Dirección debe establecer una política que:

• Sea adecuada al propósito de la empresa.

• Estar como información documentada.

¿Cumple con los requisitos exigidos en el numeral 5.2?

La alta dirección debe asegurarse de que las responsabilidades y autoridades

La alta dirección debe asignar la responsabilidad y autoridad para:

a)asegurarse de que el sistema de gestión de la seguridad de la información sea

b) informar a la alta dirección sobre el desempeño del sistema de gestión de la

Revise la definición del rol del oficial de seguridad.

¿Existe ese rol? ¿Sería necesario?

Al planificar el SGSI, se debe considerar las cuestiones referidas en el apartado

a. Asegurar que el SGSI pueda lograr los resultados previstos.

La organización debe planificar:

• Integrar e implementar estas acciones en sus procesos

Se debe definir y aplicar un proceso de evaluación de riesgos del

Asegure que las evaluaciones repetidas riesgos produzcan resultados

Identifique los riesgos:

•Aplicar el proceso de evaluación de riesgos para identificar los riesgos asociados