Documente Academic
Documente Profesional
Documente Cultură
DE NORMAS TCNICAS
UNIT-ISO/lEC
27001:2013
Adopcin UNIT
Octubre 2013
Edicin
2013-10-15
Nmero de referencia
UNIT-180/IEC 27001:2013
UNIT-ISO/lEC 27000
Documentos UNIT
(en preparacin)
(en preparacin)
NORMA UNIT-ISOnEC: Norma UNIT, que recoge en forma ntegra el texto de la Norma lntemacionaiiSO/IEC correspondiente
y en la que las modificaciones nacionales, cuando las hay, aparecen en la cartula en NOTAS UNIT a pie de pgina o en
anexos nacionales.
A los efectos de la aplicacin de las normas UNIT-ISO/IEC, deber cons.iderarse el contenido de la Norma Internacional,
conjuntamente con las modificaciones nacionales.
UNIT 2013
ISO 2013
Todos los derechos reservados. Ninguna parte de esta publicacin puede sene11roducida o utilizada en cualquier forma o
por medio alguno, electrnico o mecnico, incluyendo fotbeopiasr m1Ci'Ofilr11;.etc:~ s, el permiso escrito del Instituto Uruguayo
de Normas Tcnicas (UNIT) en su calidad de representant$ $Xc.lRSo/I:J~~~~}~O en Uruguay, o por la propia ISO.
UNIT
Plaza Independencia 812 piso 2 CP 11100, Montevideo
Tel.+ 598 2901 2048 Fax+ 598 2902 1681
unit-iso@unit.org.uy www.unit.orq.uy
ii
ndice
Prefacio ...................................................................................................................................v
O Introduccin ..............................................................................................................................vi
0.1 Generalidades .............................................................................................................vi
0.2 Compatibilidad con otras normas del sistema de gestin .................................................. vi
1.
OBJET0 .............................................................................................................................2
2.
3.
4.
4.1
4.2
4.3
4.4
5.
LIDERAZG0 .......................................................................................................................... 2
5.1
5.2
Poltica ................................................................................................................................3
5.3
6.
PLANIFICACIN .....................................................................................................................4
6.1
6.2
7.
,/;,~{~,,:,: !:f(~i::;\
!... ...
:;
'" :l:~l.J:
.
........................................................... 6
~ ~
7.1
7.2
Competencia .........................
7.3
7.4
7.5
8.
8.1
\.;:;,,';?-~'.~:~~';./............................................................ 6
'j :n,
"";...' <fl!JJ
J.~<~
"';'
.',~.~1"
~'"\;~(11
~'"""tl'~r._
'!.,H
!~"'<<o "W>i~ ~.A\
i
~
OPERACIN ...........................................................................................................................8
Planificacin y control operacional .................................................................................. 8
8.2
8.3
9.
9.1
9.2
9.3
10.
MEJORA ............................................................................................................................10
10.1
10.2
ANEXO A ..................................................................................................................................... 12
BIBLIOGRAFA ............................................................................................................................ 32
INFORME CORRESPONDIENTE A LA NORMA UNIT-ISO/lEC 27001 :2013 .............................. 33
iv
Prefacio
O Introduccin
0.1 Generalidades
Esta Norma ha sido preparada para proporcionar requisitos a fin de establecer, implantar,
mantener y mejorar continuamente un sistema de gestin de la seguridad de la informacin. La
adopcin de un sistema de gestin de la seguridad de la informacin es una decisin estratgica
para una organizacin. El establecimiento y la implantacin de un sistema de gestin de la
seguridad de la informacin de una organizacin son influenciados por las necesidades y los
objetivos de la organizacin, los requisitos de seguridad, los procesos organizacionales utilizados
y el tamao y la estructura de la organizacin. Se espera que todos estos factores influyentes
cambien con el tiempo.
El sistema de gestin de la seguridad de la informacin preserva la confidencialidad, la integridad
vi
1- OBJETO
Esta Norma especifica los requisitos para establecer, implantar, mantener y mejorar
continuamente un sistema de gestin de la seguridad de la informacin en el contexto de la
organizacin. Esta Norma tambin incluye los requisitos para la evaluacin y el tratamiento de
riesgos de seguridad de la informacin adaptados a las necesidades de la organizacin. Los
requisitos establecidos en esta Norma son genricos y se pretende que sean aplicables a todas
las organizaciones, sin importar su tipo, tamao o naturaleza. No es aceptable la exclusin de
cualquiera de los requisitos especificados en los Captulos 4 al 1O cuando una organizacin
declara conformidad con la presente Norma.
2- REFERENCIAS NORMATIVAS
Los siguientes documentos, en su totalidad o en parte, estn referenciados normativamente en
este documento y son indispensables para su aplicacin. Para las referencias fechadas, slo se
aplica la edicin citada. Para las referencias sin fecha, se aplica la ltima edicin del documento
referenciado (incluyendo cualquier modificacin).
ISO/lEC 27000, Tecnologa de la informacin - Tcnicas de seguridad- Sistemas de gestin de
la seguridad de la informacin - Visin geperq_tY,Vocabulario.
/;;~~:>'y~i ',;
j" :
:~(~~;~:~\
''"' ,: .,;
,,,
, , ,,)
ril
. ., ')
3- laRM'N t?;(~~QEF,l~ICIONES
~
'""~
: "") ~a . .:._,$~ ...., '
Para el propsito de este documentoY;:son l;ap)Je~~les,;iqs trminos y definiciones dados en la
Norma ISO/lEC 27000.
\ .,
' .. " ' ' /
~>
~ 04'
.,,~z
L\f.' i:.(2
4- coNTE:X:;roto'et~A-toRGANizAclN
:_;,;,<:",JJ.":M>"'";::.\..:":...:..x:.~:.!l.M.~<.<:"Vl::o;.;;.<""''W..OM::::.,.:'?:.'.'Wj
4.1
La organizacin debe determinar los asuntos externos e internos que son relevantes para su
propsito y que afectan su capacidad de lograr el (los) resultado (s) deseado (s) de su sistema de
gestin de la seguridad de la informacin.
NOTA: La determinacin de estos asuntos se refiere a establecer el contexto interno y externo de la organizacin,
considerado en el apartado 5.3 de la Norma ISO 31000, Gestin de riesgos- Principios y directrices.
4.2
4.3
5- LIDERAZGO
5.1
Liderazgo y compromiso
,-: .;
f)
dirigiendo y apoyando a que las personas contribuyan con la efectividad del sistema de
gestin de la seguridad de la informacin;
5.2
Poltica
5.3
La alta direccin debe asegurar que las responsabilidades y autoridades de los roles relevantes
para la seguridad de la informacin estn asignadas y comunicadas.
La alta direccin debe asignar la responsabilidad y autoridad para:
a) garantizar que el sistema de gestin de la seguridad de la informacin cumple con los
requisitos de esta Norma; e
b) informar a la alta direccin sobre el .9~s:e.mp~odel sistema de gestin de la seguridad de
la informacin.
f
. ::)
'' ::.~. \,
./ /i:' &1~~~-:~r~l K~ ~~ . ~~{~~ \
~OTA: La alta ~~reccin tambi~n puede ~sig~a~:~s~,9.~S,~J?ill\liides y.;~~fori?~des para informar sobre el desempeo del
s1stema de gest1on de la segundad de la ~nforn~cln,dentro.
org~n1zac1on.
:
""'"}
l,l
\\(;,,, ; "lj
6- PLANIFICACIN
6.1
6.1.1 Generalidades
Al planificar el sistema de gestin de la seguridad de la informacin, la organizacin debe
considerar los aspectos mencionados en 4.1 y los requisitos referidos en 4.2 y determinar los
riesgos y oportunidades que necesitan ser gestionados para:
a) asegurar que el sistema de gestin de la seguridad de la informacin puede alcanzar los
resultados previstos;
b) prevenir, o reducir los efectos no deseados; y
e) lograr la mejora continua.
La organizacin debe planificar:
d) las acciones para gestionar estos riesgos y oportunidades; y
e) cmo:
1)
2)
1)
2)
los criterios para la realizacin de las evaluaciones de los riesgos de seguridad de
la informacin;
-n"'''
4'", . ,..
_,J< ,. :,....
~-.,,
~?,.
~1
~t~:-:; ~~t
):::'
)!
2)
identifique a los
propiet~rfos'd'el"'rlesg'o;
"' ,,
2)
evale la probabilidad realista de ocurrencia de los riesgos identificados en
6.1.2 e) 1); y
3) determine los niveles de riesgo;
e) valore los riesgos de seguridad de la informacin:
1)
compare los resultados de los anlisis de riesgo con los criterios de riesgos
establecidos en 6.1.2 a); y
2)
e) comparar los controles determinados en 6.1.3 b) anteriores, con los del Anexo A y verificar
que no se han omitido controles necesarios;
NOTA 1 El Anexo A contiene una lista completa de objetivos de control y controles. Los usuarios de esta Norma
son referidos al Anexo A para garantizar que no se pasen por alto los controles necesarios.
NOTA 2 Los objetivos de control son incluidos implcitamente en los controles elegidos. Los objetivos de control y
los controles incluidos en el Anexo A no son exhaustivos y pueden ser necesarios objetivos de control y controles
adicionales.
d) Elaborar una Declaracin de Aplicabilidad que contenga los controles necesarios (ver 6.1.3
b) y e)) y la justificacin de las inclusiones, sean implantados o no, y la justificacin de las
exclusiones de los controles del Anexo_.8;,..,
,.--.;
'.\
>~
f)
~-;;.~ \,
t1
''
,)~l
\\;;(;,'
6.2
Lo que se va a hacer;
Cundo se va a completar; y
j)
7- SOPORTE
7.1
Recursos
7.2
.;~:t
\:::;:
Competencia
La organizacin debe:
a) Determinar la competencia nece~aria de la(s)prsona(s) que realiza el trabajo bajo su
control, que afecta el desempeo:Cie
la seguridad
qe la informacin;
' '--0 ;,
-pr ,;
r-._,,..- _, .r.ii> ,,
,,
- '
~:._-,.-
""'""
:,: C;(i,J(t.)
'""
~.
___
,_
- '"' ......
,_,_,
__
\"
;~
NOTA: Las acciones aplicables pueden incluir, por ejemplo, la provisin de capacitacin, la tutora de, o la reasignacin
de empleados actuales; o la contratacin de personas competentes.
7.3
Toma de conciencia
Las personas que realizan trabajos bajo el control de la organizacin, deben tener en cuenta:
a) la poltica de seguridad de la informacin;
b) su contribucin a la eficacia del sistema de gestin de la seguridad de la informacin,
incluyendo los beneficios de un mejor desempeo de la seguridad de la informacin; y
e) las consecuencias de que no cumplan con los requisitos del sistema de gestin de la
seguridad de la informacin.
7.4
Comunicacin
7.5
Informacin documentada
7.5.1 Generalidades
El sistema de gestin de la seguridad de la informacin de la organizacin debe incluir:
a) informacin documentada requerida por la presente Norma; e
b) informacin documentada determinada por la organizacin como necesaria para la eficacia
del sistema de gestin de la seguridad de la informacin.
NOTA: El alcance de la informacin documentada para urt;istema de gestin de la seguridad de la informacin puede
variar de una organizacin a otra debido a:
, .
..,,.,~ .,
1)
2)
3)
~:.:~'~
f,.,:rr~:~1 ;~~.L
~".
!i
~;,~.
\'l~~-1..>
<:~~;} .
H'i'l'\.!o~.:-;;,. ~..):
'
.,.
'"""'""'"'"'......
"
UNIT-ISO/IEC 27001:2013
de
la
prdida
de
la retencin y la disposicin.
8- OPERACIN
8.1
Planificacin y control operacional
La organizacin debe planificar, implantar y controlar los procesos necesarios para cumplir con los
requisitos de seguridad de la informacin, y para implantar las acciones determinadas en 6.1. La
organizacin debe poner en prctica planes para alcanzar los objetivos de seguridad de la
informacin determinados en 6.2.
La organizacin debe mantener la informacin documentada en la medida necesaria para tener
confianza en que los procesos se han llevago segn lo previsto.
,,,
La organizacin debe controlar los cambip~"pr~vistos ~ revisar las consecuencias de los cambios
no deseados, adoptando medidas ;para, mitig(;lr;: los. p9sibles efectos adversos, segn sea
necesario.
j'(
8.2
segurctad,d~',laJilfor;..acn
cabo '~v1'1~ih~s d~ riJsgo de
Evaluacin de riesgos de
8.3
9.2
Auditora interna
La organizacin debe llevar a cabo auditoras internas a intervalos planificados para proporcionar
informacin acerca de si el sistema de gestin"def'laseguridad de la informacin:
/''_,:,}~t<U ilJ>
. '.
a) cumple con:
/ ~t f';'";:) ;;~ '';"r;~
_
1) los requisitos propios de 1~ 9rganiiadi6'n.'p,aras sistema de gestin de la seguridad de
la informacin; y
,_ _ .
_ ;:~
}" ,;
'\ '\~ . ,
;~~~.:. :~_~l.
2) los requisitos de la presentet-forma;
"'"'"
.{.(,;,_,_,_.,.._,
La organizacin debe:
L"''--'"""''"---"""~--J
garantizar que los resultados de las auditoras sean informados a la direccin pertinente; y
9.3
Los resultados de la revisin por la direccin deben incluir a las decisiones relacionadas con las
oportunidades de mejora continua y cualquier necesidad de cambios para el sistema de gestin de
la seguridad de la informacin.
La organizacin debe conservar la informadn:doc'mentada como evidencia de los resultados de
1 -;~::u . .
' i: ,
las revisiones por la direccin.
>"
,.~:]
:;\;
k1
~~r~~s;\1{Lit_,, ...... ,. __
~:!:f \
. . .~
,16- l'ij~~:~'/
:._
10.1
;>
No conformidades y acciones:~orrectivas
\; l!
,,:;,,,,,
10
b) evaluar la necesidad de adoptar medidas para eliminar las causas de la no conformidad a fin
de que no se repita u ocurra en otros lugares:
1) revisando la no conformidad;
2) determinando las causas de la no conformidad; y
3) determinando si existen o podran ocurrir no conformidades similares;
e) implantar las medidas oportunas;
d) revisar la eficacia de las acciones correctivas adoptadas; y
e) realizar cambios al sistema de gestin de la seguridad de la informacin, si es necesario.
Las acciones correctivas deben ser apropiadas a los efectos de las no conformidades
encontradas.
La organizacin debe conservar la informacin documentada como evidencia de:
f) la naturaleza de las no conformidades y de cualquier accin adoptada posteriormente y
g) los resultados de cualquier accin correctiva.
10.2
Mejora continua
11
ANEXO A
(Normativo)
Tabla A.1 -
A.6.1.4
A.6.1.5
Seguridad de la informaCin
en gestin de proyectos
Control
Deben mantenerse los
contactos apropiados con los
grupos de inters especial u
otros foros especializados en
seguridad, as como
asociaciones de rofesionales.
A.6.2.2
Control
Debe adoptarse una poltica y
medidas de seguridad de
apoyo para gestionar los
riesgos introducidos por el uso
de dis ositivos mviles
Control
Debe implantarse una poltica
y medidas de seguridad de
apoyo para proteger la
informacin accedida,
procesada o almacenada en
sitios de teletrabajo.
Teletrabajo
Objetivo: Asegurar que los empleados y contratistas entiendan sus responsabilidades y que sean
a tos ara los roles ara los cuales estn siendo considerados.
A. 7. 1. 1
Seleccin
Control
Debe realizarse la verificacin
de antecedentes del empleo
de acuerdo con las leyes,
regulaciones y normas ticas
relevantes y en proporcin a
los requisitos del negocio, la
clasificacin de la informacin
a ser accedida, y los riesgos
percibidos.
13
UNIT-ISO/IEC 27001:2013
A.7.1.2
Trminos y condiciones de la
relacin laboral
Control
Los acuerdos contractuales
con los empleados y
contratistas deben indicar sus
responsabilidades y las de la
organizacin en cuanto a la
seguridad de la informacin.
Objetivo: Asegurar que los empleados y contratistas sean conscientes y cumplan con las
responsabilidades de seguridad de la informacin.
A. 7.2.1
Responsabilidades de la
Control
direccin
La direccin debe exigir a los
empleados y contratistas
aplicar la seguridad de
acuerdo con las polticas y los
procedimientos establecidos
por la organizacin.
Control
Concientizacin, educacin y
A.7.2.2
Todos los empleados de la
formacin en seguridad de la
organizacin y cuando sea
informacin
pertinente, los contratistas,
deben recibir una educacin
adecuada en concientizacin y
formacin y actualizaciones
regulares en polticas y
procedimientos
organizacionales, relevantes
para su funcin laboral.
Proceso disciplinario
A.7.2.3
Control
Debe existir un proceso
disciplinario formal y
comunicado para adoptar
medidas contra los empleados
que han perpetrado una
violacin a la seguridad .
... ,.
14
UNIT-ISO/lEC 27001:2013
15
A.8.2.3
Control
Procedimientos para la gestin
de activos deben ser
desarrollados e implementados
de acuerdo con el esquema de
la clasificacin de la
informacin adoptado por la
organizacin.
Gestin de activos
(~
/";,:
i~1~J~,
16
:\
UNIT-150/IEC 27001:2013
17
UNIT-150/IEC 27001:2013
cont~l~,crl)\8gr[\,o~\)
18
\"
~~ .~
v. ,; q
~,,,, 4 .. ~ . i
19
.J.\c.,
1.
A.11.2.2
A.11.2.3
A.11.2.4
A.11.2.5
A.11.2.6
A.11.2.7
Control
Debe protegerse el
equipamiento contra posibles
fallas en el suministro de
energa y otras interrupciones
causadas por fallas en los
servicios de apoyo
Seguridad en el cableado
Control
El cableado de energa y de
telecomunicaciones que
transporta datos o servicios de
informacin de apoyo deben
ser protegidos de la
interceptacin, la interferencia
o los daos.
Control
Mantenimiento del
equipamiento
El equipamiento debe recibir el
mantenimiento correcto para
asegurar su permanente
disponibilidad e integridad.
Control
Remocin de los activos
Los equipamientos, la
informacin o el software no se
deben sacar fuera de las
instalaciones de la
organizacin sin autorizacin
_Qrevia.
Seguridad del equipamiento y
Control
de los activos fuera de las
Deben asegurarse todo los
instalaciones de la
activos fuera de los locales de
organizacin
la organizacin, teniendo en
cuenta los diferentes riesgos
de trabajar fuera de las
instalaciones de la
or-g_anizacin.
Seguridad en la reutilizacin o
Control
eliminacin de los equipos
Todo aquel equipamiento que
contenga medios de
almacenamiento debe
revisarse para asegurar que
todos los datos sensibles y
software licenciado se hayan
removido o se haya sobrescrito
'
con seguridad antes de su
disposicin o reutilizacin.
... ":1
i\_ '''.. " ..,,
Eq4.ip:de isariodesatendido Control
r.~if) ;~,~y;,\..i'E~~u.-:.~:/;',f.ii~.
~
..
Los usuarios deben
asegurarse de que a los
equipos desatendidos se les
da proteccin adecuada.
Servicios de apoyo
'.-~'-"'"'--'.''>'
A.11.2.8
20
A.11.2.9
Control
Debe adoptarse una poltica de
escritorio limpio para papeles y
medios de almacenamiento
removibles y una poltica de
pantalla limpia para las
instalaciones de
procesamiento de informacin.
!i
'i,.\<1~'\:,,Y-;f'
21
A.12.3 Respaldo
Objetivo: Proteccin contra la prdida de datos.
A.12.3.1
Respaldo de la informacin
Control
Deben hacerse regularmente
copias de seguridad de la
informacin y del software y
probarse regularmente acorde
con la _poltica de respaldo.
A.12.4.2
Proteccin de la informacin
de registros (logs)
A.12.4.3
A.12.4.4
Sincronizacin de relojes
""""..
K~-~,
'
~'
A.12.5 Control del software en
'.~:;e:
Control
Los registros de eventos que
registran actividades del
usuario, excepciones, fallas y
eventos de seguridad de la
informacin deben ser
producidos, mantenidos y
revisados regularmente.
Control
Los medios de registro y la
informacin de registro se
deben proteger contra
alteracin y acceso no
autorizado.
Control
Las actividades del
administrador y del operador
del sistema se deben registrar
y los registros deben ser
protegidos y revisados
regularmente.
Los relojes de todos los
sistemas de procesamiento de
informacin pertinente dentro
de una organizacin o dominio
de seguridad deben estar
sincronizados a una sola
fuente de referencia de tiempo.
;,:j :~Y~'~
f:~"x;
~reid~cci6h':;!;;,;,,;,;~.
"''' \
:.: .
Objetivo: Garantizar la integridad de\lo$.sist4rne:1s:ooerativbs.
A.12.5.1
lnsf9lab),9n de''SOffiiyli'~Em los
sistem~~ operativos . /
r='
,, . .,.,,. ,
'-
22
Control
Deben implantarse
procedimientos para controlar
la instalacin de software en
los sistemas operativos
UNIT-ISO/lEC 27001:2013
A.12.6.2
Restricciones a la instalacin
de software
Control
Debe obtenerse informacin
oportuna acerca de las
vulnerabilidades tcnicas de
los sistemas de informacin,
debe evaluarse la exposicin
de la organizacin a estas
vulnerabilidades, y deben
tomarse las medidas
apropiadas para abordar el
riesgo asociado.
Control
Deben establecerse e
implantarse reglas relativas a
la instalacin de software por
los usuarios.
23
A.13.1.3
Control
Los grupos de servicios de
informacin, los usuarios y los
sistemas de informacin deben
ser segregados en las redes.
l . .
!(~ ,~::
24
A.14.1.2
Servicios de aplicacin de
seguridad en las redes
pblicas
A.14.1.3
Transacciones de proteccin
de los servicios de aplicacin
Control
La informacin implicada en
los servicios de aplicacin que
pasa a travs de las redes
pblicas debe estar protegida
contra la actividad fraudulenta,
la disputa contractual y la
divulgacin y modificacin no
autorizada.
Control
La informacin implicada en
las transacciones de los
servicios de aplicacin debe
estar protegida para prevenir la
transmisin incompleta, la
omisin de envo, la alteracin
no autorizada del mensaje, la
divulgacin no autorizada, la
duplicacin o repeticin no
autorizada del mensaje.
25
Control
Debe desalentarse la
realizacin de modificaciones a
los paquetes de software, que
se deben limitar a los cambios
necesarios, y todos los
cambios se deben controlar
estrictamente.
Control
Principios
de
la
ingeniera
de
A.14.2.5
Los principios de la ingeniera
sistemas segura
de sistemas segura deben ser
establecidos, documentados,
mantenidos y aplicados a los
esfuerzos de implementacin
de cualquier sistema de
informacin.
Control
Entorno de desarrollo seguro
A.14.2.6
Las organizaciones deben
establecer y proteger
adecuadamente los entornos
de desarrollo seguro para los
esfuerzos de desarrollo e
integracin de sistemas, que
cubren todo el ciclo de vida de
desarrollo del sistema.
Control
Desarrollo subcontratado
A.14.2.7
La organizacin debe
supervisar y realizar el
seguimiento de las actividades
de desarrollo de sistemas
subcontratadas.
Control
Pruebas de seguridad de
A.14.2.8
Deben llevarse a cabo pruebas
sistemas
de las funcionalidades de
seguridad, durante el
desarrollo.
Control
A.14.2.9
Pruebas de aceptacin de
sistemas, ..
Deben establecerse
programas de pruebas de
aceptacin y los criterios
relacionados para nuevos
sistemas de informacin,
>
actualizaciones
y nuevas
.
versiones.
A.14.3 Datos de~eba
.
. . . . .,. '....,. .. . . . .... . .~:-----:-------------1
Objetivo: Garantizar la proteccin de 'losdatosiufilizads para la prueba.
""'c'=o""n.:ct'ro--:1----------1
ProtecCi6ri de lbs datos de
A.14.3.1
prueba
Los datos de prueba se deben
seleccionar, proteger y
controlar cuidadosamente.
A.14.2.4
;': ''-"
' f,r)'!j!i .
.,
26
~
!'
r
f'~:.>-do.O"'\"'~\
o,J.'j_,.,, ,,:<:
_1J\:>:~ {;~lPIII
,,
w;:I<..U"%.'"ol:.'"'"W.:if,'.>f,<,,I'::,!II."""!!.W.'r>-.:W.!!."'-'O"'""'"
27
A.15.2.2
A.16.1.2
Reporte de eventos de
seguridad de la informacin
A.16.1.3
A.16.1.4
Eva~~gin"'y
ISiuj'isbre
los ev~ntos de s~gurid~d de la
infopu,~~l$.9 .;"'';"
(lj'
;m
t. . ~ ~.-;:;:,t::::;',.;::;;~;~.);;:;;'!: !'
f,
28
Control
Los cambios en la prestacin
de servicios de los
proveedores, incluyendo el
mantenimiento y mejora de
polticas, procedimientos y
controles existentes de
seguridad de la informacin
deben ser gestionados,
teniendo en cuenta la criticidad
de la informacin, sistemas y
procesos de negocios
involucrados y la reevaluacin
de los riesgos.
incidentes de seguridad de la
debilidades.
Control
Deben establecerse
responsabilidades y
procedimientos de gestin
para asegurar una respuesta
rpida, eficaz y metdica a los
incidentes de seguridad de fa
informacin.
Control
Los eventos de seguridad de la
informacin se deben reportar
a travs de los canales de
gestin apropiados, lo ms
r idamente asible.
Control
Los empleados y contratistas
que utilizan los sistemas y
servicios de informacin de la
organizacin, deben observar
y reportar cualquier debilidad
en la seguridad de sistemas o
servicios, observada o que se
sos eche.
Control
Los eventos de seguridad de la
informacin deben ser
evaluados y se debe decidir si
son clasificados como
incidentes de seguridad de la
informacin.
A.16.1.5
Respuesta a incidentes de
seguridad de la informacin
A.16.1.6
A.16.1.7
Recopilacin de evidencia
Control
Los incidentes de seguridad de
la informacin deben ser
respondidos de acuerdo con
los procedimientos
documentados.
Control
Los conocimientos adquiridos
en el anlisis y la resolucin de
los incidentes de seguridad de
la informacin deben ser
utilizados para reducir la
probabilidad o el impacto de
futuros incidentes.
Control
La organizacin debe definir y
aplicar procedimientos para la
identificacin, recopilacin,
adquisicin y conservacin de
informacin, que puede servir
como evidencia.
29
A.17.1.3
Control
La organizacin debe verificar
los controles establecidos e
implementados de la
continuidad de la seguridad de
la informacin a intervalos
regulares, con el fin de
asegurar que sean vlidas y
efectivas en situaciones
adversas.
A.17.2 Redundancia
Ob"etivo: Garantizar la dis onibilidad de las instalaciones de rocesamiento de informacin.
A.17.2.1
Disponibilidad de las
Control
instalaciones de
Deben implantarse las
instalaciones de
procesamiento de informacin
procesamiento de informacin
con la suficiente redundancia
como para cumplir con los
re uisitos de dis onibilidad.
Identificacin de la legislacin
aplicable y los requisitos
contractuales
A.18.1.2
Derechos de propiedad
intelectual
A.18.1.3
30
Control
Todos los requisitos
legislativos estatutarios,
reglamentarios, contractuales y
el enfoque de la organizacin
para cumplirlos deben ser
explcitamente identificados,
documentados y actualizados
para cada sistema de
informacin y para la
or anizacin.
Control
Deben implantarse
procedimientos apropiados
para asegurar el cumplimiento
de los requisitos legislativos,
reglamentarios y contractuales
relacionados con los derechos
de propiedad intelectual y el
uso de productos de software
atentados.
Control
Los registros se deben
proteger contra prdida,
destruccin, falsificacin,
acceso no autorizado y
divulgacin no autorizada, de
acuerdo con los requisitos
legislativos, reglamentarios,
contractuales de ne ocios.
A.18.1.4
Privacidad y proteccin de
datos personales
A.18.1.5
Control
Debe asegurarse la privacidad
y la proteccin de los datos
personales, como se exige en
la legislacin y en la
regulacin, segn
corresponda.
Control
Deben utilizarse controles
criptogrficos que cumplan con
todos los acuerdos, leyes y
reglamentos relevantes.
.)
r' f
31
UNIT-ISO/IEC 27001:2013
BIBLIOGRAFA
[1]
ISO/lEC 27002:2013, Tecnologa de la informacin- Tcnicas de seguridad- Cdigo de
buenas prcticas para los controles de seguridad de la informacin.
[2]
ISO/lEC 27003, Tecnologa de la informacin- Tcnicas de seguridad- Directrices para
la implantacin de un sistema de gestin de la seguridad de la informacin.
[3]
ISO/lEC 27004, Tecnologa de la informacin seguridad de la informacin - Medicin.
[4]
ISO/lEC 27005, Tecnologa de la informacin riesgo de seguridad de la informacin.
[5]
Tcnicas de seguridad -
Tcnicas de seguridad -
Gestin de la
Gestin del
[6]
Directivas ISO/lEC, Parte 1, Suplemento Consolidado de /SO, Procedimientos especficos
de /SO, 2012.
32
sf&uilY
33
INSTITUTO URUGUAYO
I!I~J
ll
DE NORMAS TECNICAS
NORMALIZACIN
Realizada a nivel nacional mediante comits especializados, integrados por representantes de todos los sectores
involucrados, que dan respuesta a solicitudes formuladas por instituciones oficiales y/o empresas privadas,
referentes a los requisitos tcnicos que deben cumplir determinados productos, a los mtodos de ensayo que se
deben utilizar en su medicin, elementos de seguridad, etc.
Las normas UNIT encaran temas tan diversos como: Gestin de la Calidad, Gestin Ambiental, Materiales de
Construccin, Electrotecnia, Seguridad y Salud Ocupacional, Productos Alimenticios, Textiles, Dibujos, Fertilizantes,
Cueros, Metales, Sanitaria, Pinturas, Material de Lucha contra Incendios, Recipientes para Gases, Maderas,
Papeles, etc.
Muchas de ellas han sido declaradas de cumplimiento obligatorio por el Poder Ejecutivo y diversas Intendencias
Municipales.
A nivel internacional se participa en la elaboracin de normas ISO, lEC, COPANTy MERCOSUR.
CAPACITACIN
Fue UNIT quien inici en Uruguay la capacitacin en Calidad (1971 ), as como en otras areas de gestin.
Los ms de 120 cursos diferentes en reas relacionadas que dicta pueden ser realizados en forma independiente,
an cuando han sido estructurados en forma de los siguientes Diplomas:
Especialista y Tcnico en Gestin de la Calidad UNITISO 9000; Especialista en Gestin Ambiental
UNIT-ISO 14000; Especialista UNIT en Gestin de la Seguridad y Salud Ocupacional UNIT 18000 y
Especialista UNIT en Recursos Humanos para Sistemas de Gestin.
A quienes obtengan estos 4 Diplomas de Especialista se les otorga adems el Diploma Superior en Sistemas
UNIT de Gestin.
Otros diplomas que integran el programa de Capacitacin son:
Especialista UNIT en Logstica Empresarial e Internacional; Especialista UNIT en Gestin Forestal Sostenible;
Especialista UNIT en Gestin de la Seguridad en la Informacin; Especialista UNIT en Gestin de la Energa;
Especialista UN/Ten Gestin de los Servicios de Tecnologa de la Informacin (UNITISO/IEC 20000)
Especialista UN/Ten Gestin de la Calidad en los Laboratorios de Anlisis y Ensayo (UNIT-ISO/IEC 17025)
Especialista UNIT en Gestin de la Calidad en los Laboratorios de Anlisis Clnicos (UNIT-ISO 15189)
Especialista UNIT en Gestin de la Calidad en Servicios de Salud; Especialista UNIT en Inocuidad
Alimentaria; Supervisor en Gestin de la Calidad UNITISO 9000 y Formacin en Proteccin contra Incendios
DNB-UNIT. Quienes obtengan el ttulo de Especialista o Tcnico, estarn en condiciones de conducir la
implantacin de los respectivos sistemas, en tanto los que reciban el ttulo de Supervisor en Gestin de Calidad
estarn en condiciones de cooperar con los Especialistas en esa tarea.
Se dictan, adems, cursos para la Formacin de Auditores de Calidad y SYSO, Alta Gerencia y de aplicacin de
las normas para Sistemas de Gestin en reas especficas (Educacin, Salud, Construccin, Agropecuaria, etc.)
as como cursos complementarios en las temticas de Software, Turismo, Gestin ambiental, Laboratorios,
Inocuidad alimentaria, Gestin empresarial e Interaccin con el cliente, adems de cursos Tcnicos y para
Operarios. Se destaca que cualquiera de stos cursos pueden dictarse in situ en las empresas.
A travs de UNIT se tiene la posibilidad de participar en diversos seminarios y simposios en el exterior.
CERTIFICACIN DE PRODUCTQS;;y~SERVICIOS
Mediante la Marca de Conformidad con N9fir;t~Y 9;Etifi<::~~i~Bd~ Productos y Servicios, los que UNIT evala
durante la elaboracin en fbrica o en su ..r~liz@iq~'y c;lqrante sl comercializacin, certificando cuando
corresponde que un producto o servicio quQjplE:lri',fpJrtla'perm@,n~nte con una norma UNIT.
Se otorga a extintores, recarga de extint6r~s; c~le,Bla~i'e$ de,aga, envases para gases, equipos de proteccin
personal, material sanitario, material elqtrico, materiales dec;or;~struccin,etc.
INFORMACIN ESPECIALIZADA
Mediante una biblioteca a disposicin del pblico con ms de 350.000 normas y especificaciones internacionales
Yex~ra~jeras, que el exportador debe conocer cuando desea vender sus productos en diferentes mercados y que
son tnd1spensables como antecedentes para la elaboracin de las normas nacionales.
-------- --- ---- --- ---- -- --- __ ___ ---- ----------~-
.,
"'=.'/
--
()>;N<JRMN.A<:><>o
'
"'
"' "'