Sunteți pe pagina 1din 40

INSTITUTO URUGUAYO

DE NORMAS TCNICAS

UNIT-ISO/lEC

27001:2013
Adopcin UNIT

Octubre 2013
Edicin

2013-10-15

Tecnologa de la informacin- Tcnicas


de seguridad - Sistemas de Gestin de la
seguridad de la informacin - Requisitos
(ISO/lEC 27001:2013, IDT)
/nformation techno/ogy. Security techniques. Management Systems
information security. Requirements
Technologies de /'information. Techniques de scurit. Systmes de
gestion de scurit de l'information. exigences

Nmero de referencia
UNIT-180/IEC 27001:2013

El INSTITUTO URUGUAYO DE NORMAS TCNICAS


ha adoptado en Octubre de 2013
la Norma Internacional ISO/lEC 27001:2013
como Norma:
UNIT-ISOnEC 27001:2013; Tecnologa de la informacin.
Tcnicas de seguridad. Sistemas de Gestin de la seguridad de
la informacin. Requisitos
El texto de esta norma UNIT-150/IEC corresponde a la traduccin
idntica de la Norma Internacional sin modificaciones.
Esta norma anula y sustituye a UNIT-ISO/lEC 27001 :2005.
A los efectos de la aplicacin de esta Norma UNIT-ISO las
referencias normativas de la Norma ISO original se ajustan a las
indicadas en la siguiente tabla:
Se a lica

Referencia orl inaiiSO


ISO/lEC 27000

UNIT-ISO/lEC 27000

En la siguiente tabla se indica la correspondencia entre la


Bibliografa de la norma ISO/lEC y documentos editados por UNIT
Bibliografa ISO/lEC

Documentos UNIT

ISO lEC 27002:2013

UNIT ISO lEC 27002:2013

ISO lEC 27003


ISO lEC 27004
ISO lEC 27005
ISO 31000:2009

UNIT ISO lEC 27003


UNIT ISO lEC 27004
UNIT ISO lEC 27005
UNIT-ISO 31000:2009

(en preparacin)

(en preparacin)

NORMA UNIT-ISOnEC: Norma UNIT, que recoge en forma ntegra el texto de la Norma lntemacionaiiSO/IEC correspondiente
y en la que las modificaciones nacionales, cuando las hay, aparecen en la cartula en NOTAS UNIT a pie de pgina o en
anexos nacionales.
A los efectos de la aplicacin de las normas UNIT-ISO/IEC, deber cons.iderarse el contenido de la Norma Internacional,
conjuntamente con las modificaciones nacionales.

DOCUMENTO PROTEGIDO POR DER

S tlE AUTOR (COPYRIGHT)

UNIT 2013
ISO 2013
Todos los derechos reservados. Ninguna parte de esta publicacin puede sene11roducida o utilizada en cualquier forma o
por medio alguno, electrnico o mecnico, incluyendo fotbeopiasr m1Ci'Ofilr11;.etc:~ s, el permiso escrito del Instituto Uruguayo
de Normas Tcnicas (UNIT) en su calidad de representant$ $Xc.lRSo/I:J~~~~}~O en Uruguay, o por la propia ISO.
UNIT
Plaza Independencia 812 piso 2 CP 11100, Montevideo
Tel.+ 598 2901 2048 Fax+ 598 2902 1681
unit-iso@unit.org.uy www.unit.orq.uy

ISO copyright office


Case postale 56 CH-1211 Geneva 20
Tel.+ 41 22 749 0111 Fax+ 41 22 749 09 47
copyrjght@iso.org- www.iso.org

ii

ndice
Prefacio ...................................................................................................................................v

O Introduccin ..............................................................................................................................vi
0.1 Generalidades .............................................................................................................vi
0.2 Compatibilidad con otras normas del sistema de gestin .................................................. vi

1.

OBJET0 .............................................................................................................................2

2.

REFERENCIAS NORMATIVAS .............................................................................................. 2

3.

TRMINOS Y DEFINICIONES ................................................................................................ 2

4.

CONTEXTO DE LA ORGANIZACIN ................................................................................... 2

4.1

Comprender la organizacin y su contexto ..................................................................... 2

4.2

Comprender las necesidades y expectativas de las partes interesadas ...................... 2

4.3

Determinar el alcance del sistema de gestin de la seguridad de la informacin ........ 2

4.4

Sistema de gestin de la seguridad de la informacin ................................................... 2

5.

LIDERAZG0 .......................................................................................................................... 2

5.1

Liderazgo y compromiso ................................................................................................... 2

5.2

Poltica ................................................................................................................................3

5.3

Roles, responsabilidades y autoridades organizacionales ............................................. 3

6.

PLANIFICACIN .....................................................................................................................4

6.1

Acciones para hacer frente a los riesgos y oportunidades ............................................. 4

6.2

Objetivos de seguridad de la inforni~'ci.n.yplanificacin para alcanzarlos .................. 6

7.

,/;,~{~,,:,: !:f(~i::;\

SOPORTE ....................................,':~'"'' ..... ''iil'i""'~:....~ ........................................................... 6


~ _,,.....

!... ...

:;

'" :l:~l.J:
.
........................................................... 6
~ ~

7.1

Recursos ............................... ~';,~ ;~~~r

7.2

Competencia .........................

7.3

Toma de conciencia .............. J::~:~~~~;;;;:~Mj.'.:~;;;::::J ............................................................ 7

7.4

Comunicacin ........................~;:;~:;:~:~~~~~~:~~~~~g:;:~:::::! ............................................................ 7

7.5

Informacin documentada ................................................................................................. 7

8.
8.1

\.;:;,,';?-~'.~:~~';./............................................................ 6
'j :n,
"";...' <fl!JJ
J.~<~

"';'
.',~.~1"

~'"\;~(11
~'"""tl'~r._
'!.,H
!~"'<<o "W>i~ ~.A\

i
~

OPERACIN ...........................................................................................................................8
Planificacin y control operacional .................................................................................. 8

8.2

Evaluacin de riesgos de seguridad de la informacin .................................................. 8

8.3

Tratamiento de riesgos de seguridad de la informacin ................................................. 9

9.

EVALUACIN DEL DESEMPEO ......................................................................................... 9

9.1

Seguimiento, medicin, anlisis y evaluacin ................................................................. 9

9.2

Auditora interna .................................................................................................................9

9.3

Revisin por la direccin ................................................................................................. 10

10.

MEJORA ............................................................................................................................10

10.1

No conformidades y acciones correctivas ..................................................................... 10

10.2

Mejora continua ................................................................................................................ 11

ANEXO A ..................................................................................................................................... 12
BIBLIOGRAFA ............................................................................................................................ 32
INFORME CORRESPONDIENTE A LA NORMA UNIT-ISO/lEC 27001 :2013 .............................. 33

iv

Prefacio

ISO (Organizacin Internacional de Normalizacin) e lEC (Comisin Electrotcnica Internacional)


constituyen el sistema especializado para la normalizacin a nivel mundial. Los organismos
nacionales miembros de ISO o de lEC participan en el desarrollo de Normas Internacionales a
travs de los comits tcnicos establecidos por las organizaciones respectivas para realizar
acuerdos en los campos especficos de la actividad tcnica. Los comits tcnicos de ISO e lEC
colaboran en los campos de inters mutuos. Otras organizaciones internacionales,
gubernamentales y no gubernamentales, en colaboracin con ISO e lEC, tambin toman parte en
estos trabajos. En el campo de la tecnologa de la informacin, ISO e lEC han establecido un
comit tcnico conjunto, ISO/lEC JTC 1.
Las Normas Internacionales se redactan de acuerdo con las reglas establecidas en la Parte 2 de
las Directivas ISO/lEC.
La tarea principal de los comits tcnicos es elaborar Normas Internacionales. Los proyectos de
Normas Internacionales adoptados por los comits tcnicos se envan a los organismos miembros
para su votacin. La publicacin como Norma Internacional requiere la aprobacin de al menos el
75% de los organismos miembros con derecho a voto.
Se llama la atencin sobre la posibilidad de que algunos elementos de este documento pueden
estar sujetos a derechos de patente. ISO e lEC no se hacen responsables por la identificacin de
cualquiera o de todos los derechos de patente.
ISO/lEC 27001 fue preparada por el Comit Tcnico Conjunto ISO/lEC JTC 1, Tecnologa de la
informacin, Subcomit SC 27, Tcnicas de seguridad.
Esta segunda edicin sustituye y reemplaza la primer edicin (ISO/lEC 27001 :2005), que ha sido
tcnicamente revisada.

O Introduccin
0.1 Generalidades

Esta Norma ha sido preparada para proporcionar requisitos a fin de establecer, implantar,
mantener y mejorar continuamente un sistema de gestin de la seguridad de la informacin. La
adopcin de un sistema de gestin de la seguridad de la informacin es una decisin estratgica
para una organizacin. El establecimiento y la implantacin de un sistema de gestin de la
seguridad de la informacin de una organizacin son influenciados por las necesidades y los
objetivos de la organizacin, los requisitos de seguridad, los procesos organizacionales utilizados
y el tamao y la estructura de la organizacin. Se espera que todos estos factores influyentes
cambien con el tiempo.
El sistema de gestin de la seguridad de la informacin preserva la confidencialidad, la integridad

y la disponibilidad de la informacin, mediante la aplicacin de un proceso de gestin de riesgos y


proporciona confianza a las partes interesadas que los riesgos son gestionados adecuadamente.
Es importante que el sistema de gestin de la seguridad de la informacin sea parte de y se
encuentre integrado con los procesos de la organizacin y con la estructura general de gestin, y
que la seguridad de la informacin sea considerada en el diseo de los procesos y en los sistemas
y controles de informacin. Se espera que la implantacin de un sistema de gestin de la
seguridad de la informacin se pueda ampliar de acuerdo con las necesidades de la organizacin.
Esta Norma puede ser utilizada por partes internas y externas para evaluar la capacidad de la
organizacin de satisfacer los requisitos propios de seguridad de la informacin de la
organizacin.
El orden en el que se presentan los requisitos en esta Norma no refleja su importancia ni implica el
orden en que se van a implantar. Los elementos de la lista son enumerados nicamente para fines
de referencia.
La Norma ISO/lEC 27000 describe la visin general y el vocabulario de los sistemas de gestin de
seguridad de la informacin, haciendo referencia a la familia de normas de los sistemas de gestin
de seguridad de la informacin (incluyendo a las Normas ISO/lEC 27003, ISO/lEC 27004 e
ISO/lEC 27005), con trminos y definiciones relacionados.

0.2 Compatibilidad con otras normas del ~i~t~.rn~.de gestin


Esta Norma aplica la estructura de ~lt?;ni.v~I . Jos tul~. de sub-apartados idnticos, los textos
idnticos, los trminos comunes, y las d~fi9Jqib~e~ psisas definidas en el Anexo SL de la Parte 1
de las Directivas ISO/lEC del SUP!.e!Tlento,:icgp~p.!ida~.o\ de ISO, y por lo tanto mantiene la
compatibilidad con otras normas de slstemas.detg'estin que han adoptado el Anexo SL.
Este enfoque comn definido en el AnexO SL va a ser til para aquellas organizaciones que elijan
cumpla con los requisitos de dos o ms normas del
operar un nico sistema de gestin
sistema de gestin.
'

vi

UNIT-ISO/lEC 27001 :2013

TECNOLOGA DE LA INFORMACIN - TCNICAS DE SEGURIDAD - SISTEMAS DE


GESTIN DE LA SEGURIDAD DE LA INFORMACIN - REQUISITOS

1- OBJETO
Esta Norma especifica los requisitos para establecer, implantar, mantener y mejorar
continuamente un sistema de gestin de la seguridad de la informacin en el contexto de la
organizacin. Esta Norma tambin incluye los requisitos para la evaluacin y el tratamiento de
riesgos de seguridad de la informacin adaptados a las necesidades de la organizacin. Los
requisitos establecidos en esta Norma son genricos y se pretende que sean aplicables a todas
las organizaciones, sin importar su tipo, tamao o naturaleza. No es aceptable la exclusin de
cualquiera de los requisitos especificados en los Captulos 4 al 1O cuando una organizacin
declara conformidad con la presente Norma.

2- REFERENCIAS NORMATIVAS
Los siguientes documentos, en su totalidad o en parte, estn referenciados normativamente en
este documento y son indispensables para su aplicacin. Para las referencias fechadas, slo se
aplica la edicin citada. Para las referencias sin fecha, se aplica la ltima edicin del documento
referenciado (incluyendo cualquier modificacin).
ISO/lEC 27000, Tecnologa de la informacin - Tcnicas de seguridad- Sistemas de gestin de
la seguridad de la informacin - Visin geperq_tY,Vocabulario.

/;;~~:>'y~i ',;

j" :

:~(~~;~:~\

''"' ,: .,;
,,,
, , ,,)
ril
. ., ')
3- laRM'N t?;(~~QEF,l~ICIONES
~
'""~
: "") ~a . .:._,$~ ...., '
Para el propsito de este documentoY;:son l;ap)Je~~les,;iqs trminos y definiciones dados en la
Norma ISO/lEC 27000.
\ .,
' .. " ' ' /
~>

~ 04'

.,,~z

-~i ~;:::.Yi~': L,~. ,;:~:::~-

L\f.' i:.(2

4- coNTE:X:;roto'et~A-toRGANizAclN
:_;,;,<:",JJ.":M>"'";::.\..:":...:..x:.~:.!l.M.~<.<:"Vl::o;.;;.<""''W..OM::::.,.:'?:.'.'Wj

4.1

Comprender la organizacin y su contexto

La organizacin debe determinar los asuntos externos e internos que son relevantes para su
propsito y que afectan su capacidad de lograr el (los) resultado (s) deseado (s) de su sistema de
gestin de la seguridad de la informacin.

UNIT-150/IEC 27001 :2013

NOTA: La determinacin de estos asuntos se refiere a establecer el contexto interno y externo de la organizacin,
considerado en el apartado 5.3 de la Norma ISO 31000, Gestin de riesgos- Principios y directrices.

4.2

Comprender las necesidades y expectativas de las partes interesadas

La organizacin debe determinar:


a) Las partes interesadas que son relevantes para el sistema de gestin de la seguridad de la
informacin;
b) Los requisitos de estas partes interesadas respecto de la seguridad de la informacin.
NOTA: Los requisitos de las partes interesadas pueden incluir requisitos legales y reglamentarios y obligaciones
contractuales.

4.3

Determinar el alcance del sistema de gestin de la seguridad de la informacin

La organizacin debe determinar los lmites y la aplicabilidad del sistema de gestin de la


seguridad de la informacin para establecer su alcance.
Al determinar este alcance, la organizacin debe considerar:
a) los problemas externos e internos mencionados en 4.1;
b) los requisitos mencionados en 4.2; y
e) las interfases y dependencias entre actividades desempeadas por la organizacin y
aquellas que son desempeadas por otras organizaciones.
El alcance debe estar disponible como informacin documentada.
4.4

Sistema de gestin de la seguridad de la informacin

La organizacin debe establecer, implantar, mantener y mejorar continuamente su sistema de


gestin de la seguridad de la informacin, de acuerdo con los requisitos de esta Norma.

5- LIDERAZGO
5.1

Liderazgo y compromiso

La alta direccin debe demostrar su lider;!ZQP;Y::c9mpromiso con respecto al sistema de gestin de


la seguridad de la informacin:
//~.;;>'' "
<:,?,,~\~
} ;~.~~/ ~-F(;,::.~ r~. -~~~~- \.
a) asegurando que la poltica de,f~~guf!~~j Cl'e91a ir!?frlacin y los objetivos de seguridad de
la informacin se encuentran;e~tableRidpf.Y.~or:t,;cpmpatibles con la direccin estratgica
de la organizacin;
, . '' ., :t , :
~'" ,'

,-: .;

b) asegurando la integracin de los}equisitos d~l sistema de gestin de la seguridad de la


informacin en los procesos d~Ti;l'Q~goi~9\riiO:;~.....i
l

i~~l,il), 118 l;ii!St t\PP!i:l.

e) asegurando que los recursos heJ~W6s':"5~?g~'eLsristema de gestin de la seguridad de la


informacin se encuentren disponibles;
d) comunicando la importancia de la gestin efectiva de la seguridad de la informacin y de
cumplir con los requisitos del sistema de gestin de la seguridad de la informacin;
e) asegurando que el sistema de gestin de la seguridad de la informacin alcance sus
resultados previstos;

UNIT-ISOIIEC 27001 :2013

f)

dirigiendo y apoyando a que las personas contribuyan con la efectividad del sistema de
gestin de la seguridad de la informacin;

g) promoviendo la mejora continua; y


h) apoyando otros roles de gestin relevantes para demostrar su liderazgo, como compete a
sus reas de responsabilidad.

5.2

Poltica

La alta direccin debe establecer una poltica de seguridad de la informacin que:


a) sea adecuada al propsito de la organizacin;
b) incluya los objetivos de seguridad de la informacin (ver 6.2) o proporcione el marco para
establecer los objetivos de seguridad de la informacin;
e) incluya un compromiso para cumplir con los requisitos aplicables relacionados con la
seguridad de la informacin; e
d) incluya un compromiso de mejora continua del sistema de gestin de la seguridad de la
informacin.
La poltica de seguridad de informacin debe:
e) estar disponible como informacin documentada;
f)

ser comunicada dentro de la organizacin; y

g) estar a disposicin de las partes interesadas, segn corresponda.

5.3

Roles, responsabilidades y autoridades organizacionales

La alta direccin debe asegurar que las responsabilidades y autoridades de los roles relevantes
para la seguridad de la informacin estn asignadas y comunicadas.
La alta direccin debe asignar la responsabilidad y autoridad para:
a) garantizar que el sistema de gestin de la seguridad de la informacin cumple con los
requisitos de esta Norma; e
b) informar a la alta direccin sobre el .9~s:e.mp~odel sistema de gestin de la seguridad de
la informacin.
f
. ::)
'' ::.~. \,
./ /i:' &1~~~-:~r~l K~ ~~ . ~~{~~ \

~OTA: La alta ~~reccin tambi~n puede ~sig~a~:~s~,9.~S,~J?ill\liides y.;~~fori?~des para informar sobre el desempeo del
s1stema de gest1on de la segundad de la ~nforn~cln,dentro.
org~n1zac1on.
:

""'"}

l,l

\\(;,,, ; "lj

UNIT-ISO/lEC 27001 :2013

6- PLANIFICACIN
6.1

Acciones para hacer frente a los riesgos y oportunidades

6.1.1 Generalidades
Al planificar el sistema de gestin de la seguridad de la informacin, la organizacin debe
considerar los aspectos mencionados en 4.1 y los requisitos referidos en 4.2 y determinar los
riesgos y oportunidades que necesitan ser gestionados para:
a) asegurar que el sistema de gestin de la seguridad de la informacin puede alcanzar los
resultados previstos;
b) prevenir, o reducir los efectos no deseados; y
e) lograr la mejora continua.
La organizacin debe planificar:
d) las acciones para gestionar estos riesgos y oportunidades; y
e) cmo:
1)

integrar e implantar las acciones a sus procesos del sistema de gestin de la


seguridad de la informacin; y

2)

evaluar la efectividad de estas acciones.

6.1.2 Evaluacin de riesgos de seguridad de la informacin


La organizacin debe definir y aplicar un proceso de evaluacin de riesgos de seguridad de la
informacin que:
a) establezca y mantenga los criterios de riesgos de seguridad de la informacin que
incluyen:
los criterios de aceptacin de riesgos; y

1)

2)
los criterios para la realizacin de las evaluaciones de los riesgos de seguridad de
la informacin;
-n"'''
4'", . ,..

_,J< ,. :,....

~-.,,

b) garantice que las reiteradas,/~yltiaires.. -.de los riesgos produzcan resultados


consistentes, vlidos y comparb!f~s
. ;;;, \
1 .:::} '
!;\~'
~;;:, '
e) identifique los riesgos de segJri~"ad'
,,,iffit8rm~~idn:

~?,.

~1

~t~:-:; ~~t

):::'

)!

aplique el proceso de ~v~!!Jac'ori~He ti~_sgps de seguridad de la informacin para


identificar riesgos asociados !:con la. pr,dida de confidencialidad, integridad y
dispo~dibidliddad 1 d.ef la inf?.r~~81P,f,\,"'p,~tQlE?H~~t-~lcance del sistema de gestin de la
segun a e a 1n ormac1on e,,,..,i, r:1~ ''~w\, .;.,~::t.'' ,
1)

2)

identifique a los

h~~;~ {it.~j"~~~vrf:"t: 1 tZ5~\:l~:"7.

propiet~rfos'd'el"'rlesg'o;

"' ,,

d) analice los riesgos de seguridad de la informacin:


1) evale las consecuencias potenciales que se produciran si los riesgos identificados
en 6.1.2 e) 1) llegaran a materializarse;

UNIT-ISO/lEC 27001 :2013

2)
evale la probabilidad realista de ocurrencia de los riesgos identificados en
6.1.2 e) 1); y
3) determine los niveles de riesgo;
e) valore los riesgos de seguridad de la informacin:
1)
compare los resultados de los anlisis de riesgo con los criterios de riesgos
establecidos en 6.1.2 a); y

2)

priorice los riesgos analizados para el tratamiento de riesgos.

La organizacin debe conservar informacin documentada sobre el proceso de evaluacin de


riesgos de seguridad de informacin.
6.1.3 Tratamiento de riesgos de seguridad de la informacin

La organizacin debe definir y aplicar un proceso de tratamiento de riesgos de seguridad de la


informacin para:
a) seleccionar las opciones adecuadas de tratamiento de riesgo de seguridad de la
informacin, teniendo en cuenta los resultados de la evaluacin de riesgos;
b) determinar todos los controles que sean necesarios para poner en prctica las opciones
elegidas de tratamiento de riesgos de seguridad de la informacin;
NOTA: Las organizaciones pueden disear los controles segn sea necesario, o identificarlos de cualquier fuente.

e) comparar los controles determinados en 6.1.3 b) anteriores, con los del Anexo A y verificar
que no se han omitido controles necesarios;
NOTA 1 El Anexo A contiene una lista completa de objetivos de control y controles. Los usuarios de esta Norma
son referidos al Anexo A para garantizar que no se pasen por alto los controles necesarios.
NOTA 2 Los objetivos de control son incluidos implcitamente en los controles elegidos. Los objetivos de control y
los controles incluidos en el Anexo A no son exhaustivos y pueden ser necesarios objetivos de control y controles
adicionales.

d) Elaborar una Declaracin de Aplicabilidad que contenga los controles necesarios (ver 6.1.3
b) y e)) y la justificacin de las inclusiones, sean implantados o no, y la justificacin de las
exclusiones de los controles del Anexo_.8;,..,
,.--.;
'.\

--<~, t~.:, {}( ~

>~

e) Formular un plan de tratamientq:d.~;.Jiesgos dEf;.s.eguridad de la informacin; y


/"' {;)-~ ~~;~~>~~:;}::.{ .

f)

~-;;.~ \,

Obtener la aprobacin del p~bpieti:lrib \~ej:Jriesgo del plan de tratamiento de riesgos de


~egurida~. de la informacin ~ i~~c~pt~cln~~ 19$ (iesgos residuales de seguridad de la
mformac1on.

t1
''

,)~l

\\;;(;,'

La organizacin debe conservar la infcirnacin docmei'tada sobre el proceso de tratamiento de


riesgos de seguridad de la informacirr;;~~;.,......," . ,,1,,,, ,,, .. ;~:;"''1

~ t~~:~~t~~?. :s~!;;~:~0~~; ".:;~.:~G-~,~;;~ ~


NOTA: El proceso de tratamiento y evaluaciQ.9.!::"t!~~9~.~3.~~?:~~9!!Xi9.~? de la informacin en esta Norma se alinea con
los principios y las directrices genricas proporcionadas en la Norma ISO 31000, Gestin de riesgos - Principios y
directrices.

UNIT-150/IEC 27001 :2013

Objetivos de seguridad de la informacin y planificacin para alcanzarlos

6.2

La organizacin debe establecer objetivos de seguridad de la informacin en funciones y niveles


pertinentes.
Los objetivos de seguridad de la informacin deben:
a) Ser coherentes con la poltica de seguridad de la informacin;
b) Ser medibles (mensurables) (si corresponde);
e) Tener en cuenta los requisitos aplicables de seguridad de la informacin y los resultados
de la evaluacin de riesgos y del tratamiento de riesgos;
d) Ser comunicados; y
e) Ser actualizados cuando corresponda.
La organizacin debe conservar informacin documentada sobre los objetivos de seguridad de la
informacin.
Al planificar como alcanzar estos objetivos de seguridad de la informacin, la organizacin debe
determinar:
f)

Lo que se va a hacer;

g) Qu recursos van a ser necesarios;


h) Quin va a ser responsable;
i)

Cundo se va a completar; y

j)

Cmo van a ser evaluados los resultados.

7- SOPORTE
7.1

Recursos

La organizacin debe determinar y proporcionar.J(?s recursos necesarios para el establecimiento,


la implantacin, el mantenimiento y la m~jo~a contiq~adel sistema de gestin de la seguridad de
la informacin.
./.:;'~:,
.,;,'.
:"'

7.2

.;~:t

\:::;:

Competencia

La organizacin debe:
a) Determinar la competencia nece~aria de la(s)prsona(s) que realiza el trabajo bajo su
control, que afecta el desempeo:Cie
la seguridad
qe la informacin;
' '--0 ;,
-pr ,;
r-._,,..- _, .r.ii> ,,
,,

- '

~:._-,.-

""'""

:,: C;(i,J(t.)

'""

~.
___

,_

< :-.:- ~.. ,!

- '"' ......

,_,_,

__

'i\!.;:<~ ~;:;.~tf-~. ;_;"-~,.,-_;:j:::.<";,

\"

;~

b) Asegurarse que estas persoll3srson"'corrrpetente~ en cuanto a educacin, formacin o


experiencia apropiada;

e) Cuando corresponda, adoptar acciones para adquirir las competencias necesarias, y
evaluar la eficacia de las acciones adoptadas; y
d) Conservar la informacin documentada adecuada como evidencia de la competencia.

UNIT -ISO/lEC 27001 :2013

NOTA: Las acciones aplicables pueden incluir, por ejemplo, la provisin de capacitacin, la tutora de, o la reasignacin
de empleados actuales; o la contratacin de personas competentes.

7.3

Toma de conciencia

Las personas que realizan trabajos bajo el control de la organizacin, deben tener en cuenta:
a) la poltica de seguridad de la informacin;
b) su contribucin a la eficacia del sistema de gestin de la seguridad de la informacin,
incluyendo los beneficios de un mejor desempeo de la seguridad de la informacin; y
e) las consecuencias de que no cumplan con los requisitos del sistema de gestin de la
seguridad de la informacin.

7.4

Comunicacin

La organizacin debe determinar la necesidad de las comunicaciones internas y externas


pertinentes para el sistema de gestin de la seguridad de la informacin, incluyendo:
a) qu comunicar;
b) cundo comunicar;
e) con quin comunicarse;
d) quin debe comunicar;
e) los procesos mediante los cuales se va a efectuar la comunicacin.

7.5

Informacin documentada

7.5.1 Generalidades
El sistema de gestin de la seguridad de la informacin de la organizacin debe incluir:
a) informacin documentada requerida por la presente Norma; e
b) informacin documentada determinada por la organizacin como necesaria para la eficacia
del sistema de gestin de la seguridad de la informacin.
NOTA: El alcance de la informacin documentada para urt;istema de gestin de la seguridad de la informacin puede
variar de una organizacin a otra debido a:
, .
..,,.,~ .,

tipo~ cl;~ptividad~:; ~~oce:;os, productos y servicios;

1)

el tamao de la organizacin y sus

2)

la complejidad de los procesos y sus'i'1teraqqloi)e~~:x.~'

3)

la competencia de las personas.

7.5.2 Creacin y actualizacin


Al crear y actualizar informacin

~:.:~'~

f,.,:rr~:~1 ;~~.L

~".

!i

~;,~.
\'l~~-1..>

<:~~;} .

H'i'l'\.!o~.:-;;,. ~..):

'

.,.

'"""'""'"'"'......

"

docur\h~Hfa~i!''i:'b}~a~tabin debe garantizar:


l:<-4f~ )\~ .~':', \;\~{,:~::~t~)j.~

a) la identificacin y la descripci~''(por eJemp'o,"tiiulo: fecha, autor o nmero de referencia);


b) el formato (por ejemplo, el idioma, la versin de software, los grficos) y los medios (papel,
electrnico); y
e) la revisin y aprobacin para la conveniencia y suficiencia.

UNIT-ISO/IEC 27001:2013

7.5.3 Control de informacin documentada


La informacin documentada requerida por el sistema de gestin de la seguridad de la informacin
y por la presente Norma debe ser controlada para asegurar:
a) que se encuentra disponible para su uso, donde y cuando sea necesaria; y
b) que se encuentra protegida adecuadamente (por ejemplo,
confidencialidad, del uso indebido o de la prdida de integridad).

de

la

prdida

de

Para el control de la informacin documentada, la organizacin debe abordar las siguientes


actividades, segn corresponda:
e) la distribucin, el acceso, la recuperacin y el uso;
d) el almacenamiento y la conservacin, incluyendo la preservacin de la legibilidad;
e) el control de los cambios (por ejemplo, control de las versiones); y
f)

la retencin y la disposicin.

La informacin documentada de origen externo, determinada por la organizacin como necesaria


para la planificacin y la operacin del sistema de gestin de la seguridad de la informacin, debe
ser identificada y controlada, segn corresponda.
NOTA: El acceso implica una decisin sobre el permiso para ver slo la informacin documentada, o el permiso y la
autoridad para ver y cambiar la informacin documentada, etc.

8- OPERACIN
8.1
Planificacin y control operacional
La organizacin debe planificar, implantar y controlar los procesos necesarios para cumplir con los
requisitos de seguridad de la informacin, y para implantar las acciones determinadas en 6.1. La
organizacin debe poner en prctica planes para alcanzar los objetivos de seguridad de la
informacin determinados en 6.2.
La organizacin debe mantener la informacin documentada en la medida necesaria para tener
confianza en que los procesos se han llevago segn lo previsto.
,,,

' '." f'\

La organizacin debe controlar los cambip~"pr~vistos ~ revisar las consecuencias de los cambios
no deseados, adoptando medidas ;para, mitig(;lr;: los. p9sibles efectos adversos, segn sea
necesario.
j'(

La organizacin debe garantizar 'que .lo~ process ~'subcontratados son determinados y


controlados.

8.2

segurctad,d~',laJilfor;..acn
cabo '~v1'1~ih~s d~ riJsgo de

Evaluacin de riesgos de

La organizacin debe llevar a


seguridad de la informacin a
intervalos planificados o cuando ocurren o se proponen cambios significativos, teniendo en cuenta
los criterios establecidos en 6.1.2 a).
La organizacin debe conservar la informacin documentada de las evaluaciones de riesgo de
seguridad de la informacin.

UNIT-ISO/lEC 27001 :2013

8.3

Tratamiento de riesgos de seguridad de la informacin

La organizacin debe implantar el plan de tratamiento de riesgos de seguridad de la informacin.


La organizacin debe conservar la informacin documentada de los resultados del tratamiento de
riesgos de seguridad de la informacin.

9- EVALUACIN DEL DESEMPEO


9.1

Seguimiento, medicin, anlisis y evaluacin

La organizacin debe evaluar el desempeo de la seguridad de la informacin y la eficacia del


sistema de gestin de la seguridad de la informacin.
La organizacin debe determinar:
a) a que se debe hacer seguimiento y mediciones, incluyendo los procesos y controles de
seguridad de la informacin;
b) los mtodos para el seguimiento, la medicin, el anlisis y la evaluacin, segn
corresponda, para garantizar los resultados vlidos;
NOTA: Los mtodos seleccionados deben producir resultados comparables y reproducibles para ser considerados
vlidos.

e) cundo se van a llevar a cabo el seguimiento y la medicin;


d) quin debe realizar el seguimiento y medir;
e) cundo van a ser evaluados y analizados los resultados del seguimiento y la medicin; y
f)

quin debe analizar y evaluar esos resultados.

La organizacin debe conservar la informacin documentada apropiada como evidencia de los


resultados del seguimiento y la medicin.

9.2

Auditora interna

La organizacin debe llevar a cabo auditoras internas a intervalos planificados para proporcionar
informacin acerca de si el sistema de gestin"def'laseguridad de la informacin:
/''_,:,}~t<U ilJ>

. '.

a) cumple con:
/ ~t f';'";:) ;;~ '';"r;~
_
1) los requisitos propios de 1~ 9rganiiadi6'n.'p,aras sistema de gestin de la seguridad de
la informacin; y
,_ _ .
_ ;:~
}" ,;
'\ '\~ . ,
;~~~.:. :~_~l.
2) los requisitos de la presentet-forma;
"'"'"

.{.(,;,_,_,_.,.._,

b) es implementado y mantenido ~f!~q[;I\:!~Q~~l f:!~).-~~- 1


r """ ~~~r-i\:,;:7~0;~~~~:~~~::.\ ~ )~

La organizacin debe:

L"''--'"""''"---"""~--J

e) planificar, establecer, implantar y mantener un programa de auditora, incluyendo la


frecuencia, los mtodos, las responsabilidades, los requisitos de planificacin y la
presentacin de informes;
d) definir los criterios y el alcance de cada auditora para cada auditora;

UNIT-ISO/lEC 27001 :2013

e) seleccionar los auditores y realizar auditoras que garanticen la objetividad y la


imparcialidad del proceso de auditora;
f)

garantizar que los resultados de las auditoras sean informados a la direccin pertinente; y

g) conservar la informacin documentada como evidencia del programa de auditora y los


resultados de la auditora.

9.3

Revisin por la direccin

La alta direccin debe revisar el sistema de gestin de la seguridad de la informacin de la


organizacin a intervalos planificados para garantizar su conveniencia, suficiencia y eficacia.
La revisin por la direccin debe incluir la consideracin de:
a) el estado de las acciones de revisiones previas por la direccin;
b) los cambios en los asuntos externos e internos que son pertinentes para el sistema de
gestin de la seguridad de la informacin;
e) la retroalimentacin sobre el desempeo de la seguridad de la informacin, incluyendo a
las tendencias en:
1) las no conformidades y las acciones correctivas;
2) los resultados del seguimiento y la medicin;
3) los resultados de la auditora; y
4) el cumplimiento de los objetivos de seguridad de la informacin;
d) retroalimentacin de las partes interesadas;
e) resultados de la evaluacin de riesgos y estado del plan de tratamiento de riesgos; y
f)

oportunidades para la mejora continua.

Los resultados de la revisin por la direccin deben incluir a las decisiones relacionadas con las
oportunidades de mejora continua y cualquier necesidad de cambios para el sistema de gestin de
la seguridad de la informacin.
La organizacin debe conservar la informadn:doc'mentada como evidencia de los resultados de
1 -;~::u . .
' i: ,
las revisiones por la direccin.
>"

,.~:]

:;\;

k1

~~r~~s;\1{Lit_,, ...... ,. __

~:!:f \

. . .~

,16- l'ij~~:~'/
:._

10.1

;>

No conformidades y acciones:~orrectivas
\; l!

,,:;,,,,,

tr,i\:~Y'~'t;\ l~ J.~{~;L~ ~\'1f~) ~t~ ~

Cuando se produce una no conformidM.''I;~~:!'~ga,:o'iz'cJ'r


clebe:
f ,_ ::.: _., ........~;. . ..... " "'"". ,, ~.:..... ..~
a) reaccionar a la no conformidad, y, segn corresponda:
1) adoptar medidas para controlar y corregirla; y
2) hacer frente a las consecuencias;

10

UNIT-150/IEC 27001 :2013

b) evaluar la necesidad de adoptar medidas para eliminar las causas de la no conformidad a fin
de que no se repita u ocurra en otros lugares:
1) revisando la no conformidad;
2) determinando las causas de la no conformidad; y
3) determinando si existen o podran ocurrir no conformidades similares;
e) implantar las medidas oportunas;
d) revisar la eficacia de las acciones correctivas adoptadas; y
e) realizar cambios al sistema de gestin de la seguridad de la informacin, si es necesario.
Las acciones correctivas deben ser apropiadas a los efectos de las no conformidades
encontradas.
La organizacin debe conservar la informacin documentada como evidencia de:
f) la naturaleza de las no conformidades y de cualquier accin adoptada posteriormente y
g) los resultados de cualquier accin correctiva.
10.2

Mejora continua

La organizacin debe mejorar continuamente la conveniencia, suficiencia y eficacia del sistema de


gestin de la seguridad de la informacin.

11

UNIT-150/IEC 27001 :2013

ANEXO A
(Normativo)

OBJETIVOS DE CONTROL DE REFERENCIA Y CONTROLES


Los objetivos de control y los controles indicados en la Tabla A.1 se derivan directamente de y se
alinean con los listados en la Norma ISO/lEC 27002 Captulos 5 al 18 y se van a utilizar en el
contexto del apartado 6.1.3.

Tabla A.1 -

Objetivos de control y controles

A.S Polticas de seguridad de la informacin


A.5.1 Orientacin de la direccin para la seguridad de la informacin
Objetivo: Proporcionar orientacin y apoyo de la direccin para la seguridad de la informacin de
acuerdo con los requisitos del negocio v leves pertinentes.
Control
Polticas para la seguridad de
A.5.1.1
La direccin debe definir y
la informacin
aprobar un conjunto de
polfticas para la seguridad de
la informacin y stas se
deben publicar y comunicar a
todos los empleados y a las
oartes externas oertinentes ..
Control
Revisin de las polticas para
A.5.1.2
Las polticas de seguridad de
la seguridad de la informacin
la informacin deben ser
revisadas a intervalos
planificados o si ocurren
cambios significativos para
garantizar su continua
conveniencia, suficiencia y
eficacia.
A.6 Organizacin de la seguridad de la informacin
A.6.1 Organizacin interna
Objetivo: Establecer un marco de gestin par?,I!Ji~iar y controlar la implementacin y la operacin
de la seguridad de la informacin dentro de (a,org~hizacin.
A.6.1.1
Control
Todas las responsabilidades
deben ser definidas y
asianadas.
A.6.1.2
Control
Las funciones en conflicto y las
reas de responsabilidad
deben ser segregadas para
reducir las oportunidades de
modificacin no autorizada, no
intencional o por mal uso de
los acti,vos de la organizacin.
A.6.1.3
Contacto con autoridades
Control
Deben mantenerse contactos
apropiados con las autoridades
relevantes.
12

UNIT-ISO/lEC 27001 :2013

A.6.1.4

Contacto con grupos de


inters especial

A.6.1.5

Seguridad de la informaCin
en gestin de proyectos

Control
Deben mantenerse los
contactos apropiados con los
grupos de inters especial u
otros foros especializados en
seguridad, as como
asociaciones de rofesionales.

*(VER LA NOTA UNIT 1)

A.6.2.2

Control
Debe adoptarse una poltica y
medidas de seguridad de
apoyo para gestionar los
riesgos introducidos por el uso
de dis ositivos mviles
Control
Debe implantarse una poltica
y medidas de seguridad de
apoyo para proteger la
informacin accedida,
procesada o almacenada en
sitios de teletrabajo.

Teletrabajo

Objetivo: Asegurar que los empleados y contratistas entiendan sus responsabilidades y que sean
a tos ara los roles ara los cuales estn siendo considerados.
A. 7. 1. 1
Seleccin
Control
Debe realizarse la verificacin
de antecedentes del empleo
de acuerdo con las leyes,
regulaciones y normas ticas
relevantes y en proporcin a
los requisitos del negocio, la
clasificacin de la informacin
a ser accedida, y los riesgos
percibidos.

* NOTA UNIT 1: Para profundizar en el concepto de abordaje de la seguridad de la informacin en


la gestin de proyectos vase el apartado 6.1.5 de la Norma UNlT-ISOIIEC 27002:2013

13

UNIT-ISO/IEC 27001:2013

A.7.1.2

Trminos y condiciones de la
relacin laboral

Control
Los acuerdos contractuales
con los empleados y
contratistas deben indicar sus
responsabilidades y las de la
organizacin en cuanto a la
seguridad de la informacin.

A. 7.2 Durante el empleo

Objetivo: Asegurar que los empleados y contratistas sean conscientes y cumplan con las
responsabilidades de seguridad de la informacin.
A. 7.2.1
Responsabilidades de la
Control
direccin
La direccin debe exigir a los
empleados y contratistas
aplicar la seguridad de
acuerdo con las polticas y los
procedimientos establecidos
por la organizacin.
Control
Concientizacin, educacin y
A.7.2.2
Todos los empleados de la
formacin en seguridad de la
organizacin y cuando sea
informacin
pertinente, los contratistas,
deben recibir una educacin
adecuada en concientizacin y
formacin y actualizaciones
regulares en polticas y
procedimientos
organizacionales, relevantes
para su funcin laboral.
Proceso disciplinario
A.7.2.3
Control
Debe existir un proceso
disciplinario formal y
comunicado para adoptar
medidas contra los empleados
que han perpetrado una
violacin a la seguridad .
... ,.

A.7.3 Finalizaciny cambio de la relacinlbond o.empleo


Objetivo: Proteger los intereses de la id'~ga.hif~qin cr:p,o,parte del proceso de cambiar o finalizar
!ll . :
la relacin laboral
o' ~.::J;:
..;;y rfl!':!l~~
!t . f,. ~~
m~!''
.,t,, \ ,.
.
A. 7. 3. 1
Fi~a~aci~.ttq~piorg~
Control
..
respobs;!bl}.ldlq~$;1aq()r~les
Las responsabilidades y las
t \:::, . ' t; !"'~.Y''~' ,,} /
funciones de la seguridad de la
">
informacin que siguen
vigentes luego de la
finalizacin o el cambio de la
relacin laboral o empleo
deben ser definidas,
comunicadas al empleado o
contratista y obligatorias.

14

UNIT-ISO/lEC 27001:2013

A.8 Gestin de activos


A.8.1 Res onsabilidad or los activos
Objetivo: Identificar los activos de la organizacin y definir las responsabilidades de proteccin
adecuadas.
A.8.1.1
Inventario de activos
Control
Deben ser identificados los
activos asociados con los
recursos de procesamiento de
informacin y con la
informacin y se debe
establecer y mantener un
inventario de estos activos.
A.8.1.2
Control
Propiedad de los activos
Los activos mantenidos en el
inventario deben contar con un
ro ietario.
Control
A.8.1.3
Uso aceptable de los activos
Deben identificarse,
documentarse e implantarse
las reglas para el uso
aceptable de la informacin y
los activos asociados con la
informacin y con las
instalaciones de
rocesamiento de informacin.
A.8.1.4
Devolucin de los activos
Control
Todos los empleados y los
usuarios de partes externas
deben devolver todos los
activos de la organizacin en
su poder al trmino de su
empleo, contrato o acuerdo.
A.8.2 Clasificacin de la informacin
Objetivo: Garantizar que la informacin reciba un nivel adecuado de proteccin de acuerdo con su
im ortancia ara la or anizacin.
Control
A.8.2.1
Clasificacin
de.lainformacin
.
''.-,
La informacin debe ser
clasificada en funcin de los
requisitos legales, del valor, de
la criticidad y de la sensibilidad
a la divulgacin no autorizada
o a la modificacin.
A.8.2.2
Control
Debe desarrollarse e
implantarse un conjunto
adecuado de procedimientos
para el etiquetado de la
informacin de acuerdo con el
esquema de clasificacin de la
informacin, adoptado por la
organizacin.

15

UNIT-ISO/lEC 27001 :2013

A.8.2.3

Control
Procedimientos para la gestin
de activos deben ser
desarrollados e implementados
de acuerdo con el esquema de
la clasificacin de la
informacin adoptado por la
organizacin.

Gestin de activos

A.8.3 Manejo de medios


Objetivo: Prevenir la divulgacin no autorizada, la modificacin, la eliminacin o la destruccin de
la informacin almacenada en los medios.
Control
Gestin de los medios
A.8.3.1
Deben implantarse
removibles
procedimientos para la gestin
de los medios removibles de
acuerdo con el esquema de
clasificacin adoptado por la
organizacin.
Control
Disposicin de los medios
A.8.3.2
Los medios deben ser
dispuestos cuando ya no son
necesarios, utilizando
procedimientos formales.
A.8.3.3
Transferencia de medios
Control
fsicos
Los medios que contienen
informacin deben ser
protegidos contra el acceso no
autorizado, el mal uso o la
corrupcin durante el
transporte.
A.9 Control de acceso
A.9.1 Requisitos de negocios del control de acceso
Objetivo: Limitar el acceso a la informacin y a las instalaciones de procesamiento de informacin
A.9.1.1
Poltica de control de acceso
Control
Una poltica de control de
acceso debe ser establecida,
documentada y revisada en
'
base a los requisitos de
negocios y de la seguridad de
la informacin.
'
"'"''
A.9.1.2
Control
Acq~9 ci l~:s ~~:<i~!3, y ,ci' 19s
Los usuarios slo deben
servi~i~~~ de rd ~,;::( '-"/
disponer de acceso a las redes
y a los servicios de red a los
que han sido autorizados
especficamente para su uso.
.;,

(~

/";,:

i~1~J~,

16

:\

UNIT-150/IEC 27001:2013

A.9.2 Gestin de acceso del usuario


Objetivo: Garantizar el acceso autorizado a los usuarios y evitar el acceso no autorizado a los
sistemas y servicios.
A.9.2.1
Control
Registro y baja de usuarios
Un proceso formal de registro
y baja de usuarios debe ser
implementado para permitir la
asignacin de derechos de
acceso.
A.9.2.2
Provisin de acceso a los
Control
usuarios
Debe implantarse un proceso
de provisin de acceso de
usuario para asignar o revocar
los derechos de acceso para
todos los tipos de usuarios de
todos los sistemas y servicios.
A.9.2.3
Gestin de derechos de
Control
La asignacin y la utilizacin
acceso privilegiados
de los derechos de acceso
privilegiados deben ser
restringidas y controladas.
A.9.2.4
Gestin de informacin de
Control
autenticacin secreta de los
La asignacin de informacin
de autenticacin secreta debe
usuarios
ser controlada a travs de un
proceso de gestin formal.
A.9.2.5
Revisin de los derechos de
Control
acceso de los usuarios
Los propietarios de los activos
deben revisar los derechos de
acceso de los usuarios a
intervalos planificados.
A.9.2.6
Remocin o ajuste de los
Control
derechos de acceso
Los derechos de acceso de
todos los empleados y de los
usuarios externos a la
informacin y a las
instalaciones de
procesamiento de la
informacin deben ser
removidos luego de la
finalizacin del empleo,
contrato o acuerdo, o ser
ajustados al cambio.
A.9.3 Responsabilidades del usua~ie>.; :.. ,.,. ,, .L ,, .;: ']
Objetivo: Hacer que los usuarios sea!l''r~~pqi)~'~l;?le~,~e,s;lvaguardar su informacin de
autenticacin.
L.,""'~:::.~.:.;-:.~:::'::':::'~:J:~~...... , ,;
A.9.3.1
Uso de la informacin de
Control
autenticacin secreta
Los usuarios deben seguir las
prcticas de la organizacin en
el uso de la informacin de
autenticacin secreta.

17

UNIT-150/IEC 27001:2013

A.9.4 Control de acceso del sistema y la aplicacin


Objetivo: Prevenir el acceso no autorizado a los sistemas y__ las aQiicaciones.
Control
Restriccin de acceso a la
A.9.4.1
El acceso a la informacin y a
informacin
las funciones de aplicacin del
sistema debe ser restringido
de acuerdo con la poltica de
control de acceso.
Procedimientos seguros de
Control
A.9.4.2
Cuando lo requiera la poltica
inicio de sesin (log on)
de control de acceso, el
acceso a los sistemas y
aplicaciones debe ser
controlado por un
procedimiento seguro de inicio
de sesin (log on)
Sistema de gestin de
Control
A.9.4.3
contrasea
Los sistemas de gestin de
contraseas deben ser
interactivos y deben garantizar
contraseas de calidad.
Control
Uso de programas utilitarios
A.9.4.4
privilegiados
El uso de programas utilitarios
que podra ser capaz de anular
los controles del sistema y de
las aplicaciones debe ser
restringido y estrechamente
controlado.
A.9.4.5
Control de acceso del cdigo
Control
fuente del programa
El acceso al cdigo fuente del
programa debe ser restringido.
A.1 O Crij:)tografa
A.10.1 Controles criptogrficos
Objetivo: Garantizar el uso adecuado y eficaz de la criptografa para proteger la confidencialidad,
la autenticidad o la integridad de la infqrmacin.
A.10.1.1
Poltica sobre'el,uso de los
Control
Debe desarrollarse e
t -~>}
-:"~-" t;.,:~:,'
implantarse una poltica sobre
el uso de los controles
criptogrficos para proteger la
!
informacin.
Gestin ,de claves ,, >
A.10.1.2
Control
>..>
Debe desarrollarse e
implantarse una poltica sobre
el uso, proteccin y duracin
de las claves criptogrficas a
travs de todo su ciclo de vida.

cont~l~,crl)\8gr[\,o~\)

(t r');~" 'r~c: '~,:


~~ ~<~,i'ii:i~~;'~;~~;~;?X'

18

UNIT-ISO/lEC 27001 :2013

A.11 Seguridad fsica y del ambiente


A.11.1 Areas seguras
Objetivo: Evitar accesos fsicos no autorizados, daos e interferencias contra las instalaciones de
procesamiento de informacin y la informacin.
A.11.1.1
Permetro de seguridad fsica
Deben definirse los permetros
de seguridad y ser utilizados
para proteger las reas que
contienen informacin sensible
o critica e instalaciones de
procesamiento de informacin.
A.11.1.2
Controles de acceso fsico
Control
Las reas seguras deben estar
protegidas por controles de
entrada apropiados que
aseguren que slo se permite
el acceso de personal
autorizado.
A.11.1.3
Seguridad de oficinas,
Control
Debe disearse y aplicarse
despachos e instalaciones
seguridad fsica a oficinas,
despachos e instalaciones.
Control
A.11.1.4
Proteccin contra amenazas
Debe disearse y aplicarse
externas y del ambiente
proteccin fsica contra
desastres naturales, ataques
maliciosos o accidentes.
El trabajo en las reas seguras Control
A.11.1.5
Deben disearse y aplicarse
procedimientos para trabajar
en reas seguras.
Control
A.11.1.6
Areas de entrega y de carga
Los puntos de acceso tales
como reas de entrega y de
carga y otros puntos donde las
personas no autorizadas
puedan acceder a las
instalaciones deben ser
''' (
controlados y, si es posible,
aislados de las instalaciones
de procesamiento de
informacin para evitar el
acceso no autorizado.
i:0';;i~'i;]- .// /
A.11.2 Equipamiento
\, \~>
Objetivo: Prevenir prdidas, daos, hurtos' o comprh1!3ter los activos, as como la interrupcin de
las operaciones de la organizacin.
~';~
Control
A.11.2.1
Ubicac_i4!\Y:ptpt~~ci~n
<:!el
,
equipamiento
---.------ '
El equipamiento debe estar
ubicado y ser protegido para
reducir los riesgos
ocasionados por amenazas y
peligros ambientales, y
oportunidades de acceso no
autorizado.
_,

\"

~~ .~

r:.,,,,' ' ' ,.,,,


i ,,, .

v. ,; q

~,,,, 4 .. ~ . i

19

.J.\c.,

1.

UNIT-ISO/lEC 27001 :2013

A.11.2.2

A.11.2.3

A.11.2.4

A.11.2.5

A.11.2.6

A.11.2.7

Control
Debe protegerse el
equipamiento contra posibles
fallas en el suministro de
energa y otras interrupciones
causadas por fallas en los
servicios de apoyo
Seguridad en el cableado
Control
El cableado de energa y de
telecomunicaciones que
transporta datos o servicios de
informacin de apoyo deben
ser protegidos de la
interceptacin, la interferencia
o los daos.
Control
Mantenimiento del
equipamiento
El equipamiento debe recibir el
mantenimiento correcto para
asegurar su permanente
disponibilidad e integridad.
Control
Remocin de los activos
Los equipamientos, la
informacin o el software no se
deben sacar fuera de las
instalaciones de la
organizacin sin autorizacin
_Qrevia.
Seguridad del equipamiento y
Control
de los activos fuera de las
Deben asegurarse todo los
instalaciones de la
activos fuera de los locales de
organizacin
la organizacin, teniendo en
cuenta los diferentes riesgos
de trabajar fuera de las
instalaciones de la
or-g_anizacin.
Seguridad en la reutilizacin o
Control
eliminacin de los equipos
Todo aquel equipamiento que
contenga medios de
almacenamiento debe
revisarse para asegurar que
todos los datos sensibles y
software licenciado se hayan
removido o se haya sobrescrito
'
con seguridad antes de su
disposicin o reutilizacin.
... ":1
i\_ '''.. " ..,,
Eq4.ip:de isariodesatendido Control
r.~if) ;~,~y;,\..i'E~~u.-:.~:/;',f.ii~.
~
..
Los usuarios deben
asegurarse de que a los
equipos desatendidos se les
da proteccin adecuada.

Servicios de apoyo

'.-~'-"'"'--'.''>'

A.11.2.8

20

UNIT-ISO/lEC 27001 :2013

A.11.2.9

Poltica de escritorio y pantalla


limpios

Control
Debe adoptarse una poltica de
escritorio limpio para papeles y
medios de almacenamiento
removibles y una poltica de
pantalla limpia para las
instalaciones de
procesamiento de informacin.

A.12 Seguridad de las operaciones


A.12.1 Procedimientos y responsabilidades operacionales
Objetivo: Asegurar el funcionamiento correcto y seguro de las instalaciones de procesamiento de
informacin.
A.12.1.1
Procedimientos documentados Control
Los procedimientos de
de operacin
operacin deben
documentarse, mantenerse y
ponerse a disposicin de todos
los usuarios que los necesiten.
A.12.1.2
Los cambios en la
Gestin de cambios
organizacin, los procesos del
negocio, las instalaciones de
procesamiento de informacin
y los sistemas que afectan la
seguridad de la informacin,
deben ser controlados.
Control
Gestin de la capacidad
A.12.1.3
Debe supervisarse y adaptarse
el uso de recursos, as como
proyecciones de los futuros
requisitos de capacidad para
asegurar el desempeo
requerido del sistema.
Control
Separacin de los recursos
A.12.1.4
Los recursos para el
para desarrollo, prueba y
desarrollo, prueba y ambientes
ambientes operacionales
operacionales deben
separarse para reducir los
riesgos de acceso no
autorizado o los cambios en el
ambiente operacional.
Objetivo: Asegurar que la informacin y.Jas instalacio~es de procesamiento de informacin estn
r:,;';"':,;,,.,T; ;,; ,,,,,, w,:,.~~'~'~
protegidas contra el malware.
A.12.2.1
Coritrol
cOfitt.ePiiialware
Control
:,:. 1',,-! :.
'!
;r,'
Los controles de deteccin,
prevencin, y recuperacin
para proteger contra el
malware deben ser
implementados, combinados
con el conocimiento
correspondiente del usuario.
~.;

!i

'i,.\<1~'\:,,Y-;f'

21

UNIT-150/IEC 27001 :2013

A.12.3 Respaldo
Objetivo: Proteccin contra la prdida de datos.
A.12.3.1
Respaldo de la informacin

Control
Deben hacerse regularmente
copias de seguridad de la
informacin y del software y
probarse regularmente acorde
con la _poltica de respaldo.

A.12.4 Registro y seguimiento


Objetivo: Registrar los eventos ' generar evidencia.
A.12.4.1
Registros de eventos

A.12.4.2

Proteccin de la informacin
de registros (logs)

A.12.4.3

Registros del administrador y


del operador

A.12.4.4

Sincronizacin de relojes

""""..

K~-~,

'

~'
A.12.5 Control del software en

'.~:;e:

Control
Los registros de eventos que
registran actividades del
usuario, excepciones, fallas y
eventos de seguridad de la
informacin deben ser
producidos, mantenidos y
revisados regularmente.
Control
Los medios de registro y la
informacin de registro se
deben proteger contra
alteracin y acceso no
autorizado.
Control
Las actividades del
administrador y del operador
del sistema se deben registrar
y los registros deben ser
protegidos y revisados
regularmente.
Los relojes de todos los
sistemas de procesamiento de
informacin pertinente dentro
de una organizacin o dominio
de seguridad deben estar
sincronizados a una sola
fuente de referencia de tiempo.

;,:j :~Y~'~

f:~"x;

~reid~cci6h':;!;;,;,,;,;~.

"''' \

:.: .
Objetivo: Garantizar la integridad de\lo$.sist4rne:1s:ooerativbs.
A.12.5.1
lnsf9lab),9n de''SOffiiyli'~Em los
sistem~~ operativos . /

r='

,, . .,.,,. ,

'-

22

Control
Deben implantarse
procedimientos para controlar
la instalacin de software en
los sistemas operativos

UNIT-ISO/lEC 27001:2013

A.12.6 Gestin de la vulnerabilidad tcnica


Objetivo: Evitar la explotacin de vulnerabilidades tcnicas.
A.12.6.1
Gestin de vulnerabilidades
tcnicas

A.12.6.2

Restricciones a la instalacin
de software

Control
Debe obtenerse informacin
oportuna acerca de las
vulnerabilidades tcnicas de
los sistemas de informacin,
debe evaluarse la exposicin
de la organizacin a estas
vulnerabilidades, y deben
tomarse las medidas
apropiadas para abordar el
riesgo asociado.
Control
Deben establecerse e
implantarse reglas relativas a
la instalacin de software por
los usuarios.

A.12.7 Consideraciones de la auditora de sistemas de informacin


Objetivo: Minimizar el impacto de las actividades de auditora en los sistemas operativos.
A.12. 7.1
Controles de auditora de
Control
sistemas de informacin
Los requisitos y las actividades
de auditora que implican la
verificacin de los sistemas
operativos se deben planificar
y acordar cuidadosamente
para minimizar las
interrupciones en los procesos
del negocio.
A.13 Seguridad de las comunicaciones
A.13.1 Gestin de seguridad de la red
Objetivo: Garantizar la proteccin de la informacin en las redes y en sus recursos de
procesamiento de informacin de apoyo.
Control
A.13.1.1
Controles de la red
Deben gestionarse y
controlarse las redes para
proteger la informacin en los
sistemas y las aplicaciones.
A.13.1.2
Control
Los mecanismos de seguridad,
los niveles de servicio y los
requisitos de gestin de todos
los servicios de red deben ser
identificados e incluidos en los
acuerdos de servicios de red,
ya sea que estos servicios

sean prestados en la empresa


o subcontratados.

23

UNIT-ISO/lEC 27001 :2013

A.13.1.3

Segregacin en las redes

Control
Los grupos de servicios de
informacin, los usuarios y los
sistemas de informacin deben
ser segregados en las redes.

A.13.2 Transferencia de informacin


Objetivo: Mantener la seguridad de la informacin transferida dentro de la organizacin y con
cualauier entidad externa.
Control
Polticas y procedimientos de
A.13.2.1
transferencia de informacin
Deben establecerse polticas,
procedimientos y controles
formales de transferencia, para
proteger la transferencia de
informacin a travs del uso de
todo tipo de medios de
comunicacin.
Acuerdos sobre la
A.13.2.2
Control
transferencia de informacin
Los acuerdos deben abordar la
transferencia de informacin
comercial entre la organizacin
y las partes externas.
Mensajera electrnica
A.13.2.3
Control
La informacin involucrada en
la mensajera electrnica se
debe proteger
apropiadamente.
Acuerdos de confidencialidad
A.13.2.4
Control
o no divulgacin
Deben identificarse, revisarse
regularmente y documentarse
los requisitos sobre acuerdos
de confidencialidad o no
divulgacin que reflejan las
necesidades de la
organizacin para la proteccin
de la informacin .
. ! {)

l . .

!(~ ,~::

~::: .. "--==::.::_.~<..__. ' - - - - - - - L - - - - - - - - - - - 1

A.14 Adquisi~in, desarrollo y mantehil:liei:ltp~ los. Sistemas


A.14.1 Requisitos de seguridad dd lps slstemas;de informacin
Objetivo: Garantizar que la seguridaq ~E; la i(jfotm~~iri.:es' una parte integral de los sistemas de
informacin, a travs de todo el ciclo 'q~yida': Esto't8,qioi#n incluye los requisitos para los
sistemas de informacin que proporcidnl' los serviios"a travs de redes pblicas.
An~fi~iS.;.~,~~P,~.~,i~iR.fi~jo~ de los Control
A.14.1.1
reqisit9i?',~~!~~gQ,fCiad 'kle la
Los requisitos relacionados
infdrmacin ~ "' '
con la seguridad de la
informacin se deben incluir en
los requisitos para los nuevos
sistemas de informacin o para
las mejoras a los sistemas de
informacin existentes.

24

UNIT-150/IEC 27001 :2013

A.14.1.2

Servicios de aplicacin de
seguridad en las redes
pblicas

A.14.1.3

Transacciones de proteccin
de los servicios de aplicacin

Control
La informacin implicada en
los servicios de aplicacin que
pasa a travs de las redes
pblicas debe estar protegida
contra la actividad fraudulenta,
la disputa contractual y la
divulgacin y modificacin no
autorizada.
Control
La informacin implicada en
las transacciones de los
servicios de aplicacin debe
estar protegida para prevenir la
transmisin incompleta, la
omisin de envo, la alteracin
no autorizada del mensaje, la
divulgacin no autorizada, la
duplicacin o repeticin no
autorizada del mensaje.

A.14.2 Seguridad en los procesos de desarrollo y soporte


Objetivo: Garantizar que la seguridad de la informacin se ha diseado e implementado en el
ciclo de vida del desarrollo de los sistemas de informacin.
A.14.2.1
Poltica de desarrollo seguro
Control
Deben establecerse y
aplicarse reglas para el
desarrollo de software y
sistemas dentro de la
organizacin.
Control
A.14.2.2
Procedimientos de control de
Los cambios en los sistemas
cambios del sistema
dentro del ciclo de vida de
desarrollo se deben controlar
por el uso de procedimientos
de control de cambios
formales.
Control
A.14.2.3
Cuando las plataformas
operativas cambian, las
aplicaciones crticas del
negocio se deben revisar y
poner a prueba para asegurar
que no hay impacto adverso
en las operaciones o en la
seguridad de la organizacin.

25

UNJT-ISO/lEC 27001 :2013

Control
Debe desalentarse la
realizacin de modificaciones a
los paquetes de software, que
se deben limitar a los cambios
necesarios, y todos los
cambios se deben controlar
estrictamente.
Control
Principios
de
la
ingeniera
de
A.14.2.5
Los principios de la ingeniera
sistemas segura
de sistemas segura deben ser
establecidos, documentados,
mantenidos y aplicados a los
esfuerzos de implementacin
de cualquier sistema de
informacin.
Control
Entorno de desarrollo seguro
A.14.2.6
Las organizaciones deben
establecer y proteger
adecuadamente los entornos
de desarrollo seguro para los
esfuerzos de desarrollo e
integracin de sistemas, que
cubren todo el ciclo de vida de
desarrollo del sistema.
Control
Desarrollo subcontratado
A.14.2.7
La organizacin debe
supervisar y realizar el
seguimiento de las actividades
de desarrollo de sistemas
subcontratadas.
Control
Pruebas de seguridad de
A.14.2.8
Deben llevarse a cabo pruebas
sistemas
de las funcionalidades de
seguridad, durante el
desarrollo.
Control
A.14.2.9
Pruebas de aceptacin de
sistemas, ..
Deben establecerse
programas de pruebas de
aceptacin y los criterios
relacionados para nuevos
sistemas de informacin,
>
actualizaciones
y nuevas
.
versiones.
A.14.3 Datos de~eba
.
. . . . .,. '....,. .. . . . .... . .~:-----:-------------1
Objetivo: Garantizar la proteccin de 'losdatosiufilizads para la prueba.
""'c'=o""n.:ct'ro--:1----------1
ProtecCi6ri de lbs datos de
A.14.3.1
prueba
Los datos de prueba se deben
seleccionar, proteger y
controlar cuidadosamente.

A.14.2.4

Restricciones en los cambios a


los paquetes de software

;': ''-"

' f,r)'!j!i .

.,

', ........ >

26

UNIT-ISO/lEC 27001 :2013

A.15 Relaciones con Jos proveedores


A.15.1 Seguridad de la informacin en las relaciones con Jos proveedores
Objetivo: Garantizar la protecCin de los activos de la organizacin, accesibles por los
proveedores.
A.15.1.1
Poltica de seguridad de la
Control
Los requisitos de seguridad de
informacin. para las
relaciones con los
informacin para la mitigacin
de los riesgos asociados con el
proveedores
acceso del proveedor a los
activos de la organizacin
deben ser acordados con el
proveedor y documentados.
A.15.1.2
Abordar la seguridad dentro de Control
los acuerdos con los
Todos los requisitos
proveedores
pertinentes de seguridad de la
informacin deben ser
establecidos y acordados con
cada proveedor que pueda
acceder, procesar, almacenar,
comunicar o proporcionar
componentes de la
infraestructura de TI para la
informacin de la organizacin.
Control
A.15.1.3
Cadena de suministro de las
tecnologas de la informacin y Los acuerdos con los
proveedores deben incluir
las comunicaciones
requisitos para gestionar los
riesgos de seguridad de la
informacin asociados con la
cadena de suministro de
informacin y de servicios y
productos de tecnologas de
las comunicaciones.

A.15.2 Gestin de la prestacin de servicios del proveedor


Objetivo: Mantener un nivel acordado de s~eguridad,pe la informacin y de la prestacin de
servicios en lnea con los acuerdos con h:is"prveectores.
A.15.2.1
Segd~~~qtpi':yrevisiQJl'<;Je los
Control
serfticibs~~~ IR~~~tovgd9res
Las organizaciones deben

1'~'\""~~ '' 11~

realizar el seguimiento, revisar


\
f\j
;'
y auditar regularmente la
\
>;
,
prestacin de servicios de los
"'
'
proveedores.
r;-~,~:w:.~ ~

~
!'
r
f'~:.>-do.O"'\"'~\

o,J.'j_,.,, ,,:<:

_1J\:>:~ {;~lPIII

,,

w;:I<..U"%.'"ol:.'"'"W.:if,'.>f,<,,I'::,!II."""!!.W.'r>-.:W.!!."'-'O"'""'"

27

UNIT-150/IEC 27001 :2013

A.15.2.2

Gestin de cambios en los


servicios de los proveedores

Objetivo: Garantizar un enfoque coherente y eficaz a la gestin de


informacin, inclu endo fa comunicacin de eventos de se uridad
A.16.1.1
Responsabilidades y
procedimientos

A.16.1.2

Reporte de eventos de
seguridad de la informacin

A.16.1.3

Reporte de las debilidades de


seguridad de fa informacin

A.16.1.4

Eva~~gin"'y
ISiuj'isbre
los ev~ntos de s~gurid~d de la

infopu,~~l$.9 .;"'';"

(lj'

;m

t. . ~ ~.-;:;:,t::::;',.;::;;~;~.);;:;;'!: !'
f,

28

Control
Los cambios en la prestacin
de servicios de los
proveedores, incluyendo el
mantenimiento y mejora de
polticas, procedimientos y
controles existentes de
seguridad de la informacin
deben ser gestionados,
teniendo en cuenta la criticidad
de la informacin, sistemas y
procesos de negocios
involucrados y la reevaluacin
de los riesgos.

incidentes de seguridad de la
debilidades.
Control
Deben establecerse
responsabilidades y
procedimientos de gestin
para asegurar una respuesta
rpida, eficaz y metdica a los
incidentes de seguridad de fa
informacin.
Control
Los eventos de seguridad de la
informacin se deben reportar
a travs de los canales de
gestin apropiados, lo ms
r idamente asible.
Control
Los empleados y contratistas
que utilizan los sistemas y
servicios de informacin de la
organizacin, deben observar
y reportar cualquier debilidad
en la seguridad de sistemas o
servicios, observada o que se
sos eche.
Control
Los eventos de seguridad de la
informacin deben ser
evaluados y se debe decidir si
son clasificados como
incidentes de seguridad de la
informacin.

UN IT-ISO/lEC 27001 :2013

A.16.1.5

Respuesta a incidentes de
seguridad de la informacin

A.16.1.6

Aprender de los incidentes de


seguridad de la informacin

A.16.1.7

Recopilacin de evidencia

Control
Los incidentes de seguridad de
la informacin deben ser
respondidos de acuerdo con
los procedimientos
documentados.
Control
Los conocimientos adquiridos
en el anlisis y la resolucin de
los incidentes de seguridad de
la informacin deben ser
utilizados para reducir la
probabilidad o el impacto de
futuros incidentes.
Control
La organizacin debe definir y
aplicar procedimientos para la
identificacin, recopilacin,
adquisicin y conservacin de
informacin, que puede servir
como evidencia.

A.17 As ectos de se uridad de la informacin en la estin de la continuidad del ne ocio


A.17.1 Continuidad de la se uridad de la informacin
Objetivo: La continuidad de la seguridad de la informacin debe ser incluida en los sistemas de
estin de continuidad del ne ocio de la or anizacin.
Control
A.17.1.1
Planificacin de la continuidad
La organizacin debe
de la seguridad de la
determinar sus requisitos para
informacin
la seguridad de la informacin
y la continuidad de la gestin
de la seguridad de la
informacin en situaciones
adversas, por ejemplo, durante
una crisis o desastre.
Control
Implementacin de la
A.17.1.2
de la,i5,e,gu,ridad de La organizacin debe
ntr.r,.,..,o-:>l"'l"'n
'e~:- -~
establecer, documentar,
implantar y mantener
procesos, procedimientos y
controles para garantizar el
nivel requerido de continuidad
para la seguridad de la
informacin durante una
situacin adversa.

29

UNIT-150/IEC 27001 :2013

A.17.1.3

Verificar, revisar y evaluar la


continuidad de la seguridad de
la informacin

Control
La organizacin debe verificar
los controles establecidos e
implementados de la
continuidad de la seguridad de
la informacin a intervalos
regulares, con el fin de
asegurar que sean vlidas y
efectivas en situaciones
adversas.

A.17.2 Redundancia
Ob"etivo: Garantizar la dis onibilidad de las instalaciones de rocesamiento de informacin.
A.17.2.1
Disponibilidad de las
Control
instalaciones de
Deben implantarse las
instalaciones de
procesamiento de informacin
procesamiento de informacin
con la suficiente redundancia
como para cumplir con los
re uisitos de dis onibilidad.

Identificacin de la legislacin
aplicable y los requisitos
contractuales

A.18.1.2

Derechos de propiedad
intelectual

A.18.1.3

30

Control
Todos los requisitos
legislativos estatutarios,
reglamentarios, contractuales y
el enfoque de la organizacin
para cumplirlos deben ser
explcitamente identificados,
documentados y actualizados
para cada sistema de
informacin y para la
or anizacin.
Control
Deben implantarse
procedimientos apropiados
para asegurar el cumplimiento
de los requisitos legislativos,
reglamentarios y contractuales
relacionados con los derechos
de propiedad intelectual y el
uso de productos de software
atentados.
Control
Los registros se deben
proteger contra prdida,
destruccin, falsificacin,
acceso no autorizado y
divulgacin no autorizada, de
acuerdo con los requisitos
legislativos, reglamentarios,
contractuales de ne ocios.

UNIT -ISO/lEC 27001 :2013

A.18.1.4

Privacidad y proteccin de
datos personales

A.18.1.5

Regulacin de los controles


criptogrficos

Control
Debe asegurarse la privacidad
y la proteccin de los datos
personales, como se exige en
la legislacin y en la
regulacin, segn
corresponda.
Control
Deben utilizarse controles
criptogrficos que cumplan con
todos los acuerdos, leyes y
reglamentos relevantes.

A.18.2 Revisiones de se uridad de la informacin


Objetivo: Garantizar que la seguridad de la informacin sea implementada y que funciona de
acuerdo con las olticas
rocedimientos de la or anizacin.
Control
A.18.2.1
Revisin independiente de
El enfoque de la organizacin
seguridad de la informacin
para gestionar seguridad de la
informacin y su
implementacin (es decir,
objetivos de control, controles,
polticas, procesos y
procedimientos para la
seguridad de la informacin)
deben ser revisados
independientemente a
intervalos planificados o
cuando se produzcan otros
cambios si nificativos.
Control
A.18.2.2
Conformidad con las polticas
Los directivos deben revisar
y las normas de seguridad
regularmente la conformidad
con el procesamiento y los
procedimientos de informacin,
dentro de su rea de
responsabilidad con las
polticas, normas y otros
requisitos de seguridad
adecuados.
Control
Reyi$in'de cqtif:lrmidad
A.18.2.3
Los sistemas de informacin
tcpica
~~ J:~
deben ser revisados
regularmente por su
conformidad con las polticas y
las normas de seguridad de la
informacin de la or anizacin.

.)

r' f

31

UNIT-ISO/IEC 27001:2013

BIBLIOGRAFA
[1]
ISO/lEC 27002:2013, Tecnologa de la informacin- Tcnicas de seguridad- Cdigo de
buenas prcticas para los controles de seguridad de la informacin.
[2]
ISO/lEC 27003, Tecnologa de la informacin- Tcnicas de seguridad- Directrices para
la implantacin de un sistema de gestin de la seguridad de la informacin.
[3]
ISO/lEC 27004, Tecnologa de la informacin seguridad de la informacin - Medicin.
[4]
ISO/lEC 27005, Tecnologa de la informacin riesgo de seguridad de la informacin.
[5]

Tcnicas de seguridad -

Tcnicas de seguridad -

Gestin de la

Gestin del

ISO 31000:2009, Gestin del riesgo- Principios y directrices.

[6]
Directivas ISO/lEC, Parte 1, Suplemento Consolidado de /SO, Procedimientos especficos
de /SO, 2012.

32

UNIT-ISO/lEC 27001 :2013

INFORME CORRESPONDIENTE A LA NORMA UNIT-ISO/IEC 27001:2013


TECNOLOGIA DE LA INFORMACIN
TCNICAS DE SEGURIDAD -SISTEMAS DE GESTIN DE LA
SEGURIDAD DE LA INFORMACIN - REQUISITOS
1 - INTRODUCCION

La gestin eficaz de la seguridad de los sistemas de informacin es un aspecto primordial para


salvaguardar a las organizaciones de los riesgos e inseguridades procedentes de una amplia
variedad de fuentes que pueden daar de forma importante sus sistemas de informacin.
La Organizacin Internacional de Normalizacin (ISO) y la Comisin Electrotcnica Internacional
(lEC), de las cuales UNIT es miembro, han desarrollado una serie de normas internacionales de
amplsima difusin a nivel mundial al respecto a esta problemtica.
Se entendi oportuno considerar la adopcin como normas tcnicas nacionales de estas
mencionadas normas internacionales y para ello se constituy en nuestro Instituto un Comit
Tcnico Especializado para la elaboracin de Normas Tcnicas UNIT sobre Seguridad de la
Informacin.
Esta Norma especifica los requisitos para establecer, implantar, operar, hacer el seguimiento,
revisar, mantener y mejorar sistemas de gestin de seguridad de la informacin (SGSI)
formalizados dentro del contexto del riesgo de negocio general de la organizacin. Especifica los
requisitos para la implantacin de controles de seguridad de la informacin adaptados a las
necesidades de cada una de las organizaciones o parte de ellas. Esta Norma puede ser utilizada
por todo tipo de organizacin, independientemente del tipo, tamao o naturaleza.
2 - COMIT ESPECIALIZADO

A los efectos de integrar dicho Comit Especializado se solicitaron delegados a: Ministerio de


Defensa Nacional, Ministerio de Desarrollo Social, Cmara Uruguaya de Tecnologa Informtica
(CUTI), URSEC, Facultad de Ingeniera - Universidad de la Repblica, Asociacin de Bancos del
Uruguay, Asociacin de Ingenieros del Uruguay, ISACA Captulo Montevideo, ISSA Captulo
Uruguay, BPS, ANTEL, UTE, ANCAP, IMM, LATU, IBM del Uruguay, Microsoft Uruguay S.A.,
Banco Central del Uruguay, BROU, Banco Hipotecario del Uruguay, Comisin Local de
Aseguradores, BSE y Citybank National Association Sucursal Uruguay
3-ANTECEDENTES
.p:';'''''''""'~'':'"J.;.;:.o,......, . ,

Para la elabo~acin de la presente norr.~~:~I>Co'riit,~~~eecializado tuvo en cuenta los siguientes


" , -~;.. \
antecedentes.
/ it~)
i . ::;
'1\ ') \
Organizacic?~:Jnt~
,iBflal d~J ~ormalizacin
ISO/lEC 27001:2013 lnforma~ion teclip'?).P9Y
t.~btiniques- lnformation security
l'i i i);f,m ,;) )
management systems - ReqUirements\ ':s~
\\ 4')<{t:i Al
4':CONSJDER doNES

sf&uilY

! ;~::.::~: ~,~~)~:\~, ~~5,~~

Esta norma corresponde ntegramentJ.cd~:~I:6Ff6~~]~ter~acionaiiSO/IEC 27001:2013.


Esta norma anula y sustituye a la Norma UNIT-ISO/IEC 27001:2005.
En esta Norma UNIT-ISO/IEC no se han introducido modificaciones al texto original de la norma
internacional referida.
El proyecto correspondiente a esta norma fue aprobado el 03 de octubre de 2013 por el Comit
Especializado y el 1O de octubre de 2013 por el Comit General.

33

INSTITUTO URUGUAYO

I!I~J

INSTITUTO URUGUAYO DE NORMAS TCNICAS

ll

Ms de 70 aos dedicados a la promocin y el mejoramiento


de la calidad en beneficio de la comunidad

DE NORMAS TECNICAS

NORMALIZACIN
Realizada a nivel nacional mediante comits especializados, integrados por representantes de todos los sectores
involucrados, que dan respuesta a solicitudes formuladas por instituciones oficiales y/o empresas privadas,
referentes a los requisitos tcnicos que deben cumplir determinados productos, a los mtodos de ensayo que se
deben utilizar en su medicin, elementos de seguridad, etc.
Las normas UNIT encaran temas tan diversos como: Gestin de la Calidad, Gestin Ambiental, Materiales de
Construccin, Electrotecnia, Seguridad y Salud Ocupacional, Productos Alimenticios, Textiles, Dibujos, Fertilizantes,
Cueros, Metales, Sanitaria, Pinturas, Material de Lucha contra Incendios, Recipientes para Gases, Maderas,
Papeles, etc.
Muchas de ellas han sido declaradas de cumplimiento obligatorio por el Poder Ejecutivo y diversas Intendencias
Municipales.
A nivel internacional se participa en la elaboracin de normas ISO, lEC, COPANTy MERCOSUR.

CAPACITACIN
Fue UNIT quien inici en Uruguay la capacitacin en Calidad (1971 ), as como en otras areas de gestin.
Los ms de 120 cursos diferentes en reas relacionadas que dicta pueden ser realizados en forma independiente,
an cuando han sido estructurados en forma de los siguientes Diplomas:
Especialista y Tcnico en Gestin de la Calidad UNITISO 9000; Especialista en Gestin Ambiental
UNIT-ISO 14000; Especialista UNIT en Gestin de la Seguridad y Salud Ocupacional UNIT 18000 y
Especialista UNIT en Recursos Humanos para Sistemas de Gestin.
A quienes obtengan estos 4 Diplomas de Especialista se les otorga adems el Diploma Superior en Sistemas
UNIT de Gestin.
Otros diplomas que integran el programa de Capacitacin son:
Especialista UNIT en Logstica Empresarial e Internacional; Especialista UNIT en Gestin Forestal Sostenible;
Especialista UNIT en Gestin de la Seguridad en la Informacin; Especialista UNIT en Gestin de la Energa;
Especialista UN/Ten Gestin de los Servicios de Tecnologa de la Informacin (UNITISO/IEC 20000)
Especialista UN/Ten Gestin de la Calidad en los Laboratorios de Anlisis y Ensayo (UNIT-ISO/IEC 17025)
Especialista UNIT en Gestin de la Calidad en los Laboratorios de Anlisis Clnicos (UNIT-ISO 15189)
Especialista UNIT en Gestin de la Calidad en Servicios de Salud; Especialista UNIT en Inocuidad
Alimentaria; Supervisor en Gestin de la Calidad UNITISO 9000 y Formacin en Proteccin contra Incendios
DNB-UNIT. Quienes obtengan el ttulo de Especialista o Tcnico, estarn en condiciones de conducir la
implantacin de los respectivos sistemas, en tanto los que reciban el ttulo de Supervisor en Gestin de Calidad
estarn en condiciones de cooperar con los Especialistas en esa tarea.
Se dictan, adems, cursos para la Formacin de Auditores de Calidad y SYSO, Alta Gerencia y de aplicacin de
las normas para Sistemas de Gestin en reas especficas (Educacin, Salud, Construccin, Agropecuaria, etc.)
as como cursos complementarios en las temticas de Software, Turismo, Gestin ambiental, Laboratorios,
Inocuidad alimentaria, Gestin empresarial e Interaccin con el cliente, adems de cursos Tcnicos y para
Operarios. Se destaca que cualquiera de stos cursos pueden dictarse in situ en las empresas.
A travs de UNIT se tiene la posibilidad de participar en diversos seminarios y simposios en el exterior.

CERTIFICACIN DE PRODUCTQS;;y~SERVICIOS

Mediante la Marca de Conformidad con N9fir;t~Y 9;Etifi<::~~i~Bd~ Productos y Servicios, los que UNIT evala
durante la elaboracin en fbrica o en su ..r~liz@iq~'y c;lqrante sl comercializacin, certificando cuando
corresponde que un producto o servicio quQjplE:lri',fpJrtla'perm@,n~nte con una norma UNIT.
Se otorga a extintores, recarga de extint6r~s; c~le,Bla~i'e$ de,aga, envases para gases, equipos de proteccin
personal, material sanitario, material elqtrico, materiales dec;or;~struccin,etc.

CERTIFICACIN DE SISTEMAS E 'ESTIN


Realizada por expertos calificados por la Asciciacin de Norm'ali2;acin y Certificacin (AENOR). UNIT fue quien
puso en funcionamiento en Uruguay loslpfi.f.\Wi~~t~~~y~'ti'\i;\_p~ra la Certificacin de Sistemas de la Calidad,
Sistemas de Gestin Ambiental y Sistemas de,Gestirtdila S~guridad y la Salud Ocupacional, desarrollados
segn las normas UNIT-ISO 9000, UNIT-I'S0140b'tfyNIT (OHSAS) 18000, siendo tambin quin certific a las
primeras empresas uruguayas en cumplir las respectivas normas.

INFORMACIN ESPECIALIZADA
Mediante una biblioteca a disposicin del pblico con ms de 350.000 normas y especificaciones internacionales
Yex~ra~jeras, que el exportador debe conocer cuando desea vender sus productos en diferentes mercados y que
son tnd1spensables como antecedentes para la elaboracin de las normas nacionales.
-------- --- ---- --- ---- -- --- __ ___ ---- ----------~-

.,

(' OHSAS :::::::.,,,.,


~!.~~' ~.: ~.,,.r..cN~:~.- ~-- -n;,;
:-.',~. ,'.-" '.-0c, ;.-..~,- m;.~.~~~N;,.,\J
A.~<fS.<MH'IT'S!'A111!;
~
~
\

"'=.'/

--

------------..------..-----------.. ---. -----------.. ----..----....... ..........

()>;N<JRMN.A<:><>o

'

"'

"' "'

PZA. INDEPENDENCIA 812- P2 .. MoNTEVIDEo- uRuGuAv


..... fiFioHisD.A.-LA REPRaocclN rorA.-co-fi:Aii'ciAL s.A.Lvo.....
TP: 2901 2048' - TF: 2902 1681 - E-mail:unit-iso@unitorg.uy-www.unitorg.uy
POR AUTORIZACIN ESCRITA DE ESTE INSTITUTO

S-ar putea să vă placă și