SEGURIDAD DE LA INFORMACION - ISO 27003

TCNICAS DE SEGURIDAD. DIRECTRICES PARA LA IMPLEMENTACIN DE UN SISTEMA DE

GESTIN DE LA SEGURIDAD DE LA INFORMACIN
PARTE I. MARCO TEORICO
El Sistema de Gestin de Seguridad de la Informacin ISMS es la parte del sistema integral de
gestin, basado en un enfoque del riesgo de la informacin para establecer , implementar ,
operar, monitorear, revisar, mantener y mejorar la seguridad de la informacin. [NTP-ISO/IEC
27001]
Este sistema de gestin incluye la estructura organizacional, polticas, actividades de planificacin,
responsabilidades, practicas, procedimientos, procesos y recursos, basado en el modelo PDCA
(Figura 1).

Fuente: NTP 27001:2008

Figura 1 Modelo PDCA aplicado al proceso ISMS

El Objetivo del ISO 27003 es proporcionar orientacin prctica en el desarrollo del plan de
implementacin para un Sistema de Gestin de Seguridad de Informacin.
Para el presente desarrollo del tema se tom como referencia el Proyecto de Norma Peruana
PNTP-ISO/IEC 27003:2012 TECNOLOGA DE LA INFORMACIN. Tcnicas de seguridad Directrices
para la implementacin de un sistema de gestin de la seguridad de la informacin, que es un
equivalente de la ISO/IEC 27003:2010 Information technology -- Security techniques -Information security management system implementation guidance, esto debido a la falta de
documentacin oficial en espaol del presente ISO.

Algunas restricciones a considerar es que PNTP-ISO/IEC 27003:2012 no cubre las actividades de

operacin y otras actividades del ISMS, sino que abarca los conceptos sobre cmo disear las
actividades que tendrn lugar despus de que comiencen las operaciones del ISMS
Tiene como objeto y campo de aplicacin los aspectos crticos necesarios para el diseo e
implementacin exitosa de un Sistema de Gestin de la Seguridad de la Informacin (SGSI) de
acuerdo con NTP-ISO/IEC 27001:2008
1. ESTRUCTURA GENERAL DE CAPTULOS:
La PNTP-ISO/IEC 27003 explica la implementacin de un SGSI enfocando en la iniciacin,
planificacin y definicin del proyecto. El proceso de planificacin de la implementacin
final del SGSI contiene cinco fases y cada fase est representada por un captulo
independiente. Todos los captulos tienen una estructura similar, las cinco fases son:
a) Obtener la aprobacin gerencial para iniciar un proyecto SGSI (Captulo 5).
b) Definir el Alcance del SGSI y la Poltica del SGSI (Captulo 6).
c) Realizar un Anlisis de la Organizacin (Captulo 7). d) Realizar una Evaluacin del
d) Riesgo y planificar el Tratamiento del Riesgo (Captulo 8).
e) Disear el SGSI (Captulo 9).
La Figura 2 ilustra las cinco fases de la planificacin del proyecto SGSI con las referencias a
las normas ISO/IEC y los documentos de salida principales.

Fuente: PNTP-ISO/IEC 27003

Figura 2 Fases del proyecto SGSI

2. FASES DE IMPLEMENTACION DEL SGSI
2.1 DEFINIR EL ALCANCE, LMITES Y POLTICA DEL SGSI
El Objetivo de esta fase es definir detalladamente el alcance y los lmites del SGSI y
desarrollar la poltica del SGSI, obteniendo el aval de la direccin.

2.2 REALIZAR UN ANLISIS DE REQUERIMIENTOS DE SEGURIDAD DE LA INFORMACIN

El Objetivo de esta fase es definir los requerimientos relevantes a ser soportados por
el SGSI, identificar los activos de informacin y obtener el estado actual de la
seguridad dentro del alcance.
2.3 REALIZAR UNA EVALUACIN DEL RIESGO Y PLANIFICAR EL TRATAMIENTO DEL RIESGO
El Objetivo de esta fase es definir la metodologa de evaluacin del riesgo, identificar,
analizar y evaluar los riesgos de seguridad de informacin para seleccionar las
opciones de tratamiento del riesgo y seleccionar los objetivos de control y los
controles.
2.4 DISEAR EL SGSI
El objetivo de esta fase es completar el plan final de implementacin del SGSI a travs
de: el diseo de seguridad de la organizacin basado en las opciones seleccionadas
para el tratamiento del riesgo, as como los requisitos relativos a registro y
documentacin y el diseo de los controles que integran las disposiciones de
seguridad en los procesos de TIC, fsicos y organizacionales y del diseo de los
requisitos especficos del SGSI.
3. DESCRIPCION DE LA LISTA DE VERIFICACION
En el presente cuadro se muestra cada uno de los pasos a considerar para la
implementacin de la SGSI en base a las fases descritas en el punto 2. Su propsito es:
Proveer una lista de verificacin de actividades requeridas para establecer e
implementar un SGSI;
Apoyar el seguimiento del progreso de la implementacin de un SGSI;
Relacionar las actividades de implementacin de un SGSI con sus respectivos
requisitos en NTP-ISO/IEC 27001.
FASE DE
IMPLEMENTACIN
ISO/IEC 27003

NRO. DE
PASO
1

5.Obtener la aprobacin
de la direccin para la
implementacin de un
SGSI

PASO PREREQUISITO
Ninguno

Lograr la comprensin de los sistemas de

gestin existentes

Ninguno

5.2 Definir objetivos, necesidades de

seguridad de informacin, requerimientos
del negocio para un SGSI

1,2

Obtener las normas reglamentarias, de

cumplimiento y de la industria aplicables a
la empresa

Ninguno

5.3 Definir alcance preliminar del SGSI

6
7
6. Definir alcance y

ACTIVIDAD, REFERENCIA ISO/IEC 27003

Obtener objetivos del negocio de la
organizacin

5.4 Crear el caso de negocio y el plan de

proyecto para aprobacin de la direccin
5.5 Obtener aprobacin de la direccin y
compromiso para iniciar un proyecto para
implementar un SGSI
Definir lmites organizacionales

3,4

5
6
7

DOCUMENTO DE SALIDA
Lista de objetivos de negocio de la
organizacin
Descripcin de sistemas de gestin
existentes
Resumen de los objetivos, necesidades de
seguridad de informacin y requerimientos
de negocio para el SGSI
Resumen de las normas reglamentarias, de
cumplimiento y de la industria aplicables a
la empresa
Descripcin de alcance preliminar del
SGSI(5.3.1)
Definicin de roles y responsabilidades del
SGSI (5.3.2)
Caso de negocio y plan de proyecto
propuesto
Aprobacin de la direccin para iniciar un
proyecto para implementar un SGSI
Descripcin de lmites organizacionales

poltica de un SGSI

Funciones y estructura de la organizacin

Intercambio de informacin a travs de
lmites
Procesos de negocio y responsabilidad
sobre los activos de informacin dentro y
fuera del alcance
9

6.3 Definir lmites de las tecnologas de la

informacin y las comunicaciones

10

6.4 Definir lmites fsicos

11

6.5 Finalizar lmites para el alcance del SGSI

12

6.6 Desarrollar la poltica del SGSI

13

8,9,10
11

7.2 Definir los requerimientos de

seguridad de la informacin que den
soporte al SGSI

12

7.3 Identificar activos dentro del alcance

del SGSI

13

7 Realizar un anlisis de
la organizacin

14

15

7.4 Generar una evaluacin de seguridad

de la informacin

14

Descripcin de los lmites de las TIC

Descripcin de sistemas de informacin y
redes de telecomunicacin describiendo lo
comprendido y lo fuera del alcance
Descripcin de lmites fsicos para el SGSI
Descripcin de la organizacin y sus
caractersticas geogrficas describiendo
alcance interno y externo
Un documento describiendo el alcance y
los lmites del SGSI
Poltica del SGSI aprobada por la direccin
Lista de las principales funciones,
ubicaciones, sistemas de informacin,
redes de comunicacin
Requerimientos de la organizacin
referentes a confidencialidad,
disponibilidad e integridad
Requerimientos de la organizacin
relacionados a requisitos legales y
reglamentarios, contractuales y de
seguridad de informacin del negocio
Lista de vulnerabilidades conocidas de la
organizacin
Descripcin de los principales proceso de la
organizacin
Identificacin de activos de informacin de
los principales procesos de la organizacin
Clasificacin de proceso/activos crticos
Documento del estado actual de
seguridad de la informacin de la
organizacin y su evaluacin incluyendo
controles de seguridad existentes.
Documento de las deficiencias de la
organizacin evaluadas y valoradas
Alcance para la evaluacin del riesgo

16

8.2 Realizar una evaluacin del riesgo

15

Metodologa de evaluacin del riesgo

aprobada, alineada con el contexto de
gestin de riesgos de la organizacin.
Criterio de aceptacin del riesgo.

8. Realizar una
evaluacin del riesgo y
Seleccionar Opciones de
Tratamiento del Riesgo

17

8.3 Seleccionar objetivos de control y

controles

16

18

8.4 Obtener aprobacin de la direccin

para implementar un SGSI

17

19

Aprobacin de la direccin del riesgo

residual

18

Evaluacin del riesgo de alto nivel

documentada
Identificar la necesidad de una evaluacin
del riesgo ms detallada
Evaluacin de riesgos detallada
Resultados totales de la evaluacin de
riesgos
Riesgos y las opciones identificadas para el
tratamiento del mismo
Objetivos de control y controles para la
reduccin de riesgos seleccionados.
Aprobacin de la direccin documentada
del riesgo residual propuesto (debera ser
la salida de 8.4)

20

Autorizacin de la direccin para

implementar y operar el SGSI

19

21

Preparar declaracin de aplicabilidad

18

22

9.2 Disear la seguridad de la organizacin

20

23

9.3 Disear la seguridad de la informacin

fsica y de las TIC

20, 21

24

9.4 Disear la seguridad de la informacin

especfica del SGSI

22,23

9 Disear el SGSI

25
26
27

9.5 Producir el plan final del proyecto SGSI

25

28

El plan final del proyecto SGSI

28

Autorizacin de la direccin documentada

para implementar y operar SGSI (debera
ser la salida de 8.4)
Declaracin de aplicabilidad
Estructura de la organizacin y sus roles y
responsabilidades relacionados con la
seguridad de la informacin
Identificacin de documentacin
relacionada al SGSI
Plantillas para los registros del SGSI e
instrucciones para su uso y
almacenamiento
Documento de poltica de seguridad de
informacin
Lnea base de polticas de seguridad de la
informacin y procedimientos (y si es
aplicable planes para desarrollar polticas,
procedimientos, etc. especficos)
Implementacin del plan de proyecto para
el proceso de implementacin para los
controles de seguridad fsicos y de las TIC
seleccionados
Procedimientos describiendo el reporte y
los procesos de revisin por la direccin.
Descripciones para auditoras,
seguimientos y mediciones
Programa de entrenamiento y
concientizacin
Plan de proyecto de implementacin
aprobado por la direccin para los
procesos de implementacin
Plan de proyecto de implementacin del
SGSI especifico de la organizacin
cubriendo el plan de ejecucin de las
actividades para seguridad de la
informacin organizacional, fsica y de las
TIC, as como tambin los Requerimientos
especficos para implementar un SGSI de
acuerdo al resultado de las actividades
incluidas en ISO/IEC 27003

Fuente: PNTP-ISO/IEC 27003 Anexo A / Descripcin de Lista de Verificacin