Home
Login
Register
Search
Home
Iso 27001 Español
Iso 27001 Español
March 22, 2018 | Author: Chia Camacho H | Category:
International Organization For Standardization
,
Information Security
,
International Electrotechnical Commission
,
Planning
,
Safety
DOWNLOAD
Share
Report this link
Comments
Description
INTERNACIONAL ISO / IECESTÁNDAR 27001 Segunda edicion 01/10/2013 Tecnología de la información - Técnicas de seguridad - Sistemas de gestión de seguridad de la información - Requisitos Tecnologías de la información - Técnicas de sécurité gestión Systèmes de de la sécurité de l'information – exigences Número de referencia ISO / IEC 27001: 2013 (E) © ISO / IEC 2013 ISO / IEC 27001: 2013 (E) DERECHOS DE AUTOR DOCUMENTO PROTEGIDO© ISO / IEC 2013Todos los derechos reservados. A menos que se especifique lo contrario, ninguna parte de esta publicación puede ser reproducida o utilizada de otro modo, en cualquier forma o por cualquier medio, electrónico o mecánico, incluyendo fotocopia, o publicar en Internet o una intranet, sin el permiso previo y por escrito. El permiso se puede solicitar desde cualquier ISO en la dirección abajo o organismo miembro de ISO en el país del olicitante.La oficina de derechos de autor ISOCase postale 56 • CH-1211 Ginebra 20Tel. + 41 22 749 01 11 Fax + 41 22 749 09 47Email
[email protected]
www.iso.orgPublicado en Suiza ii © ISO / IEC 2013 - Todos los derechos reservados © ISO / IEC 2013 - Todos los derechos reservados ISO / IEC 27001: 2013 (E) ISO / IEC 27001: 2013 (E) Contenido Página Prefacio ........................................................................................................................................................ ................................................................................ iv 0 Introducción .............................................................................................................................................. ............. ....... ....................................................... v 1 Alcance......................................................................................................................................................... ................................. .............................................. 1 2 Referencias normativas ..................................................................................................................................... ........................................... 1 3 Condiciones y definiciones ................................................................................................................................... .................1 4 4.3 4.4 Contexto de la organización .................................................................................................................................. ..................................... 1 4.2La comprensión de la organización y su contexto............ ....... ....... ....... ........................................................................ 1 4,2La comprensión de las necesidades y expectativas de las partes interesadas.......................................... 1 Determinar el alcance del sistema de gestión de seguridad de información .................................. 1 Sistema de gestión de la seguridad de la información ........................................................................................ 2 5 Liderazgo......................................................................................................................................... ................................................ ............................ 2 5.1 Liderazgo y compromiso.................................................................................................................... ...... . .................................... 2 5.2 Política ................................................................................................................................... ....................................................................... 2 5.3 Funciones de organización, Responsabilidades y autoridades..................................... ........................................ 3 6 Planificación .................................................................................................................................. ..................................................... ...................... 3 6.1 Acciones para hacer frente a los riesgos y oportunidades ................................................................................. 3 6.2 Los objetivos de seguridad de la información y la planificación para alcanzarlos..... ................. 5 © ISO / IEC 2013 - Todos los derechos reservados 3 .................................................................................................................................................................... 6 7................................................................ medición.................. ......................................... ................ ...... 5 7.......................... 5 7.................................................................................... 7 8...................................................... .......................................... ........ .....7 Apoyo .................................................................................................... ...... ................... 7 8...... 5 7....... 9 10.................... ............................................................................................................................................ 9 Anexo A objetivos y controles (normativo) referencia.............................................. 7 8...............................................................................................................................................................................................1 Monitoreo... 8 10 Mejora............................................................................... 7 9 Evaluación de rendimiento.............................. ....................2 Mejora continua ........................................................................................... ..................... ......... .................. 6 8 Operación ......................................................................................... ............................................................................ ................. .... 5 7................................................................................... ..... ............................................ ................................................................................1 No conformidad y acciones correctivas..........................................................................3 Revisión por la dirección............................2 Competencia ............ ................ .......... ..................................1 Recursos.................................................................................. análisis y evaluación................................................... 10 de control de Bibliografía...........................4 Comunicación ......... 9 10................................1 Planificación y control operacional ....... 8 9....................................................................................................................................................................................................................................................................................................................................................................................................................3 Información sobre el tratamiento de riesgos de seguridad ............................ ................................................. ........... ......... .............................................. ..............................2 Evaluación de riesgos de seguridad de información.................................................................3 Conciencia ..................................................................................................... 7 9...................................................................... 7 9................................................ 23 ........................................... ............................................................................2 Auditoría interna........... ....................5 Información documentada ....... ......... Subcomité SC 27. ISO / IEC JTC 1. que ha sido revisada técnicamente.Todos los derechos reservados 5 . En el campo de la tecnología de la información. Los organismos nacionales que son miembros de ISO e IEC participan en el desarrollo de las Normas Internacionales a través de comités técnicos establecidos por la organización respectiva para hacer frente a campos particulares de la actividad técnica. ISO e IEC no se hace responsable por la identificación de cualquiera o todos los derechos de patente.ISO / IEC 27001: 2013 (E) iii ISO / IEC 27001: 2013 (E) Prefacio ISO (Organización Internacional de Normalización) e IEC (Comisión Electrotécnica Internacional) forman el sistema especializado para la normalización en todo el mundo. en coordinación con ISO e IEC. ISO e IEC han establecido un comité técnico conjunto. gubernamentales y no gubernamentales. Las Normas Internacionales se redactan de acuerdo con las reglas establecidas en las Directivas ISO / IEC. Tecnología de la información. Proyectos de Normas Internacionales adoptados por el comité técnico conjunto se circulan a los organismos nacionales para votación. La principal tarea de la comisión técnica conjunta es preparar Normas Internacionales. ISO / IEC 27001 fue preparada por el Comité Técnico Conjunto ISO / IEC JTC 1. Esta segunda edición anula y sustituye a la primera edición (ISO / IEC 27001: 2005). © ISO / IEC 2013 . Se llama la atención la posibilidad de que algunos de los elementos de este documento puedan estar sujetos a derechos de patente. La publicación como Norma Internacional requiere la aprobación por al menos el 75% de los organismos nacionales con derecho a voto. Comités técnicos de ISO e IEC colaboran en campos de interés mutuo. Otras organizaciones internacionales. también participan en el trabajo. Técnicas de seguridad de TI. Parte 2. mantener y mejorar continuamente un sistema de gestión de seguridad de la información. ISO / IEC 27004 [3] E ISO / IEC 27005 [4]). implementar. texto idéntico.2 Compatibilidad con otras normas de sistemas de gestión Esta norma se aplica la estructura de alto nivel. ISO / IEC 27000 describe la visión de conjunto y el vocabulario de los sistemas de gestión de seguridad de la información. Todos estos factores influyen en se espera que cambie con el tiempo. Suplemento Consolidado ISO. términos comunes y definiciones básicas definidas en el anexo SL de las Directivas ISO / IEC. El orden en que los requisitos se presentan en esta norma internacional no refleja su importancia o implican el orden en el que se llevarán a cabo. Los elementos de la lista se enumeran sólo a título de referencia. 0. Se espera que una implementación de sistema de gestión de seguridad de la información se puede escalar de acuerdo con las necesidades de la organización. sistemas de información y los controles. Este enfoque común definido en el anexo SL será útil para aquellas organizaciones que optan por operar un único sistema de gestión que cumple los requisitos de dos o más normas de sistemas de gestión. La adopción de un sistema de gestión de seguridad de la información es una decisión estratégica para una organización.1 General Esta Norma Internacional se ha preparado para proporcionar los requisitos para establecer. los procesos organizativos utilizados y el tamaño y la estructura de la organización. Esta Norma Internacional pueden utilizarla partes internas y externas para evaluar la capacidad de la organización para cumplir los requisitos de seguridad de la información propios de la organización. Con términos y definiciones relacionados.iv © ISO / IEC 2013 . Es importante que el sistema de gestión de seguridad de la información es parte de e integrado con los procesos de la organización y estructura de gestión global y que la seguridad informática es considerado en el diseño de procesos.Todos los derechos reservados ISO / IEC 27001: 2013 (E) 0 Introducción 0. Parte 1. El establecimiento y la aplicación de la información del sistema de gestión de seguridad de una organización están influenciados por las necesidades de la organización y los objetivos. y por lo tanto mantiene la compatibilidad con otros sistemas de gestión normas que han adoptado el Anexo SL. requisitos de seguridad. los títulos sub-cláusulas idénticas. haciendo referencia a la familia de sistemas de gestión de seguridad de la información de las normas (incluyendo la norma ISO / IEC 27003 [2]. integridad y disponibilidad de la información mediante la aplicación de un proceso de gestión de riesgos y da confianza a las partes interesadas de que los riesgos se gestionan adecuadamente. El sistema de gestión de seguridad de la información preserva la confidencialidad. . sin importar su tipo.Técnicas de seguridad .1 (continuado) ESTÁNDAR INTERNACIONAL ISO / IEC 27001: 2013 (E) Tecnología de la información .Técnicas de seguridad .Información general y vocabulario 3 Condiciones y definiciones A los efectos de este documento. mantener y mejorar continuamente un sistema de gestión de seguridad de la información en el contexto de la organización. Tecnología de la información .ISO / IEC 27001: 2013 (E) Tabla A. tamaño o naturaleza.Sistemas de gestión de seguridad de la información . sólo se aplica la edición citada. Excluyendo cualquiera de los requisitos especificados enCláusulas 4 a 10 no es aceptable cuando una organización reclama la conformidad con esta Norma Internacional. están normativamente referencia en este documento y son indispensables para su aplicación. Para las referencias con fecha.Requisitos 1Alcance Esta norma internacional especifica los requisitos para establecer. © ISO / IEC 2013 . 4Contexto de la organización 4.Todos los derechos reservados 7 . ISO / IEC 27000. Esta norma también incluye requisitos para la evaluación y el tratamiento de los riesgos de seguridad de la información a la medida de las necesidades de la organización. en su totalidad o en parte. 2Referencias normativas Los siguientes documentos.1 La comprensión de la organización y su contexto La organización debe determinar los problemas externos e internos que son relevantes para su propósito y que afecta a su capacidad para lograr el resultado deseado (s) de su sistema de gestión de seguridad de la información.Sistemas de gestión de seguridad de la información . Para las referencias sin fecha se aplica la última edición del documento de referencia (incluyendo cualquier modificación). se aplican los términos y definiciones dados en la Norma ISO / IEC 27000. implementar. Los requisitos establecidos en esta Norma Internacional son genéricos y se pretende que sean aplicables a todas las organizaciones. b) los requisitos contemplados en el 4. b) garantizar la integración de los requisitos del sistema de gestión de seguridad de la información en los procesos de la organización. y b) los requisitos de estas partes interesadas pertinentes a la seguridad de la información. la organización debe considerar: a) los problemas internos y externos que se refiere el4. 4. de conformidad con los requisitos de esta norma internacional. 5Liderazgo 5. mantener y mejorar continuamente un sistema de gestión de seguridad de la información. y c) interfaces y dependencias entre las actividades realizadas por la organización. c) asegurar que los recursos necesarios para el sistema de gestión de seguridad de la información están disponibles. NOTA Los requisitos de las partes interesadas pueden incluir requisitos legales y reglamentarios y obligaciones contractuales. 4.Todos los derechos reservados . 4.3 determinar el alcance del sistema de gestión de seguridad de información La organización debe determinar los límites y aplicabilidad del sistema de gestión de seguridad de la información para establecer su ámbito de aplicación. implementar.2.4 sistema de gestión de seguridad de información La organización debe establecer. El alcance deberá estar disponible como información documentada.3 de la norma ISO 31000: 2009 [5].ISO / IEC 27001: 2013 (E) NOTA La determinación de estos temas se refiere a establecer el contexto externo e interno de la organización considerada en la cláusula 5.1. y los que se llevan a cabo por otras organizaciones. 8 © ISO / IEC 2013 . Cuando la determinación de este ámbito.1 Liderazgo y compromiso La alta dirección debe demostrar su liderazgo y compromiso con respecto a la información del sistema de gestión de la seguridad a través de: a) velar por la política de seguridad de la información y los objetivos de seguridad de la información están establecidos y son compatibles con la dirección estratégica de la organización.2 La comprensión de las necesidades y expectativas de las partes interesadas La organización debe determinar: a) las partes interesadas que son relevantes para el sistema de gestión de seguridad de la información. responsabilidades y autoridades La alta dirección debe asegurarse de que las responsabilidades y autoridades para las funciones relacionadas con la seguridad informática son asignados y comunicados. e) asegurando que el sistema de gestión de seguridad de la información alcanza su resultado previsto (s). La política de seguridad de la información deberá: e) estará disponible como información documentada. según corresponda.ISO / IEC 27001: 2013 (E) Tabla A. y d) incluye un compromiso de mejora continua del sistema de gestión de seguridad de la información. © ISO / IEC 2013 . f) ser comunicada dentro de la organización. b) incluye los objetivos de seguridad de la información (ver 6. c) incluye un compromiso de cumplir con los requisitos aplicables en materia de seguridad de la información.Todos los derechos reservados 9 . g) promover la mejora continua. NOTA La alta dirección también puede asignar responsabilidades y autoridades para reportar el desempeño del sistema de gestión de seguridad de la información dentro de la organización.1 (continuado) d) comunicar la importancia de una gestión eficaz de seguridad de la información y de ajustarse a los requisitos del sistema de gestión de seguridad de la información.2) O proporciona el marco para establecer los objetivos de seguridad de la información. y g) estar a disposición de las partes interesadas.3 Funciones de organización. f) dirigir y apoyar a las personas para contribuir a la eficacia del sistema de gestión de seguridad de la información. 5. y h) el apoyo a otras funciones de gestión pertinentes para demostrar su liderazgo. 5. ya que se aplica a sus áreas de responsabilidad. La alta dirección debe asignar la responsabilidad y autoridad para: a) asegurando que el sistema de gestión de seguridad de la información se ajusta a los requisitos de esta norma internacional.2 Política La alta dirección debe establecer una política de seguridad de la información que: a) es adecuada al propósito de la organización. y b) informar sobre el desempeño del sistema de gestión de seguridad de la información a la alta dirección. ISO / IEC 27001: 2013 (E) 6 Planificación 6.2 c) 1) fueron a materializarse. válidos y comparables.1 Acciones para hacer frente a los riesgos y oportunidades 6. y e) cómo 1) integrar e implementar las acciones en sus procesos del sistema de gestión de seguridad de la información. d) analiza los riesgos de seguridad de la información: 1) evaluar las posibles consecuencias que se derivarían si los riesgos identificados en 6. y 2) evaluar la eficacia de estas acciones.1.2 Evaluación de riesgos de seguridad de información La organización debe definir y aplicar un proceso de riesgo seguridad de la información de evaluación que: a) establece y mantiene los criterios de riesgo de seguridad de información que incluyen: 1) los criterios de aceptación de riesgos. 10 © ISO / IEC 2013 .Todos los derechos reservados . y 2) identificar a los propietarios de los riesgos.1.2 y determinar los riesgos y oportunidades que deben ser dirigidos a: a) asegurar que el sistema de gestión de seguridad de la información puede lograr su resultado previsto (s). c) identifica los riesgos de seguridad de la información: 1) aplicar el proceso de evaluación de riesgos de seguridad de información para identificar los riesgos asociados a la pérdida de confidencialidad.1. 6. y 2) criterios para la realización de las evaluaciones de riesgos de seguridad de la información.1 General Cuando la planificación para el sistema de gestión de seguridad de la información. b) prevenir o reducir los efectos no deseados. La organización debe planificar: d) acciones para abordar estos riesgos y oportunidades. integridad y disponibilidad de la información en el ámbito del sistema de gestión de seguridad de la información. b) asegura que las evaluaciones de riesgos de seguridad de información repetidos producen resultados consistentes.1 y los requisitos indicados en el 4. la organización debe considerar las cuestiones mencionadas en el4. y c) lograr la mejora continua. y de los riesgos 3) determinar los niveles de riesgo. e) evalúa los riesgos de seguridad de la información: 1) comparar los resultados de análisis de riesgos con los criterios de riesgo establecidos en 6.ISO / IEC 27001: 2013 (E) Tabla A. y la justificación de las exclusiones de los controles de Anexo A. La organización debe retener la información documentada sobre el proceso de evaluación de riesgos de seguridad de la información. Los objetivos de control y controles enumerados en el Anexo A no son exhaustivas y pueden ser necesarios objetivos de control y controles adicionales. 6.2 la). o identificarlos de cualquier fuente.Todos los derechos reservados 11 .3 b) yc)) y la justificación de las inclusiones.3 Información sobre el tratamiento de riesgos de seguridad La organización debe definir y aplicar un proceso de tratamiento de riesgos de seguridad de la información: a) seleccione la información apropiada opciones de tratamiento de riesgos de seguridad. si se implementan o no. Los usuarios de esta norma internacional se dirigen a Anexo A para asegurarse de que no hay controles necesarios se pasan por alto. NOTA 2 objetivos de control están implícitamente incluidos en los controles seleccionados.2 c) 1).1.3 b) anterior con los de Anexo A y verifique que no hay controles necesarios se han omitido.1. e) formular un plan de información sobre el tratamiento de riesgos de seguridad. NOTA 1 Anexo A contiene una lista completa de los objetivos de control y controles. c) comparar los controles determinados en 6. y 2) priorizar los riesgos analizados para el tratamiento del riesgo.1 (continuado) 2) evaluar la probabilidad realista de la ocurrencia identificados en 6.1. y f) obtener la aprobación del plan de tratamiento de riesgos de seguridad de la información y la aceptación de los riesgos de seguridad de la información residuales propietarios de riesgo '.1.1. b) determinar todos los controles que sean necesarios para poner en práctica la opción (s) de tratamiento de riesgos de seguridad de información elegido. NOTA Las organizaciones pueden diseñar controles según sea necesario. © ISO / IEC 2013 . d) producir una Declaración de aplicabilidad que contiene los controles necesarios (ver 6. La organización debe retener la información documentada sobre el proceso de tratamiento de riesgos de seguridad de la información. teniendo en cuenta los resultados de la evaluación de riesgos. la organización debe determinar: f) lo que se hará. i) cuando se completará. c) tener en cuenta los requisitos de seguridad de la información aplicables y los resultados de la evaluación del riesgo y el tratamiento del riesgo. implementación. La organización debe retener la información documentada sobre los objetivos de seguridad de la información.2 Los objetivos de seguridad de la información y la planificación para alcanzarlos La organización debe establecer los objetivos de seguridad de información en las funciones y niveles pertinentes.ISO / IEC 27001: 2013 (E) NOTA La evaluación del riesgo de seguridad de la información y el proceso de tratamiento en esta norma internacional se alinea con los principios y directrices genéricas previstas en la norma ISO 31000[5]. 7 Apoyo 7. 6. g) qué recursos serán necesarios. 12 © ISO / IEC 2013 . h) que será responsable.Todos los derechos reservados .2 Competencia La organización deberá: a) determinar la competencia necesaria de la persona (s) que hace el trabajo bajo su control que afecta su desempeño seguridad de la información. Al planificar cómo alcanzar sus objetivos de seguridad de la información. y e) se actualizará según corresponda.1 Recursos La organización debe determinar y proporcionar los recursos necesarios para el establecimiento. b) ser medibles (si es posible). 7. mantenimiento y mejora continua del sistema de gestión de seguridad de la información. y j) cómo se evaluarán los resultados. d) ser comunicada. Los objetivos de seguridad de información deberá: a) ser coherente con la política de seguridad de la información. la formación o la experiencia. b) garantizar que estas personas son competentes en la base en la educación. o la contratación o contratación de personas competentes. 7.5 Información documentada 7.1 (continuado) c) en su caso. 7. b) cuando para comunicarse. 7. b) su contribución a la eficacia del sistema de gestión de seguridad de la información. y b) información documentada determinado por la organización como necesarios para la eficacia del sistema de gestión de seguridad de la información.4 Comunicación La organización debe determinar la necesidad de las comunicaciones internas y externas relevantes para el sistema de gestión de seguridad de la información.3 Conciencia Las personas que hacen el trabajo bajo el control de la organización debe tener en cuenta: a) la política de seguridad de la información.ISO / IEC 27001: 2013 (E) Tabla A. y evaluar la eficacia de las acciones tomadas.1 General Sistema de gestión de seguridad de la información de la organización debe incluir: a) información documentada requerida por esta Norma Internacional. y c) las consecuencias de que no se ajusten a los requisitos del sistema de gestión de seguridad de la información.5. NOTA El alcance de la información documentada para un sistema de gestión de seguridad de la información puede diferir de una organización a otra debido a: © ISO / IEC 2013 . NOTA acciones aplicables pueden incluir. y e) los procesos por los cuales se efectuará la comunicación.Todos los derechos reservados 13 . c) con quien comunicarse. d) quien comunicará. incluyendo los beneficios de rendimiento de seguridad mejorada de la información. incluyendo: a) sobre lo que debe comunicarse. tomar acciones para adquirir la competencia necesaria. y d) retener información documentada apropiada como evidencia de la competencia. o la reasignación de los empleados actuales. por ejemplo: la oferta de formación a la tutoría. 2 Creación y actualización Cuando la creación y actualización de la información documentada de la organización debe asegurarse de su caso: a) identificación y descripción (por ejemplo. o el número de referencia). e) el control de cambios (por ejemplo. de la pérdida de confidencialidad. NOTA El acceso implica una decisión sobre el permiso para ver sólo la información documentada. Para el control de la información documentada.5. 14 © ISO / IEC 2013 . d) almacenamiento y conservación.3 Control de la información documentada Información documentada requerida por el sistema de gestión de seguridad de la información y por esta norma internacional se deben controlar para asegurar: a) está disponible y adecuado para su uso. etc. o el permiso y la autoridad para ver y cambiar la información documentada. según corresponda: c) distribución. y b) que está protegido de manera adecuada (por ejemplo.5. y 3) la competencia de las personas. acceso. que la organización determina que son necesarios para la planificación y operación del sistema de gestión de seguridad de la información. productos y servicios.Todos los derechos reservados . incluyendo la preservación de legibilidad. Información documentada de origen externo. la versión de software. la organización debe responder a las siguientes actividades.ISO / IEC 27001: 2013 (E) 1) el tamaño de la organización y de su tipo de actividades. y controlado. 7. gráficos) y medios de comunicación (por ejemplo. papel. se identificó en su caso. b) formato (por ejemplo. recuperación y uso. el idioma. 7. control de versiones). y c) revisión y aprobación de idoneidad y adecuación. y f) retención y la disposición. autor. fecha. un título. donde y cuando sea necesario. procesos. 2) la complejidad de los procesos y sus interacciones. electrónico). uso indebido o pérdida de integridad). medición. medición. análisis y evaluación La organización debe evaluar el desempeño de seguridad de la información y la eficacia del sistema de gestión de seguridad de la información.1. NOTA Los métodos seleccionados deben producir resultados comparables y reproducibles para ser considerado válido. La organización debe asegurarse de que los procesos externalizados se determinan y controlan. incluidos los procesos y controles de seguridad de la información.1. La organización debe mantener la información documentada en la medida necesaria para tener confianza en que los procesos se han llevado a cabo según lo previsto. © ISO / IEC 2013 .2 Evaluación de riesgos de seguridad de información La organización debe llevar a cabo las evaluaciones de riesgos de seguridad de la información a intervalos planificados o cuando se propone o se producen cambios significativos. La organización debe determinar: a) lo que necesita ser monitoreado y medido. la adopción de medidas para mitigar los efectos adversos. La organización debe aplicar también planes para lograr los objetivos de seguridad de información determinadas en 6. La organización debe retener la información documentada de los resultados de las evaluaciones de riesgos de seguridad de la información. ejecutar y controlar los procesos necesarios para cumplir los requisitos de seguridad de la información. y para poner en práctica las acciones determinadas en 6. según corresponda.3 Información sobre el tratamiento de riesgos de seguridad La organización debe poner en práctica el plan de tratamiento de riesgos de seguridad de la información.2. La organización debe controlar los cambios planificados y revisar las consecuencias de los cambios no deseados. b) los métodos de seguimiento.Todos los derechos reservados 15 . según sea necesario. 8.ISO / IEC 27001: 2013 (E) Tabla A.1 (continuado) 8 Operación 8. teniendo en cuenta los criterios establecidos en 6. para asegurar resultados válidos.2 la). 9Evaluación de rendimiento 9. La organización debe retener la información documentada de los resultados del tratamiento de riesgos de seguridad de la información. 8.1 Monitoreo. análisis y evaluación.1 Planificación y control operacional La organización debe planificar. d) quien deberá supervisar y medir.3 Revisión por la dirección La alta dirección debe revisar el sistema de gestión de seguridad de la información de la organización a intervalos planificados para asegurarse de su conveniencia. métodos. implementar y mantener un programa (s) de auditoría. incluyendo la frecuencia.Todos los derechos reservados . d) definir los criterios de auditoría y el alcance de cada auditoría. adecuación y eficacia. y f) quien deberá analizar y evaluar los resultados. y g) retener información documentada como prueba del programa (s) de auditoría y los resultados de la auditoría. 9.2 Auditoría interna La organización debe realizar auditorías internas a intervalos planificados para proporcionar información sobre si el sistema de gestión de seguridad de la información: a) De acuerdo a 1) propios requisitos de la organización de su sistema de gestión de seguridad de la información. e) seleccione los auditores y realizar auditorías que garanticen la objetividad y la imparcialidad del proceso de auditoría. responsabilidades. La revisión por la dirección debe incluir la consideración de: a) el estado de las acciones de las revisiones por la dirección previas. establecer.ISO / IEC 27001: 2013 (E) c) cuando se llevarán a cabo el seguimiento y medición. La organización deberá: c) plan. e) cuando se analizan y evalúan los resultados del seguimiento y medición. b) cambios en las cuestiones externas e internas que son relevantes para el sistema de gestión de seguridad de la información. 16 © ISO / IEC 2013 . b) se implementa y mantiene de manera eficaz. La organización conservará información documentada apropiada como evidencia de los resultados del monitoreo y medición. f) asegurar que los resultados de las auditorías se reportan a la administración pertinente. y 2) los requisitos de esta norma internacional. requisitos de planificación y presentación de informes. 9. El programa (s) de auditoría deberá tener en cuenta la importancia de los procesos de que se trate y los resultados de auditorías anteriores. 2) determinar las causas de la no conformidad. si es necesario. b) evaluar la necesidad de adoptar medidas para eliminar las causas de no conformidad. y 4) cumplimiento de los objetivos de seguridad de la información. o potencialmente podrían ocurrir. y f) oportunidades para la mejora continua.1 (continuado) c) retroalimentación sobre el desempeño información. y e) realizar cambios en el sistema de gestión de seguridad de la información.Todos los derechos reservados 17 .1 No conformidad y acciones correctivas Cuando se produce una no conformidad. 2) seguimiento y medición resultados. 10 Mejora 10. e) resultados de la evaluación del riesgo y el estado del plan de tratamiento de riesgos. con el fin de que no vuelva a ocurrir o se producen en otros lugares. d) retroalimentación de las partes interesadas. por: 1) la revisión de la no conformidad. © ISO / IEC 2013 . d) revisar la eficacia de las medidas correctivas adoptadas. 3) resultados de la auditoría. y 2) frente a las consecuencias. la organización deberá: a) reaccionar a la no conformidad. Las salidas de la revisión por la dirección deben incluir las decisiones relacionadas con las oportunidades de mejora continua y de cualquier necesidad de cambios en el sistema de gestión de seguridad de la información.ISO / IEC 27001: 2013 (E) Tabla A. y según sea el caso: 1) tomar medidas para controlar y corregirlo. Las acciones correctivas deben ser apropiadas a los efectos de las no conformidades encontradas. La organización conservará información documentada como evidencia de los resultados de las revisiones por la dirección. incluyendo las tendencias en: de seguridad de la 1) no conformidades y acciones correctivas. c) implementar cualquier acción necesaria. y 3) determinar si existen no conformidades similares. ISO / IEC 27001: 2013 (E) La organización conservará información documentada como evidencia de: f) la naturaleza de las no conformidades y de cualquier acción tomada posteriormente. 10.Todos los derechos reservados . 18 © ISO / IEC 2013 . adecuación y eficacia del sistema de gestión de seguridad de la información. y g) los resultados de cualquier acción correctiva.2 Mejora continua La organización debe mejorar continuamente la idoneidad. 5.6.5. © ISO / IEC 2013 .Los objetivos de control y controles A.2 información seguridad Se definirá un conjunto de políticas de seguridad de la información.6 Organización de la seguridad de la información A.1.2 Segregación de deberes Deberes en conflicto y áreas de responsabilidad estarán separados para reducir las oportunidades para la modificación o mal uso de los activos de la organización no autorizado o involuntario.3.1.5 Políticas de seguridad de la información A.5.6.1 proceden directamente de y alineado con los que figuran en la norma ISO / IEC 27002: 2013 [1]. aprobado por la administración.Todos los derechos reservados 19 .1. A.1 .1. adecuación y eficacia. publicado y comunicado a los empleados y partes externas pertinentes. Tabla A. Roles y responsabilidades A.1 de seguridad de información Controlar Todas las responsabilidades de seguridad de la información se definirán y se asignan. Controlar A. Cláusulas 5 a 18 y se van a utilizar en el contexto de Cláusula 6.1.1 (continuado) Anexo A (normativo) Objetivos de control y controles de referencia Los objetivos de control y controles enumerados en el Tabla A. Controlar Las políticas de seguridad de la información se revisarán a intervalos planificados o si se producen cambios significativos para asegurar su conveniencia.6.1 seguridad de la información Revisión de las políticas de A.1 Dirección de Gestión de Seguridad de la Información Objetivo: Proporcionar orientación y apoyo a la gestión de seguridad de la información de acuerdo con los requerimientos del negocio y las leyes y reglamentos pertinentes.ISO / IEC 27001: 2013 (E) Tabla A. Controlar Políticas para la A.1 Organización interna Objetivo: Establecer un marco de gestión para iniciar y controlar la implementación y operación de seguridad de la información dentro de la organización. 1. Controlar A. A.7.7.1 Cribado Términos y A.2 Durante el empleo Objetivo: Asegurar que los empleados y contratistas conozcan y cumplan con sus responsabilidades de seguridad de la información.1.2.2.2.7.1 gestión para aplicar seguridad de la información de acuerdo con bilidades las políticas y procedimientos establecidos por la organización.3 autoridades Se deben mantener los contactos adecuados con las autoridades pertinentes. A. regulaciones y ética y deberá ser proporcional a los requerimientos del negocio.2 Los dispositivos móviles y el teletrabajo Objetivo: garantizar la seguridad del teletrabajo y el uso de dispositivos móviles.1.5 gestión de proyectos Controlar Seguridad de la información se dirigirá en dirección de proyectos. Controlar Responsabilidad de Gestión pedirán a todos los empleados y contratistas A.ISO / IEC 27001: 2013 (E) El contacto con las Controlar A.6.6. A.6.7 La seguridad de los recursos humanos A. 20 © ISO / IEC 2013 . Controlar Los acuerdos contractuales con los empleados y contratistas deberán declarar y responsabilidades de sus de la organización para la seguridad de la información.Todos los derechos reservados .7.1 Antes de empleo Objetivo: Asegurar que los empleados y contratistas entiendan sus responsabilidades y son adecuados para las funciones para las que se consideran. Seguridad de la información en la A.1.2 Teletrabajo Una política y el apoyo a las medidas de seguridad se aplicarán para proteger la información visitada. independientemente del tipo de proyecto. Controlar A.2 condiciones de empleo Controles de verificación de antecedentes de todos los candidatos a empleo se llevarán a cabo de acuerdo con las leyes. Controlar A.6. Controlar El contacto con los Se deben mantener los contactos adecuados con los A. la clasificación de la información para acceder y los riesgos percibidos.4 grupos de interés grupos de interés u otros foros de seguridad especial especializada y las asociaciones profesionales.1 Política de dispositivo móvil Una política y el apoyo a las medidas de seguridad serán adoptadas para gestionar los riesgos introducidos por el uso de dispositivos móviles.6. procesada o almacenada en los sitios de teletrabajo.1.7.6. A.3.8 Gestión de activos A.1 de deberes que siguen siendo válidas después de la responsabilidades terminación o cambio de empleo se definirán.8. contrato o acuerdo.1 Inventario de activos A. como relevantes para su función laboral. A. Proceso disciplinario A.2 de la información. en su caso.ISO / IEC 27001: 2013 (E) Tabla A.1 (continuado) Concienciación sobre la seguridad A.1. laborales comunicada al empleado o contratista y forzada.7.8.8. los contratistas deberán recibir educación adecuada concienciación y la formación y actualizaciones periódicas en las políticas y procedimientos de la organización.3 Terminación y cambio de empleo Objetivo: proteger los intereses de la organización como parte del proceso de cambiar o terminar el empleo. Controlar A.4 Retorno de los activos A.8.2.2 La propiedad de los Controlar activos Los activos mantenidos en el inventario serán propiedad. La terminación o el Controlar cambio Las responsabilidades de seguridad de la Información y A.3 Habrá un proceso disciplinario formal y comunicado en lugar de tomar medidas contra los empleados que hayan cometido una violación de la seguridad de la información.7.7.Todos los derechos reservados 21 . Controlar A.1.2. documentados e implementados.2 Información Todos los empleados y los usuarios externos del partido deberán devolver todos los activos de la organización en su poder a la terminación de su empleo. Controlar A. la educación y la formación Controlar Todos los empleados de la organización y.1 La responsabilidad de los activos Objetivo: Identificar los activos de la organización y definir las responsabilidades de protección adecuados. clasificación Objetivo: Garantizar que la información recibe un nivel adecuado de protección de acuerdo con su importancia para la organización.1.3 El uso aceptable de Normas para el uso aceptable de la información y de los activos asociados a las instalaciones de procesamiento de los activos información y la información deben ser identificados.1.8.8. Controlar Los activos asociados a las instalaciones de procesamiento de información y la información deben ser identificados y un inventario de estos activos se elaborarán y mantendrán.7. © ISO / IEC 2013 . documentado y revisado en base a los requisitos de seguridad de negocios y de información.Todos los derechos reservados .9. Controlar A. mal uso o la corrupción durante el transporte. Manejo A. Controlar A.1 Los requerimientos del negocio de control de acceso Objetivo: Para limitar el acceso a las instalaciones de procesamiento de la información y de la información.8. el valor.3 Manipulación de los Los procedimientos para el manejo de los activos deberán desarrollarse y aplicarse de acuerdo con el esquema de activos clasificación de la información aprobada por la organización.9.1 Política de control de acceso El acceso a las A. A. Controlar A. Controlar Etiquetado de la A.2. La eliminación de A.1 Clasificación de la información La información se clasifica en términos de requisitos legales.8. modificación. A.8.3 Medios Objetivo: Para evitar la divulgación no autorizada. utilizando los procedimientos formales.9 Control de acceso A.8.9. la criticidad y sensibilidad a la divulgación o modificación no autorizada.8.3.2 Gestión de acceso de usuario 22 © ISO / IEC 2013 .3.1.3. Controlar Los usuarios sólo deberán disponer de acceso a los servicios de red y de la red que han sido autorizados específicamente para su uso. eliminación o destrucción de la información almacenada en los medios de comunicación.3 Transferencia de medios físicos Medios que contienen información deberán estar protegidos contra el acceso no autorizado.ISO / IEC 27001: 2013 (E) Controlar A.2 redes y los servicios de red Se establecerá una política de control de acceso.2.8.2 información Un conjunto apropiado de los procedimientos para el etiquetado de información será desarrollado e implementado de acuerdo con el esquema de clasificación de la información aprobada por la organización.2.1 Gestión de soportes Procedimientos se aplicarán para la gestión de medios extraíbles extraíbles de acuerdo con el esquema de clasificación adoptado por la organización.9.2 los medios de comunicación Controlar Medios deberán ser desechados de forma segura cuando ya no es necesario. Controlar A.8.1. contrato o convenio.2.4 Sistema de control y acceso a las aplicaciones Objetivo: evitar el acceso no autorizado a los sistemas y aplicaciones.9.9.1 secreta de autenticación Controlar Se exigirá a los usuarios que sigan las prácticas de la organización en el uso de información secreta de autenticación.9.1 acceso Información Controlar El acceso a las funciones de información y sistema de aplicación se limitará de acuerdo con la política de control de acceso. A.6 derechos de acceso Los derechos de acceso de todos los empleados y usuarios parte externa a las instalaciones de procesamiento de la información y de información deberán ser retirados a la terminación de su empleo.5 derechos de acceso de usuario Controlar La asignación y utilización de los derechos de acceso privilegiados serán restringidos y controlados.4.2. La asignación de la información secreta de autenticación se controla a través de un proceso de gestión formal. Los propietarios de activos revisarán los derechos de acceso de los usuarios a intervalos regulares. Controlar La eliminación o ajuste de los A.3.9.9.2.2. © ISO / IEC 2013 .1 (continuado) Objetivo: Garantizar el acceso de usuarios autorizados y para evitar el acceso no autorizado a los sistemas y servicios.2 aprovisionamiento de usuarios Un proceso de aprovisionamiento acceso de los usuarios formales se aplicará para asignar o revocar los derechos de acceso para todos los tipos de usuario a todos los sistemas y servicios.9.9. A.ISO / IEC 27001: 2013 (E) Tabla A. Controlar Acceso A. Restricción de A.9.2.3 acceso privilegiados Controlar Gestión de la información de A. Registro de A.4 autenticación de secreto de los usuarios Controlar Revisión de los A. El uso de información A.2.9.9.Todos los derechos reservados 23 . o ajustarse al cambio.3 Responsabilidades del usuario Objetivo: hacer que los usuarios responsables de salvaguardar su información de autenticación.1 usuarios y de la matrícula Controlar Un proceso formal de registro de usuario y la cancelación de la matrícula se llevará a cabo para permitir la asignación de derechos de acceso. Gestión de derechos de A. 3 Sistemas de gestión de contraseña será interactivo y se de contraseña asegurarán de contraseñas de calidad. autenticidad y / o integridad de la información.1 Objetivo: Para evitar el acceso no autorizado física.ISO / IEC 27001: 2013 (E) Inicio de sesión de A.9.10. © ISO / IEC 2013 .9. Controlar A.2 Secure procedimientos Controlar Cuando lo exija la política de control de acceso. Gestión de claves 2 A. ya sea instalaciones sensibles o críticos.11. programa A. Controlar Perímetros de protección se definen y se utilizan para proteger áreas que contienen la información y procesamiento de la información. A.Todos los derechos reservados .4. habitaciones e 3 instalaciones 24 Controlar La seguridad física para oficinas.10.4. El uso de los programas de A.10.1. A. Seguridad física y ambiental Áreas seguras A. salas e instalaciones deberá ser diseñado y aplicado.1.11. la protección y la duración de las claves criptográficas se desarrolló e implementó a través de todo su ciclo de vida.11.4. Controlar Sistema de gestión A. Una política sobre el uso de controles criptográficos para de controles 1 la protección de la información deberá ser desarrollado e criptográficos implementado.4.1. Perímetro de 1 seguridad física Controlar A.4 servicios públicos privilegiados Controlar El uso de programas de utilidades que podrían ser capaces de anular sistema y de aplicaciones controles será restringido y estrechamente controlado. el acceso a los sistemas y aplicaciones se controla mediante un procedimiento de inicio de sesión seguro.1. Controlar Política sobre el uso A.9.1 criptográficos Objetivo: garantizar el uso adecuado y eficaz de la criptografía para proteger la confidencialidad.9. daño e interferencia de la información y las instalaciones de procesamiento de información de la organización.11 Una política sobre el uso.10 Criptografía Controles A.5 al código fuente del El acceso al código fuente del programa se limitará. Control de acceso Controlar A.11.1. Asegurar oficinas. Controles 2 entrada físicas de Zonas seguras se protegerán mediante controles de entrada adecuados para garantizar que se permite el acceso sólo el personal autorizado. 11. 6 carga si es posible.1 (continuado) La protección A. La eliminación de 5 los activos Seguridad de los A. Apoyo a los 2 servicios públicos El equipo debe ser protegido de fallas de energía y otros trastornos causados por fallas en el apoyo a los servicios públicos. A. Controlar Los puntos de acceso como las zonas de entrega y de A.11.Todos los derechos reservados 25 . la información o el software no se tendrán fuera de sitio sin autorización previa. Equipo A. Trabajar en zonas 5 seguras Controlar La protección física contra los desastres naturales. Seguridad Cableado Poder y telecomunicaciones de cableado que transporta 3 datos o el apoyo a los servicios de información será protegida contra la intercepción. Controlar A. robo o el compromiso de los activos y la interrupción de las operaciones de la organización. ataques maliciosos o accidentes estará diseñada y aplicada.2. contra amenazas externas y 4 ambientales A.1.ISO / IEC 27001: 2013 (E) Tabla A. Controlar Equipo.2. A.11.1.11. Controlar A.2. Controlar Procedimientos para trabajar en áreas de seguridad deberán diseñarse y aplicarse.11.2.11.11.2 Objetivo: Para evitar la pérdida.11. Mantenimiento de 4 equipo A. aislada de las instalaciones de procesamiento de información para evitar el acceso no autorizado. Eliminación segura Controlar 7 o la reutilización de Todos los elementos del equipo que contiene los medios equipos de almacenamiento deberán ser verificados para asegurar que los datos sensibles y software con licencia © ISO / IEC 2013 .11. Zonas de entrega y carga y otros puntos en los que personas no autorizadas puedan entrar en los locales deberán ser controlados y.11.1.11. Controlar Seguridad se aplicará a los activos fuera de las instalaciones. interferencia o daños.2. Controlar A. teniendo en cuenta los diferentes riesgos de trabajar fuera de los locales de la organización.2. equipos y activos fuera del 6 establecimiento Controlar El equipo debe mantenerse correctamente para asegurar su disponibilidad e integridad continua.2. Localización y 1 protección Equipo El equipo deberá estar situado y protegido para reducir los riesgos de las amenazas ambientales y los riesgos y oportunidades para el acceso no autorizado. daño. 12.12. pruebas y entornos operativos estarán separados para reducir los riesgos de acceso o cambios no autorizados al ambiente operacional.12.11. Procedimientos A.11.12.Todos los derechos reservados . se ajusta y proyecciones de las futuras necesidades de capacidad para asegurar el funcionamiento del sistema requerido.12.1. prevención y recuperación de controles para 1 malware proteger contra el malware se aplicarán. Controlar A. Protección A.1. A. operativos 1 documentados Controlar Los procedimientos de operación deberán ser documentados y puestos a disposición de todos los usuarios que los necesitan.1. Controlar Claro escritorio y A. A. Controles contra el Detección. Gestión del cambio instalaciones de procesamiento de información y 2 sistemas que afectan a la seguridad de información deberán ser controlados. Controlar A.ISO / IEC 27001: 2013 (E) se ha eliminado o sobrescrito de forma segura antes de su eliminación o reutilización.2. 26 © ISO / IEC 2013 .2. procesos de negocio. en combinación con el conocimiento del usuario apropiado. política pantalla 9 clara Se adoptó una política de escritorio limpio de papeles y soportes de almacenamiento extraíbles y una política pantalla clara para las instalaciones de procesamiento de información.3 de copia de seguridad Objetivo: Para evitar la pérdida de datos.12 La seguridad de Operaciones Procedimientos y responsabilidades operacionales A.12. Controlar A. Separación de desarrollo. Controlar Cambios en la organización. y 4 entornos operativos Controlar Desarrollo.1.2 del malware Objetivo: asegurar que las instalaciones de la información y procesamiento de información están protegidos contra el malware. A.2. Equipos de usuario Los usuarios deberán asegurarse de que el equipo 8 desatendida desatendido tiene la protección adecuada. prueba A. Gestión de la 3 capacidad El uso de los recursos será supervisado.1 Objetivo: garantizar operaciones correctas y seguras de instalaciones de procesamiento de información.12.12. 12.12. Información A.4 y monitoreo Objetivo: registrar eventos y generar evidencia.4.12.12.4. software y sistema de imágenes se tomarán y se prueban 1 de la información regularmente de acuerdo con una política de copia de seguridad convenido.12. Controlar Gestión de las A. Copia de seguridad Las copias de seguridad de la información. Controlar A. Control de A. Controlar A.ISO / IEC 27001: 2013 (E) Tabla A.7 Consideraciones de auditoría de sistemas © ISO / IEC 2013 .12. Instalación de A.6 vulnerabilidad Técnica Objetivo: prevenir la explotación de vulnerabilidades técnicas. Controlar Registro de las instalaciones y la información de registro estará protegido contra la manipulación y acceso no autorizado. software en 1 sistemas operativos Controlar Procedimientos se aplicarán para el control de la instalación de software en los sistemas operativos.3. Sincronización de 4 reloj Los relojes de todos los sistemas de procesamiento de información pertinentes dentro de una organización o dominio de seguridad se sincronizan con una sola fuente de tiempo de referencia.6.4.12.12.5 del software operativo Objetivo: garantizar la integridad de los sistemas operativos. Registro A. información de 2 registro Registros de A.1 (continuado) Controlar A. instalación de 2 software Controlar Las normas que rigen la instalación de software por los usuarios serán establecidas e implementadas. mantienen y revisan con regularidad. El registro de 1 eventos Protección de la A. administrador y 3 operador Los registros de eventos de grabación de las actividades del usuario.12.12. excepciones. Controlar Administrador de sistemas y las actividades del operador del sistema deberán ser registrados y sus troncos protegidos y regularmente revisados.12. Gestión A.6. vulnerabilidades 1 técnicas Información acerca de las vulnerabilidades técnicas de los sistemas de información que se utilizan se obtendrá en el momento oportuno.5. fallas y eventos de seguridad de información se producen.Todos los derechos reservados 27 .12. la exposición de la organización a tales vulnerabilidades evaluado y tomado las medidas adecuadas para hacer frente a los riesgos asociados.4. Restricciones a la A. A.1.13.7. A. Seguridad de los 2 servicios de red A. A. procedimientos y controles deberán estar en su lugar para proteger la transferencia de información a través del uso de todo tipo de instalaciones de comunicación. Controlar Sistemas de A.13. La segregación en 3 las redes Los mecanismos de seguridad.13. La transferencia de información A.1.4 confidencialidad o de no divulgación 28 Requisitos para los acuerdos de confidencialidad o de no divulgación que reflejan las necesidades de la organización para la protección de la información deben ser identificados.13.1.12. si estos servicios son prestados en la empresa o subcontratados. Controlar Los acuerdos de A.Todos los derechos reservados . La mensajería 3 electrónica Controlar Información involucrado en la mensajería electrónica estará protegido de manera apropiada.ISO / IEC 27001: 2013 (E) Objetivo: minimizar el impacto de las actividades de auditoría en los sistemas operativos.13.2. Controles de red 1 Controlar Redes deberán ser gestionados y controlados para proteger la información en los sistemas y aplicaciones. revisados y documentados con regularidad. Controlar A. © ISO / IEC 2013 .13. procedimientos de 1 transferencia de información Controlar Formales de transferencia de políticas. niveles de servicio y los requisitos de gestión de todos los servicios de la red deben ser identificados e incluidos en los acuerdos de servicios de red.13.13.2 Objetivo: mantener la seguridad de la información transferida dentro de una organización y con cualquier entidad externa. Políticas y A.2. información 1 controles de auditoría Requisitos y las actividades relacionadas con la verificación de los sistemas operativos de auditoría deberán ser cuidadosamente planificadas y acordadas para reducir al mínimo las interrupciones de los procesos de negocio. la transferencia de Acuerdos deberán abordar la transferencia segura de 2 información comercial entre la organización y las partes información externas. Controlar Los acuerdos sobre A.2.13 Seguridad de las comunicaciones Gestión de la seguridad A. Controlar Grupos de servicios de información.2.1 Red Objetivo: garantizar la protección de la información en las redes y sus instalaciones de apoyo de procesamiento de información. los usuarios y los sistemas de información estarán separados en las redes.13. limitadas a los cambios necesarios y todos los cambios serán estrictamente controlados.14.14. Controlar Los cambios en los sistemas dentro del ciclo de vida de desarrollo deberán ser controlados por el uso de procedimientos formales de control de cambios.14.2 servicios de redes públicas Controlar Información involucrados en los servicios de aplicaciones que pasan a través de redes públicas deberá estar protegido contra la actividad fraudulenta.2 en los procesos de desarrollo y soporte Objetivo: Asegurar que la seguridad de información se diseña e implementa dentro del ciclo de vida de desarrollo de sistemas de información.1. Controlar La protección de las transacciones de A.14. Asegurar la aplicación A. después de los aplicaciones críticas de negocio serán revisados y A.14. Esto también incluye los requisitos para los sistemas de información que proporcionan los servicios a través de redes públicas.2.14.2 control de cambio de sistema Reglas para el desarrollo de software y sistemas se establecerán y aplicarán a la evolución de la organización. © ISO / IEC 2013 .14 Sistema de adquisición. Controlar A.3 cambios de la probados para asegurar que no hay impacto adverso en plataforma de las operaciones de la organización o de seguridad.14. Revisión técnica de Controlar aplicaciones Cuando se cambian las plataformas que operan.2.Todos los derechos reservados 29 . Seguridad A. disputa contractual y la divulgación no autorizada y modificación. alteración mensaje no autorizado.3 servicios de aplicación Información involucrada en las transacciones de servicios de aplicación debe ser protegido para prevenir la transmisión incompleta. errónea enrutamiento. Controlar Información Los requisitos relacionados con la seguridad de la requisitos de A.1.14. desarrollo y mantenimiento A.1.1 (continuado) A. operación Las restricciones a los cambios en los A. revelación no autorizada.2.ISO / IEC 27001: 2013 (E) Tabla A.2.4 paquetes de software Controlar Las modificaciones a los paquetes de software se pondrán trabas.1 requisitos de seguridad de los sistemas de información Objetivo: Garantizar que la seguridad informática es una parte integral de los sistemas de información a través de todo el ciclo de vida.1 seguridad análisis y información se incluirán en los requisitos para los nuevos sistemas de información o mejoras a los sistemas de especificación información existentes. la duplicación de mensajes no autorizado o reproducción.14.1 La política de desarrollo seguro Procedimientos de A. 15.14. Controlar La organización debe supervisar y controlar la actividad de desarrollo del sistema de contratación externa. documentados.1. o proporcionar componentes de la infraestructura de TI para la información de la organización.14. Controlar A.15. Los datos de prueba A.1 en relaciones con los proveedores Objetivo: garantizar la protección de los activos de la organización que sea accesible por los proveedores.1.ISO / IEC 27001: 2013 (E) Controlar Principios de A.Todos los derechos reservados .9 aceptación del sistema Las organizaciones deberán establecer y proteger adecuadamente los entornos de desarrollo seguras para los esfuerzos de desarrollo de sistemas e integración que cubren todo el ciclo de vida de desarrollo del sistema.1 Los datos de prueba deben seleccionarse de prueba cuidadosamente.15.2. mantenidos y se aplican a todos los esfuerzos de implementación de sistemas de información.3 Objetivo: Garantizar la protección de los datos utilizados para la prueba.7 Outsourced Pruebas de A.2 dentro de acuerdos con proveedores Todos los requisitos de seguridad de la información pertinentes serán establecidos y acordados con cada proveedor que pueden acceder.1 información para relaciones con los proveedores Controlar Requisitos de seguridad de la información para la mitigación de los riesgos asociados con el acceso del proveedor a los activos de la organización se acordarán con el proveedor y documentados.8 seguridad del sistema Pruebas de A. almacenar. Controlar 30 Abordar la seguridad A. A.14.15 Relaciones con los proveedores Seguridad de la información A.15.2. Controlar Protección de datos A.3 Cadena de la información y la tecnología de comunicación de Controlar Los acuerdos con los proveedores deberán incluir requisitos para hacer frente a los riesgos de seguridad de © ISO / IEC 2013 .6 Entorno de desarrollo seguro Desarrollo A. comunicar.14. Controlar Programas de pruebas de aceptación y criterios relacionados se establecerán para los nuevos sistemas de información. procesar. protegidos y controlados.2.5 ingeniería de sistemas seguros Principios para sistemas seguros de ingeniería serán establecidos. actualizaciones y nuevas versiones.1.2. A.2.14. Política de seguridad de la A.14.3.14. Controlar Prueba de funcionalidad de seguridad se llevará a cabo durante el desarrollo. 15.16 Información de gestión de incidentes de seguridad Gestión A.1 servicios de proveedores Controlar Las organizaciones deberán controlar regularmente.16. procedimientos y controles de seguridad de información existentes.1 (continuado) suministro la información asociados a los servicios de información y tecnología de las comunicaciones y la cadena de suministro de productos. revisión y auditoría de proveedores la prestación de servicios.ISO / IEC 27001: 2013 (E) Tabla A. A. los sistemas y los procesos involucrados y re-evaluación de los riesgos. incluida la comunicación de eventos de seguridad y debilidades. Controlar Los cambios en la prestación de servicios por parte de los Gestión de cambios proveedores. Informar sobre los A. incluyendo el mantenimiento y la mejora de A.1 de incidentes de seguridad de la información y mejoras Objetivo: garantizar un enfoque coherente y eficaz para la gestión de incidentes de seguridad de la información. Evaluación y decisión sobre los A. eventos de 4 seguridad de información Controlar Los eventos de seguridad de información se evaluarán y se decidirá si han de ser clasificados como incidentes de seguridad de la información.Todos los derechos reservados 31 .2. eficaz y ordenada a los incidentes de seguridad de la información.2.2 en los servicios de las políticas.15.1. Gestión de la prestación de servicios Proveedor A.2 Objetivo: Mantener un nivel acordado de seguridad de la información y la prestación de servicios en línea con los acuerdos con proveedores.1. Controlar Informes A. Responsabilidades 1 y procedimientos Responsabilidades y procedimientos de gestión se establecerán para garantizar una respuesta rápida. debilidades de 3 seguridad de información Se requiere que los empleados y contratistas que utilizan los sistemas y servicios de información de la organización para observar y reportar cualquier debilidad de seguridad de información observados o sospechados en los sistemas o servicios.16.16. © ISO / IEC 2013 .16.1. eventos de 2 seguridad de información Controlar Eventos seguridad de la información se comunicarán a través de canales de gestión apropiadas lo antes posible. serán gestionados. Seguimiento y revisión de los A.1. Controlar A.15.16. teniendo en proveedores cuenta la criticidad de la información empresarial. revisar y evaluar la A. recolección. que puede servir como prueba. de la información 2 continuidad de seguridad La organización debe establecer.2. Disponibilidad de A.1. Planificación A.17.17 Los aspectos de seguridad de información de la gestión de la continuidad del negocio Información A. Controlar A. implementar y mantener procesos. información de 3 seguridad de continuidad Controlar La organización debe verificar la información controles de continuidad de seguridad establecidos y aplicados a intervalos regulares con el fin de asegurarse de que son válidos y eficaces en situaciones adversas.1.2 Objetivo: asegurar la disponibilidad de las instalaciones de procesamiento de información. A.1. información 1 continuidad de seguridad Controlar La organización debe determinar sus requisitos para la seguridad de la información y la continuidad de la gestión de seguridad de la información en situaciones adversas.18. Controlar La implementación A.16. A.18 Conformidad Cumplimiento A. adquisición y conservación de la información.1.1. procedimientos y controles para garantizar el nivel necesario de continuidad para la seguridad de la información durante una situación adversa. incidentes de 5 seguridad de la información Controlar Los incidentes de seguridad de información deberán recibir una respuesta de conformidad con los procedimientos documentados. Verificar. durante una crisis o desastre.17.1 con los requisitos legales y contractuales 32 © ISO / IEC 2013 . Despidos A. El acopio de 7 pruebas La organización debe definir y aplicar procedimientos para la identificación.16. por ejemplo.1.17.1 continuidad de seguridad Objetivo: Información sobre la continuidad de seguridad deberá estar integrada en los sistemas de gestión de continuidad de negocio de la organización. instalaciones de procesamiento de 1 información Controlar Instalaciones de procesamiento de la información se aplicarán con redundancia suficiente para cumplir con los requisitos de disponibilidad.17.17. documentar. Controlar Aprendiendo de los Los conocimientos adquiridos desde el análisis y la A.ISO / IEC 27001: 2013 (E) Respuesta a A.Todos los derechos reservados . incidentes de resolución de los incidentes de seguridad de la 6 seguridad de la información se utilizará para reducir la probabilidad o el información impacto de futuros incidentes.16.17. Controlar Privacidad y A. contractuales y de negocios.18. Controlar Controles criptográficos se utilizan en el cumplimiento de todos los acuerdos pertinentes.ISO / IEC 27001: 2013 (E) Tabla A. propiedad 2 intelectual Procedimientos apropiados se aplicarán para garantizar el cumplimiento de requisitos legales. de conformidad con los requisitos legislatory.1 (continuado) Objetivo: evitar violaciones de las obligaciones legales. Protección de los 3 registros Los registros deben estar protegidos contra pérdida.2.Todos los derechos reservados 33 . protección de 4 datos personales Regulación de A. reglamentarios. la legislación y los reglamentos.18. documentarse y contractuales mantenerse actualizados para cada sistema de información y la organización. reglamentarias o contractuales relacionadas con la seguridad de la información y de los requisitos de seguridad. destrucción. procesos y procedimientos de seguridad de la información) se revisará de forma independiente a intervalos planificados o cuando se producen cambios significativos. falsificación. políticas. Controlar Identificación de la Todo legal legislativo pertinente. contractuales y el enfoque de la A. Controlar Derechos de A.2 revisiones de seguridad Objetivo: Garantizar que la seguridad informática es implementado y operado de acuerdo con las políticas y procedimientos de la organización. controles 5 criptográficos Privacidad y protección de la información de identificación personal que se garantizará como se requiere en la legislación y la regulación en su caso pertinente. Información A.18. estatutarias. controles. aplicable y organización para cumplir con estos requisitos deberán 1 requisitos identificarse de forma explícita.18. independiente de 1 seguridad de la información El enfoque de la organización para la gestión de seguridad de la información y su aplicación (es decir. Controlar A. Controlar Revisión A.1.18.18. © ISO / IEC 2013 . objetivos de control.18. los requisitos legislación reglamentarios. acceso no autorizado y la liberación no autorizada.1. reglamentarios y contractuales relacionados con los derechos de propiedad intelectual y uso de los productos de software propietario.1.1.1. Consolidated ISO Suplemento Procedimientos específicos de la norma ISO 2012 © ISO / IEC 2013 .Código de prácticas para los controles de seguridad de la información [2] ISO / IEC 27003.Técnicas de seguridad . Bibliografía 34 [1] ISO / IEC 27002: 2013.18.Principios y directrices [6] ISO / IEC Directivas.Información de gestión de seguridad de la guía de implementación del sistema [3] ISO / IEC 27004. Tecnología de la información . cumplimiento 3 técnico Los administradores deberán revisar periódicamente el cumplimiento del tratamiento y los procedimientos de información dentro de su área de responsabilidad con las políticas de seguridad adecuadas.Técnicas de seguridad . normas y otros requisitos de seguridad.Medición [4] . políticas y normas 2 de seguridad Revisión de A. Parte 1.Todos los derechos reservados .2. Tecnología de la información .Técnicas de seguridad .Información de gestión de riesgos de seguridad [5] ISO 31000: 2009. Tecnología de la información ISO / IEC 27005 . Controlar Los sistemas de información se revisarán periódicamente del cumplimiento de las políticas y normas de seguridad de la información de la organización.2.Técnicas de seguridad . Gestión de riesgos .18. Tecnología de la información .ISO / IEC 27001: 2013 (E) Controlar Conforme con A.Gestión de la seguridad de la información . 040 Precio basado en 23 páginas © ISO / IEC 2013 .Todos los derechos reservados © ISO / IEC 2013 .Todos los derechos reservados 35 .ISO / IEC 27001: 2013 (E) Tabla A.1 (continuado) ICS 35.
Report "Iso 27001 Español"
×
Please fill this form, we will try to respond as soon as possible.
Your name
Email
Reason
-Select Reason-
Pornographic
Defamatory
Illegal/Unlawful
Spam
Other Terms Of Service Violation
File a copyright complaint
Description
Copyright © 2024 DOKUMEN.SITE Inc.