2006

NORMA
VENEZOLANA
FONDONORMA
TECNOLOGA DE LA INFORMACIN TCNICAS DE SEGURIDAD. SISTEMA DE GESTIN DE SEGURIDAD DE LA INFORMACIN. REQUISITOS.

FONDONORMA-ISO/IEC 27001:2006 (ISO/IEC 27001:2005)
FONDO PARA LA NORMALIZACIN Y CERTIFICACIN DE LA CALIDAD
FONDONORMA 2006
FONDONORMA-ISO/IEC 27001:2006
PRLOGO La presente norma es una adopcin de la Norma ISO/IEC 27001:2005, fue considerada de acuerdo a las directrices del Comit Tcnico de Normalizacin FONDONORMA CT23 Gestin de la Calidad, siendo aprobada por FONDONORMA en la reunin del Consejo Superior N 2006-04 de fecha 30/08/2006. En la adopcin de esta Norma participaron las siguientes entidades: PDVSA; CVG Ferrominera del Orinoco; ITECA; IUTLEAC; SINCOR; Cervecera Polar; CIV.
FONDONORMA NORMA VENEZOLANA ISO/IEC 27001:2006 TECNOLOGA DE LA INFORMACIN. TCNICAS DE ISO/IEC 27001:2005 SEGURIDAD. SISTEMAS DE GESTIN DE SEGURIDAD DE LA INFORMACIN. REQUISITOS.
0 INTRODUCCIN
0.1 Generalidades Esta Norma ha sido preparada para proporcionar un modelo para establecer, implementar, operar, realizar seguimiento, revisar, mantener y mejorar un Sistema de Gestin de Seguridad de la Informacin (SGSI). La adopcin de un SGSI debera ser una decisin estratgica para una organizacin. El diseo y la implementacin de un SGSI de la organizacin esta influenciado por sus necesidades y objetivos, requisitos de seguridad, los procesos empleados y el tamao y la estructura de la organizacin. stos y sus sistemas de soporte se espera que cambien con el tiempo. Se espera que la implementacin de un SGSI sea adaptado de conformidad con las necesidades de la organizacin, por ejemplo una situacin simple requiere una solucin simple del SGSI. Esta Norma puede ser utilizada por partes interesadas internas y externas para evaluar la conformidad. 0.2 Enfoque basado en procesos Esta norma adopta un enfoque basado en procesos para establecer, implementar, operar, realizar seguimiento, revisar, mantener y mejorar el SGSI de una organizacin. Una organizacin necesita identificar y gestionar muchas actividades a fin de funcionar eficazmente. Cualquier actividad que utiliza recursos, y que se gestiona con el fin de permitir que los elementos de entrada se transformen en resultados, se puede considerar como un proceso. Frecuentemente el resultado de un proceso constituye directamente el elemento de entrada del siguiente proceso. La aplicacin de un sistema de procesos dentro de la organizacin, junto con la identificacin e interacciones de estos procesos, as como su gestin, puede denominarse como "enfoque basado en procesos". El enfoque basado en procesos para la gestin de seguridad de la informacin presentado en esta Norma anima a sus usuarios a enfatizar la importancia de: a) la comprensin de los requisitos de seguridad de la informacin de una organizacin y la necesidad de establecer la poltica y objetivos para la seguridad de la informacin; b) implementar y operar controles para dirigir los riesgos de seguridad de la informacin de una organizacin en el contexto de los riesgos globales del negocio de la organizacin; c) realizar seguimiento y revisar el desempeo y eficacia del SGSI; y d) la mejora continua con base en mediciones objetivas. Esta Norma adopta el modelo "Planificar - Hacer - Verificar - Actuar" (PHVA), el cual es aplicado para estructurar todos procesos del SGSI. La Figura 1 ilustra cmo un SGSI toma como entrada los requisitos y expectativas de seguridad de la informacin de las partes interesadas y a travs de las acciones y procesos necesarios produce los resultados de seguridad de la informacin que cumplen esos requisitos y expectativas. La Figura 1 tambin ilustra los vnculos en los procesos presentados en los Captulos 4, 5, 6, 7 y 8. La adopcin del modelo de PHVA tambin reflejar los principios segn lo precisado en las Directrices OECD (2002)1 que gobiernan la seguridad de los sistemas y redes de informacin. Esta Norma provee un modelo robusto para implementar los principios en aquellas directrices que gobiernan la evaluacin del riesgo, el diseo e implementacin de la seguridad, la gestin y reevaluacin de la seguridad.
1 Directrices OECD para la Seguridad de los Sistemas y Redes de Informacin Hacia una Cultura de Seguridad. Paris: OECD, Julio 2002. www.oecd.org
FONDONORMA 2006
FONDONORMA-ISO/IEC 27001:2006 EJEMPLO 1 El incumplimiento de un requisito podra no causar daos financieros serios a una organizacin y/o comprometer su imagen EJEMPLO 2 Una expectativa podra ser que si ocurre un incidente serio - quizs piratera informtica del sitio Web de comercio electrnico (e-Business) de una organizacin - deberan estar las personas con la suficiente formacin en los procedimientos apropiados para minimizar el impacto.
Planificar Partes Interesadas Establecer el SGSI Partes Interesadas
Hacer
Implementar y operar el SGSI
Mantener y mejorar el SGSI
Actuar
Requisitos y expectativas de Seguridad de la Informacin
Realizar Seguimiento y revisar el SGSI Verificar
Seguridad de la Informacin gestionada
Figura 1. Modelo de PHVA aplicado a los procesos del SGSI Establecer la poltica, objetivos, procesos y procedimientos pertinentes del SGSI para gestionar el riesgo y mejorar la seguridad de la informacin para entregar los resultados de acuerdo con las polticas y los objetivos globales de una organizacin. Implementar y operar la poltica, controles, procesos y procedimientos del SGSI. Evaluar y, donde sea aplicable, medir el desempeo del proceso frente a la poltica, objetivos y experiencia prctica del SGSI e informar sobre los resultados a la direccin para la revisin. Tomar las acciones correctivas y preventivas, sobre la base de los resultados de la auditora interna del SGSI y la revisin por la direccin u otra informacin pertinente, para lograr la mejora continua del SGSI.
Planificar (establecer el SGSI)
Hacer (implementar y operar el SGSI)
Verificar (realizar seguimiento y revisar el SGSI)
Actuar (mantener y mejorar el SGSI)
0.3 Compatibilidad con otros sistemas de gestin Esta Norma est alineada con las Normas ISO 9001:2000 e ISO 14001:2004, con la finalidad de apoyar la coherencia e implementacin y operacin integradas con las normas de gestin relacionadas. Un sistema de
FONDONORMA Todos los derechos reservados
FONDONORMA-ISO/IEC 27001:2006 gestin diseado adecuadamente puede por lo tanto satisfacer los requisitos de todas estas normas. La Tabla C.1 ilustra la relacin entre los captulos de esta Norma, la Norma ISO 9001:2000 y la Norma ISO 14001:2004. Esta Norma esta diseada para permitir a una organizacin alinear o integrar su SGSI con los requisitos de los sistemas de gestin relacionados
IMPORTANTE: Esta publicacin no pretende incluir todas las disposiciones necesarias de un contrato. Los usuarios son responsables de su correcta aplicacin. El cumplimiento con una Norma en s no confiere inmunidad contra obligaciones legales.
OBJETO
1.1 Generalidades Esta Norma cubre todo tipo de organizaciones (por ejemplo, empresas comerciales, instituciones gubernamentales, organizaciones sin fines de lucro). Esta Norma especifica los requisitos para establecer, implementar, operar, realizar seguimiento, revisar, mantener y mejorar un SGSI documentado dentro del contexto de los riesgos globales del negocio de la organizacin. Especifica los requisitos para la implementacin de controles de seguridad adaptados a las necesidades de las organizaciones o parte de ellas. El SGSI esta diseado para asegurar la seleccin de controles de seguridad adecuados y proporcionales que protejan los activos de informacin y proporcionen confianza a las partes interesadas.
NOTA 1: De manera general, las referencias a "Negocio" en esta Norma, deberan ser interpretadas como aquellas actividades que son medulares a los propsitos de la existencia de la organizacin. NOTA 2: La Norma Internacional ISO/IEC 17799 proporciona orientaciones de implementacin que pueden ser utilizadas al disear los controles.
1.2 Aplicacin Los requisitos expuestos en esta Norma son genricos y se pretende que sean aplicables a todas las organizaciones sin importar su tipo, tamao y naturaleza. No se podr alegar conformidad con esta Norma cuando se excluya cualquiera de los requisitos especificados en los Captulos 4, 5, 6, 7, y 8. Cualquier exclusin de controles considerados necesarios para satisfacer los criterios de aceptacin del riesgo tiene que estar justificada y tienen que ser proporcionadas las evidencias necesarias y que los riesgos asociados hayan sido asumidos por personas responsables. No se podr alegar conformidad con esta Norma, cuando se excluye cualquier control, a menos que tales exclusiones no afecten la capacidad y/o la responsabilidad de la organizacin, para proporcionar seguridad de la informacin que cumplan con los requisitos de seguridad determinados por la evaluacin del riesgo y los requisitos legales o reglamentarios aplicables.
NOTA: Si una organizacin ya tiene un sistema de gestin de proceso de negocio (por ejemplo, en relacin con la ISO 9001 o la ISO 14001), en la mayora de los casos es preferible satisfacer los requisitos de esta Norma dentro del sistema de gestin existente.
REFERENCIAS NORMATIVAS
Los siguientes documentos referidos son indispensables para la aplicacin de este documento. Para referencias fechadas, es aplicable solamente la edicin citada. Para referencias no fechadas, es aplicable la ms reciente edicin del documento mencionado (incluyendo cualquier enmienda). 2.1 Otras Normas ISO/IEC 17799:2005 Tecnologa de la informacin. Tcnicas de seguridad. Cdigo de prctica para la gestin de seguridad de la informacin.
FONDONORMA-ISO/IEC 27001:2006 3 TRMINOS Y DEFINICIONES
Para los propsitos de este documento, aplican los siguientes trminos y definiciones. 3.1 Activo Cualquier cosa que tenga valor para la organizacin [ISO/IEC 13335-1:2004] 3.2 Disponibilidad Propiedad de estar accesible y utilizable bajo demanda de una entidad autorizada [ISO/IEC 13335-1:2004] 3.3 Confidencialidad Propiedad de que la informacin no esta disponible o divulgada a individuos, entidades o procesos no autorizados [ISO/IEC 13335-1:2004] 3.4 Seguridad De la informacin preservacin de la confidencialidad, integridad y disponibilidad de la informacin, adicionalmente pueden involucrase otras propiedades tales como autenticidad, responsabilidad, no repudio y confiabilidad [ISO/IEC 17799:2005] 3.5 Evento de seguridad de la informacin Una ocurrencia identificada de un estado del sistema, servicio o red que indica una brecha posible en la poltica de seguridad o falla de la salvaguardas, o de una situacin previamente desconocida que puede ser pertinente a la seguridad [ISO/IEC TR 18044:2004] 3.6 Incidente de seguridad de la informacin Uno o una serie de eventos de seguridad de la informacin indeseados o inesperados que tienen una probabilidad significativa de comprometer las operaciones del negocio y amenacen la seguridad de la informacin [ISO/IEC TR 18044:2004] 3.7 Sistema de gestin de seguridad de la informacin SCSI Parte del sistema de gestin global, basado en un enfoque del riesgo del negocio, para establecer, implementar, operar, realizar seguimiento, revisar, mantener y mejorar la seguridad de la informacin
NOTA: El sistema de gestin incluye la estructura de la organizacin, polticas, actividades de planificacin, responsabilidades, prcticas, procedimientos, procesos y recursos.
3.8 Integridad Propiedad de salvaguardar la exactitud y la totalidad de los activos [ISO/IEC 13335-1:2004] 3.9 Riesgo residual Riesgo remanente despus del tratamiento del riesgo [ISO/IEC Guide 73:2002]
FONDONORMA-ISO/IEC 27001:2006 3.10 Aceptacin del riesgo
Decisin para aceptar un riesgo [ISO/IEC Guide 73:2002] 3.11 Anlisis del riesgo
Utilizacin sistemtica de la informacin para identificar las fuentes y estimar el riesgo [ISO/IEC Guide 73:2002] 3.12 Evaluacin del riesgo
Proceso global del anlisis del riesgo y valoracin del riesgo [ISO/IEC Guide 73:2002] 3.13 Valoracin del riesgo
Proceso de comparar el riesgo estimado contra los criterios del riesgo dados para determinar la significacin del riesgo [ISO/IEC Guide 73:2002] 3.14 Gestin del riesgo
Actividades coordinadas para dirigir y controlar una organizacin con respecto al riesgo [ISO/IEC Guide 73:2002] 3.15 Tratamiento del riesgo
Proceso de seleccin e implementacin de medidas para modificar el riesgo [ISO/IEC Guide 73:2002]
NOTA: En esta Norma el trmino control se utiliza como un sinnimo de medicin.
3.16
Declaracin de aplicabilidad
Declaracin documentada que describe los objetivos de control y controles que son pertinentes y aplicables al SGSI de la organizacin
NOTA: Los objetivos de control y los controles estn basados en los resultados y conclusiones de los procesos de evaluacin del riesgo y tratamiento del riesgo, requisitos legales o reglamentarios, obligaciones contractuales y requisitos del negocio de la organizacin para la seguridad de la informacin.
SISTEMA DE GESTIN DE SEGURIDAD DE LA INFORMACIN
4.1 Requisitos generales La organizacin debe establecer, implementar, operar, realizar seguimiento, revisar, mantener y mejorar un SGSI documentado dentro del contexto de las actividades del negocio global de la organizacin y los riesgos que enfrenta. Para los propsitos de esta Norma el proceso utilizado est basado en el modelo de PHVA mostrado en Figura 1. 4.2 Establecimiento y gestin del SGSI 4.2.1 Establecimiento del SGSI
La organizacin debe hacer lo siguiente: a) Definir el alcance y los lmites del SGSI en trminos de las caractersticas del negocio, la organizacin, su ubicacin, activos y tecnologa, e incluyendo los detalles y justificacin por cualquier exclusin del alcance (vase 1.2).
FONDONORMA-ISO/IEC 27001:2006 b) Definir una poltica del SGSI en trminos de las caractersticas del negocio, la organizacin, su ubicacin, activos y tecnologa que: 1) incluya un marco para fijar objetivos y establecer un sentido global de la direccin y los principios para la accin con respecto a la seguridad de la Informacin; 2) tome en cuenta los requisitos del negocio y los legales o reglamentarios, y las obligaciones de seguridad contractuales; 3) se alineen en el contexto de la gestin estratgica del riesgo de la organizacin en el cual tendr lugar el establecimiento y el mantenimiento del SGSI; 4) establezca criterios contra el riesgo a ser evaluado (vase 4.2.1c)); y 5) haya sido aprobada por la direccin.
NOTA: Para los propsitos de esta Norma, la poltica de SGSI se considera como un reemplazo de la poltica de seguridad de la informacin. Estas polticas pueden ser descritas en un documento.
c) Definir el enfoque de evaluacin del riesgo de la organizacin. 1) Identificar una metodologa de evaluacin del riesgo que sea adecuada al SGSI, a la seguridad de la informacin del negocio identificada y a los requisitos legales y reglamentarios. 2) Desarrollar criterios para la aceptacin de los riesgos e identificar los niveles aceptables de riesgo. (vase 5.1f)). La metodologa de evaluacin del riesgo seleccionada debe asegurar que las evaluaciones del riesgo producen resultados comparables y reproducibles.
NOTA: Existen diferentes metodologas para la evaluacin del riesgo. Los ejemplos de las metodologas de evaluacin del riesgo son discutidos en el documento ISO/IEC TR 13335-3, Tecnologa de la informacin. Directrices para la gestin de la seguridad de la TI. Tcnicas para la gestin de la seguridad de la TI.
d) Identificar los riesgos. 1) Identificar los activos dentro del alcance del SGSI, y los dueos2 de esos activos. 2) Identificar las amenazas a esos activos. 3) Identificar las vulnerabilidades que podran ser aprovechadas por las amenazas. 4) Identificar los impactos que las prdidas de confidencialidad, integridad y disponibilidad puedan tener sobre los activos. e) Analizar y evaluar los riesgos. 1) Evaluar los impactos del negocio sobre la organizacin que pueden resultar en fallas de seguridad, tomando en cuenta las consecuencias de una prdida de la confidencialidad, integridad o disponibilidad de los activos. 2) Evaluar la probabilidad real de las fallas de seguridad que ocurren teniendo en cuenta las amenazas predominantes y vulnerabilidades, e impactos asociados con estos activos, y los controles implementados actualmente. 3) Estimar los niveles de riesgos. 4) Determinar si los riesgos son aceptables o si requieren tratamiento utilizando los criterios para la aceptacin de los riesgos establecidos en 4.2.1c) 2). f) Identificar y evaluar las opciones para el tratamiento de los riesgos.
El trmino dueo identifica un individuo o entidad que h aprobado la responsabilidad de gestin para controlar la produccin, el desarrollo, el mantenimiento, el uso y la seguridad de los activos. El termino dueo no significa que la persona realmente tenga algn derecho de propiedad del activo.
FONDONORMA-ISO/IEC 27001:2006 1) Las posibles acciones incluyen: 2) aplicar los controles apropiados; 3) aceptar los riesgos consciente y objetivamente, siempre que satisfagan las polticas y criterios de la organizacin para la aceptacin de los riesgos (vase 4.2.1c)2)); 4) evitar los riesgos; y 5) transferir los riesgos asociados del negocio a otras partes, por ejemplo aseguradores, proveedores. g) Seleccionar los objetivos de control y los controles para el tratamiento de los riesgos. 1) Los objetivos de control y controles deben seleccionarse e implementarse para cumplir con los requisitos identificados por la evaluacin del riesgo y el proceso de tratamiento del riesgo. Esta seleccin debe tomar en cuenta los criterios para la aceptacin de los riesgos (vase 4.2.1c) 2)), adems de los requisitos legales, reglamentarios y contractuales. 2) Los objetivos de control y los controles del Anexo A deben seleccionarse como parte de este proceso como adecuados para cubrir los requisitos identificados. 3) Los objetivos de control y los controles listados en el Anexo A no son exhaustivos y pueden tambin seleccionarse objetivos de control y controles adicionales.
NOTA: El Anexo A contiene una lista completa de los objetivos de control y los controles que han sido encontrados comnmente pertinentes en las organizaciones. Los usuarios de esta Norma son dirigidos al Anexo A como un punto de partida para la seleccin de controles para asegurar que ninguna opcin de control importante es pasada por alto.
h) Obtener la aprobacin de los riesgos residuales propuestos por la direccin. i) j) Obtener la autorizacin de la direccin para implementar y operar el SGSI. Preparar una Declaracin de la Aplicabilidad. 1) Debe prepararse una Declaracin de la Aplicabilidad que incluya lo siguiente: 2) los objetivos de control y los controles seleccionados en 4.2.1g) y las razones para su seleccin; 3) los objetivos de control y los controles implementados actualmente (vase 4.2.1e) 2)); y 4) la exclusin de cualesquiera de los objetivos de control y controles en el Anexo A y la justificacin para su exclusin.
NOTA: La Declaracin de la Aplicabilidad provee un resumen de las decisiones concernientes al tratamiento del riesgo. Justificar las exclusiones proporciona una comprobacin cruzada de que no se han omitido algunos controles inadvertidamente.
4.2.2
Implementacin y operacin el SGSI
La organizacin debe hacer lo siguiente. a) Formular un plan de tratamiento del riesgo que identifique la accin de gestin, recursos, responsabilidades y prioridades apropiadas para dirigir los riesgos de seguridad de la informacin (Vase capitulo 5). b) Implementar el plan de tratamiento del riesgo a fin de alcanzar los objetivos de control identificados, que incluye la consideracin del financiamiento y la asignacin de los roles y las responsabilidades. c) Implementar los controles seleccionados en 4.2.1g) para cumplir los objetivos de control. d) Definir cmo medir la eficacia de los controles o grupos de controles seleccionados y especificar cmo sern utilizadas estas mediciones para evaluar la eficacia del control para producir los resultados comparables y reproducibles (vase 4.2.3c)).
NOTA: La medicin de la eficacia de los controles permite que los gerentes y el personal determinen cun bien los controles logran los objetivos de control planificados.
FONDONORMA-ISO/IEC 27001:2006 e) Implementar los programas de formacin y de toma de conciencia (vase 5.2.2). f) Gestionar la operacin del SGSI.
g) Gestionar los recursos para el SGSI (vase apartado 5.2). h) Implementar los procedimientos y otros controles capaces de permitir la pronta deteccin de los eventos de seguridad y la respuesta a los incidentes de seguridad (vase 4.2.3a)). 4.2.3 Realizar seguimiento y revisar el SGSI
La organizacin debe hacer lo siguiente. a) Realizar el seguimiento y revisar los procedimientos y otros controles para: 1) detectar inmediatamente los errores en los resultados del procesamiento; 2) identificar prontamente los incidentes e intentos y violaciones a la seguridad; 3) permitir la gestin para determinar si las actividades de seguridad delegadas a las personas o implementadas por tecnologa de la informacin estn desempendose como se esperaba; 4) ayudar a detectar los eventos de seguridad y as prevenir los incidentes de seguridad mediante la utilizacin de indicadores; y 5) determinar si fueron eficaces las acciones tomadas para resolver una brecha de seguridad. b) Llevar a cabo evaluaciones regulares de la eficacia del SGSI (incluyendo el cumplimiento de la poltica y objetivos del SGSI y la revisin de los controles de seguridad) tomando en cuenta los resultados de las auditoras de seguridad, los incidentes, los resultados de las mediciones de la eficacia, sugerencias y realimentacin de todas las partes interesadas. c) Medir la eficacia de los controles para verificar que los requisitos de seguridad hayan sido cumplidos. d) Revisar las evaluaciones del riesgo a intervalos planificados y revisar los riesgos residuales y los niveles de riesgos aceptables identificados, tomando en cuenta los cambios de: 1) la organizacin; 2) la tecnologa; 3) los objetivos y los procesos del negocio; 4) las amenazas identificadas; 5) la eficacia de los controles implementados; y 6) los eventos externos, tales como los cambios para el entorno legal o reglamentario, las obligaciones contractuales modificadas y los cambios en el clima social. e) Conducir las auditoras internas del SGSI a intervalos planificados (vase Capitulo 6).
NOTA: Las auditoras internas, algunas veces llamadas auditoras de primera parte, son conducidas por, o en nombre de, la organizacin en s misma para propsitos internos.
f)
Llevar a cabo una revisin por la direccin del SGSI sobre una base regular para asegurar que el alcance permanece adecuado y se identifican las mejoras en el proceso de SGSI (vase 7.1).
g) Actualizar los planes de seguridad tomando en cuenta los hallazgos del seguimiento y revisin de las actividades. h) Registrar las acciones y los eventos que podan tener un impacto sobre la eficacia o el desempeo del SGSI (vase 4.3.3). 4.2.4 Mantenimiento y mejora del SGSI
a) La organizacin debe regularmente hacer lo siguiente. 8

FONDONORMA-ISO/IEC 27001:2006 b) Implementar las mejoras identificadas en el SGSI. c) Tomar las acciones correctivas y preventivas apropiadas de acuerdo con 8.2 y 8.3. Aplicar las lecciones aprendidas de las experiencias de seguridad de otras organizaciones y aquellas de la misma organizacin. d) Comunicar las acciones y las mejoras a todas las partes interesadas con un nivel de detalle apropiado a las circunstancias y, cuando sea pertinente, acordar sobre cmo proceder. e) Asegurar que las mejoras alcanzan sus objetivos propuestos. 4.3 Requisitos de la documentacin 4.3.1 Generalidades
La documentacin debe incluir los registros de las decisiones de la direccin, asegurar que las acciones son trazables a las decisiones de la direccin y a las polticas, y asegurar que son reproducibles los resultados registrados. Es importante ser capaz de demostrar la relacin entre los controles seleccionados, los resultados de la evaluacin de riesgo y el proceso de tratamiento del riesgo, y posteriormente la poltica de SGSI y los objetivos. La documentacin de SGSI debe incluir: a) declaraciones documentadas de la poltica de SGSI (vase apartado4.2.1b)) y los objetivos; b) el alcance del SGSI (vase apartado 4.2.1a)); c) los procedimientos y controles que apoyan al SGSI; d) una descripcin de la metodologa de evaluacin del riesgo (vase apartado 4.2.1c)); e) el informe de evaluacin del riesgo (vase apartados 4.2.1c) al 4.2.1g)); f) el plan de tratamiento del riesgo (vase apartado 4.2.2b));
g) los procedimientos documentados necesitados por la organizacin para asegurar la planificacin, operacin y control eficaces de sus procesos de seguridad de la informacin y describir cmo medir la eficacia de los controles (vase apartado 4.2.3c)); h) los registros requeridos por esta Norma (vase apartado 4.3.3); y i) la Declaracin de Aplicabilidad.
NOTA 1: Cuando aparezca el trmino procedimiento documentado dentro de esta Norma, significa que el procedimiento sea establecido, documentado, implementado y mantenido. NOTA 2: La extensin de la documentacin de SGSI puede diferir de una organizacin a otra debido a: el tamao de la organizacin y el tipo de sus actividades; y el alcance y complejidad de los requisitos de seguridad y el sistema que est siendo gestionado.
NOTA 3: Los documentos y registros pueden estar en cualquier formato o tipo de medio.
4.3.2
Control de documentos
Los documentos requeridos por el SGSI deben protegerse y controlarse. Debe establecerse un procedimiento documentado que defina las acciones de gestin necesarias para: a) aprobar los documentos en cuanto a su adecuacin antes de su emisin; b) revisar y actualizar los documentos cuando sea necesario y aprobarlos nuevamente; c) asegurarse de que se identifican los cambios y el estado de revisin actual de los documentos;
FONDONORMA-ISO/IEC 27001:2006 d) asegurarse de que las versiones pertinentes de los documentos aplicables se encuentran disponibles en los puntos de uso; e) asegurarse de que los documentos permanecen legibles y fcilmente identificables; f) asegurarse de que los documentos estn disponibles para quienes los necesiten, y sean transferidos, almacenados y finalmente dispuestos de acuerdo con los procedimientos aplicables a su clasificacin;
g) asegurarse de que se identifican los documentos de origen externo; h) asegurarse de que es controlada la distribucin de los documentos; i) j) prevenir el uso no intencionado de documentos obsoletos; y aplicarles una identificacin adecuada en el caso de que se mantengan por cualquier propsito. Control de los registros
4.3.3
Los registros deben establecerse y mantenerse para proporcionar evidencia de la conformidad con los requisitos, as como de la operacin eficaz del SGSI. Ellos deben protegerse y controlarse. El SGSI debe tomar en cuenta cualquier requisito legal o reglamentario y las obligaciones contractuales pertinentes. Los registros deben permanecer legibles, fcilmente identificables y recuperables. Deben documentarse e implementarse los controles necesarios para la identificacin, el almacenamiento, la proteccin, la recuperacin, el tiempo de retencin y la disposicin de los registros. Deben mantenerse los registros del desempeo de los procesos como se muestra en el apartado 4.2 y de todas las ocurrencias de los incidentes de seguridad significativos relacionados con el SGSI. EJEMPLO Ejemplos de registros son el libro de visitantes, los informes de auditora y los formularios de autorizacin de acceso completados. 5 RESPONSABILIDAD DE LA DIRECCIN
5.1 Compromiso de la direccin La direccin debe proporcionar evidencia de su compromiso con el establecimiento, implementacin, operacin, seguimiento, revisin, mantenimiento y mejora del SGSI: a) estableciendo una poltica de SGSI; b) asegurando que se establecen los objetivos y planes del SGSI; c) estableciendo los roles y las responsabilidades para la seguridad de la informacin; d) comunicando a la organizacin la importancia de satisfacer los objetivos de seguridad de la informacin y ajustar a la poltica de seguridad de la informacin, a sus responsabilidades de acuerdo a la ley y la necesidad para la mejora continua; e) proporcionando los recursos suficientes para establecer, implementar, operar, realizar seguimiento, revisar, mantener y mejorar el SGSI (vase apartado 5.2.1); f) decidiendo los criterios para la aceptacin de los riesgos y los niveles de riesgo aceptables;
g) asegurando que son conducidas las auditoras internas del SGSI (vase Capitulo 6); y h) conduciendo las revisiones por la direccin del SGSI (vase Capitulo 7) 5.2 Gestin de los recursos 5.2.1 Provisin de recursos
La organizacin debe determinar y proporcionar los recursos necesarios para:
10
FONDONORMA-ISO/IEC 27001:2006 a) establecer, implementar, operar, realizar seguimiento, revisar, mantener y mejorar el SGSI; b) asegurarse de que los procedimientos de Seguridad de la Informacin apoyan los requisitos del negocio; c) identificar y dar tratamiento a los requisitos legales y reglamentarios y las obligaciones de seguridad contractuales; d) mantener adecuadamente la seguridad a travs de la aplicacin correcta de todos controles implementados; e) llevar a cabo las revisiones cuando sea necesario, y reaccionar apropiadamente frente a los resultados de esas revisiones; y f) cuando sea requerido, mejorar la eficacia del SGSI. Formacin, toma de conciencia y competencia
5.2.2
La organizacin debe asegurarse de que todo el personal que tiene asignadas responsabilidades definidas en el SGSI son competentes para desempear las tareas requeridas para: a) determinar las competencias necesarias del personal que realiza trabajos que afectan el SGSI; b) proporcionar formacin o tomar otras acciones (por ejemplo empleando personal competentes) para satisfacer dichas necesidades; c) evaluar la eficacia de las acciones tomadas; y d) mantener los registros de la educacin, formacin, habilidades, experiencia y calificaciones (vase apartado 4.3.3). e) La organizacin tambin debe asegurarse de que todo el personal relevante es consciente de la pertinencia e importancia de sus actividades de seguridad de la informacin y de cmo contribuyen al logro de los objetivos del SGSI. 6 AUDITORAS INTERNAS DEL SGSI
La organizacin debe llevar a cabo a intervalos planificados auditoras internas del SGSI para determinar si los objetivos de control, los controles, los procesos y los procedimientos de su SGSI: a) estn conformes con los requisitos de esta Norma y con la legislacin o reglamentacin pertinente; b) estn conformes con los requisitos de seguridad de la informacin identificados; c) son implementados y mantenidos eficazmente; y d) se desempean como se esperaba. Se debe planificar un programa de auditoras tomando en consideracin el estado y la importancia de los procesos y las reas a auditar, as como los resultados de auditoras previas. Se deben definir los criterios de auditora, el alcance de la misma, su frecuencia y metodologa. La seleccin de los auditores y la realizacin de las auditoras deben asegurar la objetividad e imparcialidad del proceso de auditora. Los auditores no deben auditar su propio trabajo. Deben definirse, en un procedimiento documentado, las responsabilidades y requisitos para la planificacin y la realizacin de auditoras, para informar de los resultados y para mantener los registros (vase apartado 4.3.3). La direccin responsable del rea que est siendo auditada debe asegurarse de que se toman acciones sin demora injustificada para eliminar las no conformidades detectadas y sus causas. Las actividades de seguimiento deben incluir la verificacin de las acciones tomadas y el informe de los resultados de la verificacin (vase apartado 8.5.2).
NOTA: La Norma ISO 19011:2002, Directrices para la auditora de sistemas de gestin de la calidad y/o ambiental, puede proporcionar orientacin til para llevar a cabo las auditoras internas del SGSI.
11
FONDONORMA-ISO/IEC 27001:2006 7 REVISIN POR LA DIRECCIN DEL SGSI
7.1 Generalidades La direccin debe, a intervalos planificados al menos una vez al ao, revisar el SGSI de la organizacin, para asegurarse de su conveniencia, adecuacin y eficacia continuas. La revisin debe incluir la evaluacin de las oportunidades de mejora y la necesidad de efectuar cambios en el SGSI, incluyendo la poltica de seguridad de la informacin y los objetivos de seguridad de la informacin. Los resultados de las revisiones deben documentarse claramente y deben mantenerse los registros (vase apartado 4.3.3). 7.2 Elementos de entrada para la revisin La informacin de entrada para una revisin por la direccin debe incluir: a) los resultados de auditoras del SGSI y las revisiones, b) la retroalimentacin de las partes interesadas, c) las tcnicas, los productos o los procedimientos, que podran utilizarse en la organizacin para mejorar el desempeo y eficacia del SGSI; d) el estado de las acciones correctivas y preventivas, e) las vulnerabilidades o amenazas no tratadas adecuadamente en la evaluacin del riesgo previo; f) los resultados de las mediciones de eficacia;
g) las acciones de seguimiento de revisiones por la direccin previas, h) cualquier cambio que puedan afectar el SGSI, y i) recomendaciones para la mejora.
7.3 Resultados de la revisin Los resultados de la revisin por la direccin deben incluir cualquiera de las decisiones y acciones relacionadas con lo siguiente: a) b) c) mejora de la eficacia del SGSI. actualizacin de la evaluacin del riesgo y del plan del tratamiento del riesgo. modificacin de los procedimientos y controles que afectan la seguridad de la informacin, cuando sea necesario, para responder a los eventos internos o externos que puedan impactar sobre el SGSI, incluyendo los cambios a: 1) los requisitos del negocio; 2) los requisitos de seguridad; 3) los procesos del negocio que afectan los requisitos del negocio existentes; 4) los requisitos reglamentarios o legales; 5) las obligaciones contractuales; y 6) los niveles del riesgo y/o los criterios de aceptacin de los riesgos. d) e) las necesidades de recursos. la mejora de como est siendo medida la eficacia de los controles.
12
FONDONORMA-ISO/IEC 27001:2006 8 MEJORA DEL SGSI
8.1 Mejora continua La organizacin debe mejorar continuamente la eficacia del SGSI mediante el uso de la poltica de seguridad de la informacin, los objetivos de seguridad de la informacin, los resultados de las auditoras, el anlisis de los eventos seguidos, las acciones correctivas y preventivas y la revisin por la direccin (vase Captulo 7). 8.2 Accin correctiva La organizacin debe tomar acciones para eliminar la causa de las no conformidades con los requisitos del SGSI para prevenir su recurrencia. El procedimiento documentado para las acciones correctivas debe definir los requisitos para: a) identificar las no conformidades; b) determinar las causas de las no conformidades; c) evaluar la necesidad de acciones para asegurarse de que las no conformidades no vuelvan a ocurrir; d) determinar e implementar las acciones correctivas necesarias; e) registrar los resultados de las acciones tomadas (vase apartado 4.3.3); y f) revisar las acciones correctivas tomadas.
8.3 Accin preventiva La organizacin debe determinar acciones para eliminar las causas de las no conformidades potenciales con los requisitos del SGSI para prevenir su ocurrencia. Las acciones preventivas deben ser apropiadas a los impactos de los problemas potenciales. .El procedimiento documentado para las acciones preventivas debe definir los requisitos para: a) identificar las no conformidades y sus causas; b) evaluar la necesidad de actuar para prevenir la ocurrencia de no conformidades; c) determinar e implementar las acciones preventivas necesarias; d) registrar los resultados de las acciones tomadas (vase apartado 4.3.3); y e) revisar las acciones preventivas tomadas. La organizacin debe identificar el cambio en los riesgos e identificar los requisitos de accin preventiva enfocando la atencin en los riesgos cambiados significativamente. La prioridad de las acciones preventivas debe determinarse sobre la base de los resultados de la evaluacin del riesgo.
NOTA: La accin para prevenir las no conformidades es a menudo ms rentable que la accin correctiva
13
FONDONORMA-ISO/IEC 27001:2006 ANEXO A (normativo) Objetivos de control y controles Los objetivos de control y los controles listados en la Tabla A.1 estn directamente derivados de y alineados con aquellos listados en los Captulos 5 al 15 de la Norma ISO/IEC 17799:2005. Las listas en Tabla A.1 no son exhaustivas y una organizacin puede considerar que son necesarios objetivos de control y controles adicionales. Los objetivos de control y los controles de estas tablas deben seleccionarse como parte del proceso del SGSI especificado en el apartado 4.2.1. Los Captulos 5 al 15 de la Norma ISO/IEC 17799:2005 proporcionan consejo y orientacin para la implementacin de las mejores prcticas en apoyo a los controles especificados en los apartados A.5 hasta A.15. Tabla A.1. Objetivos de control y controles A.5 Poltica de seguridad A.5.1 Poltica de seguridad de la informacin Objetivo: Dirigir y dar soporte a la gestin de la seguridad de la informacin de acuerdo con los requisitos del negocio, las leyes y reglamentos pertinentes. A.5.1.1 Documento de la poltica de seguridad de la informacin Control Un documento de poltica de seguridad de informacin ser aprobado por la direccin, publicado y comunicado a todos los empleados y partes externas pertinentes. Control La poltica de seguridad de la informacin debe revisarse a intervalos planificados o si ocurren cambios significativos asegurar su conveniencia, adecuacin y eficacia continua. A.6 Organizacin de la seguridad de la informacin A.6.1 Organizacin interna Objetivo: Gestionar la seguridad de la informacin dentro de la organizacin. A.6.1.1 Compromiso de la direccin para la seguridad de la informacin Control La direccin debe apoyar activamente la seguridad dentro de la organizacin a travs de la direccin clara, del compromiso demostrado, la asignacin explcita, y el reconocimiento de las responsabilidades de seguridad de la informacin. Control Las actividades de seguridad de la informacin deben coordinarse con representantes de diferentes partes de la organizacin con roles y funciones de trabajo pertinentes. A.6.1.3 Asignacin de responsabilidades sobre seguridad de la informacin Control Deben definirse claramente todas las responsabilidades de seguridad de la informacin.
A.5.1.2
Revisin de la poltica de seguridad de la informacin
A.6.1.2
Coordinacin de la seguridad de la informacin
14
A.6.1.4
Proceso de autorizacin para los recursos de procesamiento de la informacin Acuerdos confidencialidad de
Control Debe definirse e implementarse un proceso de autorizacin para cada nuevo recurso de procesamiento de la informacin.
A.6.1.5
Control Debe identificarse y regularmente revisarse los requisitos para los acuerdos de confidencialidad o no divulgacin que reflejan las necesidades de la organizacin para la proteccin de la informacin.
A.6.1.6
Contacto con autoridades
las
Control Deben mantenerse los contactos apropiados con las autoridades pertinentes.
A.6.1.7
Contacto con grupos interesados especiales
Control Deben mantenerse los contactos apropiados con grupos interesados especiales o otros foros de especialistas de seguridad y asociaciones profesionales.
A.6.1.8
Revisin independiente de la seguridad de la informacin
Control El enfoque de la organizacin para gestionar la seguridad de la informacin y su implementacin (es decir, objetivos de control, controles, polticas, procesos, y procedimientos para la seguridad de la informacin) deben revisarse de forma independiente, a intervalos planificados, o cuando ocurren cambios significativos en la implementacin de la seguridad.
A.6.2 Partes externas Objetivo: Mantener la seguridad de la informacin y recursos de procesamiento de la informacin de la organizacin que son accesados, procesados, comunicados, o gestionados por partes externas. A.6.2.1 Identificacin de riesgos relacionados a partes externas Control Los riesgos a la informacin y recursos de procesamiento de la informacin de la Organizacin para los procesos del negocio que involucran partes externas deben identificarse y deben implementarse los controles apropiados antes de otorgar el acceso Control Todos los requisitos de seguridad identificados deben tratarse antes de dar el acceso al cliente a la informacin o posesiones de la organizacin. Control Los acuerdos con usuarios de terceras partes que involucran acceder, procesar, comunicar o gestionar la informacin de la organizacin o los recursos para el tratamiento de la informacin, o agregar productos o servicios a recursos para el tratamiento de la informacin deben cubrir todos requisitos de seguridad pertinentes.
A.6.2.2
Tratamiento de la seguridad en las relaciones con clientes
A.6.2.3
Tratamiento de la seguridad en los acuerdos de terceras partes
15
A.7 Gestin de activos A.7.1 Responsabilidad por los activos Objetivo: Alcanzar y mantener la proteccin apropiada de los activos de la organizacin. A.7.1.1 Inventario de activos Control Todos los activos deben identificarse claramente y elaborarse y mantenerse el inventario de los todos los activos importantes A.7.1.2 Propiedad activos de los Control Toda informacin y activos asociados con las instalaciones de procesamiento de la informacin deben ser dueo3) por una parte designada de la organizacin. A.7.1.3 Utilizacin aceptable de los activos Control Deben identificarse, documentarse, e implementarse las reglas para la utilizacin aceptable de la informacin y los activos asociados con las instalaciones de procesamiento de la informacin. A.7.2 Clasificacin de la informacin Objetivo: asegurar que la informacin reciba un nivel apropiado de proteccin. A.7.2.1 Directrices clasificacin de Control La informacin debe clasificarse en relacin con su valor, requisitos legales, sensibilidad y criticidad para la organizacin. A.7.2.2 Etiquetado y manejo de la Informacin Control Un conjunto apropiado de procedimientos para etiquetar y manejar la informacin debe desarrollarse e implementarse de acuerdo con el esquema de clasificacin adoptado por la organizacin. A.8 Seguridad de recursos humanos A.8.1 Antes del empleo 4) Objetivo: Asegurar que los empleados, los contratistas y usuarios de terceras partes comprendan sus responsabilidades, y que sean apropiados para los roles considerados, y para reducir el riesgo del robo, fraude o mal uso de los recursos. A.8.1.1 Roles responsabilidades y Control Los roles y responsabilidades de seguridad de los empleados, contratistas y usuarios terceras partes deben definirse y documentarse de acuerdo con la poltica de seguridad de la
Explicacin: El termino dueo identifica a un individuo o entidad que tiene responsabilidad de gestin aprobada para controlar la produccin, desarrollo, mantenimiento, utilizacin y seguridad de las activos. El termino dueo no significa que la persona actualmente tiene derechos de propiedad sobre el activo. Explicacin: La palabra Empleo significa cubrir todas las diferentes situaciones siguientes: empleo de personas (temporal o contratada), la asignacin de roles de trabajo, cambio de roles de trabajo, asignacin de contratos, y la terminacin de cualquiera de estos arreglos.
4)
3)
16
FONDONORMA-ISO/IEC 27001:2006 informacin de la organizacin. A.8.1.2 Seleccin Control La verificacin de los antecedentes sobre todos candidatos para empleados, contratistas, y usuarios de terceras partes deben llevarse a cabo de acuerdo con las leyes, reglamentaciones y tica pertinentes, y proporcionales a los requisitos del negocio, a la clasificacin de la informacin a ser accesada, y los riesgos percibidos. A.8.1.3 Trminos y condiciones de empleo Control Como parte de su obligacin contractual, los empleados, contratistas y usuarios de terceras partes deben acordar y firmar los trminos y condiciones de su contrato de trabajo, que debe declarar sus responsabilidades por la seguridad de la informacin de la organizacin. A.8.2 Durante el empleo Objetivo: Asegurar que todos los empleados, contratistas y usuarios de terceras partes son conscientes de las amenazas y aspectos relacionados con la seguridad de la informacin, sus responsabilidades y obligaciones, y que estn equipadas para respaldar la poltica de seguridad de la organizacin en el curso normal de su trabajo, y reducir el riesgo de error humano. A.8.2.1 Responsabilidades la direccin de Control La direccin debe requerir que los empleados, contratistas y usuarios de terceras partes apliquen la seguridad de acuerdo con las polticas y procedimientos establecidos de la organizacin. A.8.2.2 Toma de conciencia, educacin y formacin en la seguridad de la informacin Control Todos los empleados de la organizacin y, cuando sea pertinente, los contratistas y usuarios de terceras partes deben recibir la formacin en toma de conciencia y las actualizaciones regulares apropiadas en las polticas y procedimientos de la organizacin, como sea pertinente para su funcin de trabajo. Control Debe haber un proceso disciplinario formal para los empleados quienes cometan un incumplimiento de seguridad. A.8.3 Terminacin o cambio de empleo Objetivo: Asegurar que los empleados, contratistas y usuarios de terceras partes se retiran de una organizacin o cambian el empleo de una manera ordenada. A.8.3.1 Responsabilidades la terminacin de Control Debe definirse y asignarse claramente las responsabilidades para llevar a cabo la terminacin o cambio de empleo. A.8.3.2 Devolucin activos de los Control Todos los empleados, contratistas y usuarios de terceras partes deben devolver todos los activos de la organizacin en su posesin una vez terminado su empleo, contrato o acuerdo.
A.8.2.3
Proceso disciplinario
17
A.8.3.3
Retiro de los derechos de acceso
Control Los derechos de acceso de todos los empleados, contratistas y usuarios de terceras partes a la informacin y recursos para el procesamiento de la informacin deben retirarse una vez terminado su empleo, contrato o acuerdo, o una vez ajustado el cambio.
A.9 Seguridad fsica y ambiental A.9.1 reas seguras Objetivo: Prevenir el acceso fsico no autorizado, dao e interferencia a las instalaciones e informacin de la organizacin. A.9.1.1 Permetro de seguridad fsica Control Los permetros de seguridad (barreras tales como paredes, puertas de entrada controladas por tarjeta, o puesto de recepcin manual) deben utilizarse para proteger las reas que contienen la informacin y las instalaciones de procesamiento de la informacin. A.9.1.2 Controles fsicos de entrada Control Las reas de seguridad deben estar protegidas por controles de entrada apropiados que aseguren el permiso de acceso slo al personal autorizado. A.9.1.3 Seguridad de oficinas, habitaciones e instalaciones Control Debe disearse y aplicarse la seguridad fsica para oficinas, habitaciones, e instalaciones.
A.9.1.4
Proteccin contra las amenazas externas y ambientales
Control Debe disearse y aplicarse la proteccin fsica contra el dao por fuego, inundacin, sismo, explosin, disturbios, y las otras formas de desastre natural o hecho por el hombre. Control Debe disearse y aplicarse la proteccin fsica y las directrices para trabajar en reas seguras.
A.9.1.5
Trabajo seguras
en
reas
A.9.1.6
reas de acceso al pblico, entrega y carga
Control Los puntos acceso como las reas de entrega y carga y otras donde las personas no autorizadas pueden entrar en las instalaciones deben controlarse y, si es posible, aislarse de instalaciones de procesamiento de la informacin para evitar el acceso no autorizado.
18
A.9.2 Seguridad de los equipos Objetivo: Prevenir prdidas, daos, robo o comprometer los activos e interrupcin de las actividades de la organizacin. A.9.2.1 Ubicacin y proteccin del equipo Control El equipo debe ubicarse o protegerse para reducir los riesgos de amenazas y peligros ambientales, y oportunidades para el acceso no autorizado. A.9.2.2 Servicio de apoyo Control El equipo debe protegerse contra fallas de energa y otras interrupciones elctricas causadas por fallas en los servicios de apoyo. A.9.2.3 Seguridad del cableado Control El cableado de energa elctrica y de comunicaciones que transporta datos o brinda apoyo a los servicios de informacin debe protegerse contra interceptacin o dao. A.9.2.4 Mantenimiento equipos de Control Los equipos deben mantenerse adecuadamente para asegurar su continua disponibilidad e integridad. A.9.2.5 Seguridad de equipos fuera de las instalaciones de la organizacin Seguridad en la reutilizacin o eliminacin de equipos Control Debe aplicarse la seguridad a los equipos exteriores teniendo en cuenta los diferentes riesgos de trabajar fuera de las instalaciones de la organizacin. Control Todos los elementos del equipo que contengan dispositivos de almacenamiento de datos deben controlarse para asegurar que cualquier dato sensible y software bajo licencia ha sido removido o tachado antes de su disposicin. Control No deben sacarse de las instalaciones sin autorizacin, los equipos, la informacin o el software. A.10 Gestin de comunicaciones y operaciones A.10.1 Procedimientos y responsabilidades de operacin Objetivo: Asegurar la operacin correcta y segura de los recursos de tratamiento de informacin. A.10.1.1 Documentacin de procedimientos operativos Control Los procedimientos operativos deben documentarse, mantenerse, y estar disponibles a todos usuarios que los necesitan. A.10.1.2 Gestin de Cambio Control Deben controlarse los cambios para los recursos y sistemas de procesamiento de la informacin.
A.9.2.6
A.9.2.7
Retiro de la propiedad
19
FONDONORMA-ISO/IEC 27001:2006 A.10.1.3 Segregacin de tareas Control Las tareas o reas de responsabilidad deben segregarse para reducir las oportunidades de modificacin no autorizada o mal uso de los activos de la organizacin. A.10.1.4 Separacin de los recursos para el desarrollo, prueba/ensayo y operacin. Control Deben separase los recursos para el desarrollo, prueba/ensayo y operacin para reducir los riesgos del acceso no autorizado o cambios al sistema operativo.
A.10.2 Gestin de entrega de servicio de tercera parte Objetivo: Implementar y mantener el nivel apropiado de seguridad de la informacin y la entrega del servicio en lnea con los acuerdos de entrega de servicio de tercera parte. A.10.2.1 Entrega del servicio Control Debe asegurarse que los controles de seguridad, las definiciones del servicio y niveles de entrega incluidos en el acuerdo de entrega de servicio de tercera parte son implementados, operados, y mantenidos por la tercera parte. A.10.2.2 Seguimiento y revisin de los servicios de tercera parte Control Los servicios, informes y registros suministrados por la tercera parte deben ser seguidos y revisados regularmente, y deben ser llevadas a cabo auditoras regularmente. Control Los cambios para el suministro de servicios, incluyendo el mantenimiento y mejora de las polticas,, procedimientos y controles de seguridad de informacin existentes, deben gestionarse, tomando en cuenta la criticidad del sistemas del negocio y los procesos involucrados y la re-evaluacin de los riesgos.
A.10.2.3
Gestin de cambios para los servicios de tercera parte
A.10.3 Planificacin y aceptacin del sistema Objetivo: Minimizar el riesgo de fallas de los sistemas. A.10.3.1 Gestin de la capacidad Control Debe realizarse seguimiento, ajustes, y proyecciones de los requisitos de la capacidad futura de la utilizacin de los recursos, para asegurar el desempeo del sistema requerido. A.10.3.2 Aceptacin del sistema Control Deben establecerse los criterios de aceptacin para los nuevos sistemas de informacin y versiones nuevas o mejoradas y deben desarrollarse pruebas adecuadas de los sistemas durante el desarrollo y antes de la aceptacin.
20
A.10.4 Proteccin contra cdigo malicioso y movible Objetivo: Proteger la integridad del software y de la informacin. A.10.4.1 Controles contra cdigo malicioso Control Deben implantarse los controles de deteccin, prevencin y recuperacin para la proteccin contra cdigo malicioso, y procedimientos adecuados de toma de conciencia de los usuarios. A.10.4.2 Control contra cdigo movible Control Donde la utilizacin de cdigo movible esta autorizada, la configuracin debe asegurar que el cdigo movible autorizado opera de acuerdo a una poltica de seguridad claramente definida, y debe prevenirse el ejecutar el cdigo movible no autorizado. A.10.5 Copia de seguridad Objetivo: Mantener la integridad y la disponibilidad de la informacin y los recursos de procesamiento de la informacin A.10.5.1 Copia de seguridad de la informacin Control Las copias de seguridad de la informacin y software deben ser tomadas y probadas con regularidad de acuerdo con la poltica de copia de seguridad acordada. A.10.6 Gestin de seguridad de la red Objetivo: Asegurar la proteccin de la informacin en las redes y la proteccin de su infraestructura de soporte. A.10.6.1 Controles de red Control Las redes deben gestionarse y controlarse adecuadamente, a fin de estar protegidas de las amenazas, y mantener la seguridad para los sistemas y aplicaciones que utiliza la red, incluyendo la informacin en trnsito. A.10.6.2 Seguridad de servicios de red Control Las caractersticas de seguridad, los niveles del servicio, y los requisitos de gestin de todos los servicios en red deben identificarse e incluirse en cualquier acordado de servicio de red, ya sea que estos servicios sea proporcionados en la empresa o subcontratados. A.10.7 Manejo de medios de informacin Objetivo: Prevenir la divulgacin, modificacin, eliminacin o destruccin no autorizada de los activos, e interrupcin de las actividades del negocio. A.10.7.1 Gestin de medios removibles Control Deben existir procedimientos para la gestin de medios removibles
21
A.10.7.2
Disposicin de medios
Control Cuando ya no son requeridos, los medios de informacin deben eliminarse de forma segura y sin peligro, utilizando procedimientos formales.
A.10.7.3
Procedimientos de manejo de la informacin
Control Se deben establecer procedimientos para el manejo y almacenamiento de la informacin para protegerla contra su uso inadecuado o divulgacin no autorizada.
10.7.4
Seguridad de la documentacin de sistemas
Control La documentacin de sistema debera protegerse contra el acceso no autorizado
A.10.8 Intercambio de informacin Objetivo: Mantener la seguridad de la informacin y el software intercambiado dentro de una organizacin y con cualquier entidad externa. A.10.8.1 Polticas y procedimientos de intercambio de informacin Control Deben establecerse polticas, procedimientos de intercambio formales, y controles para proteger el intercambio de informacin a travs de la utilizacin de toda clase de recursos de comunicacin. Control Deben establecerse acuerdos, para el intercambio de informacin y software entre la organizacin y partes externas. A.10.8.3 Medios de informacin fsicos en trnsito Control Los medios que contienen la informacin deben protegerse contra el acceso no autorizado, mal uso o corrupcin durante el transporte ms all de los lmites fsicos de una organizacin. A.10.8.4 Mensaje electrnico Control Debe estar apropiadamente protegida involucrada en el mensaje electrnico. A.10.8.5 Sistemas de informacin del negocio Control Deben desarrollarse e implementarse las polticas y procedimientos para proteger la informacin asociada con la interconexin de los sistemas de informacin del negocio. la informacin
A.10.8.2
Acuerdos de intercambio
22
A.10.9 Servicios de comercio electrnico Objetivo: Asegurar la seguridad de servicios de comercio electrnico, y su utilizacin segura. A.10.9.1 Comercio electrnico Control La informacin involucrada en la transferencia de comercio electrnico en redes pblicas debe protegerse de la actividad fraudulenta, litigios contractuales, y la divulgacin o modificacin no autorizada. A.10.9.2 Transacciones en lnea Control La informacin involucrada en las transacciones en lnea debe protegerse para prevenir la transmisin incompleta, perdida de ruta, alteracin de mensaje no autorizado, divulgacin no autorizada y duplicacin o repeticin de mensaje no autorizada. A.10.9.3 Informacin disponible pblicamente Control La integridad de la informacin que esta disponible sobre un sistema disponible pblicamente debe protegerse para prevenir la modificacin no autorizada. A.10.10 Seguimiento Objetivo: Detectar las actividades de procesamiento de la informacin no autorizadas. A.10.10.1 Registro de auditora Control Deben producirse y mantenerse los registros de auditorias que registren actividades, excepciones y eventos de seguridad de la informacin del usuario, durante un periodo definido para ayudar en futuras investigaciones y seguimiento del control de accesos. A.10.10.2 Seguimiento de la utilizacin de los sistemas Control Deben establecerse los procedimientos para el seguimiento de la utilizacin de los recursos de procesamiento de la informacin y los resultados de las actividades de seguimiento revisadas regularmente. A.10.10.3 Proteccin de la informacin de registro Control Deben protegerse los recursos de registro e informacin de registro contra el acceso manipulado y no autorizado. A.10.10.4 Administrador y operador de registros Control Deben registrarse las actividades del administrador del sistema y el operador del sistema. A.10.10.5 Registro de fallas Control Las fallas deben registrarse, analizarse y tomarse las acciones apropiadas.
23
A.10.10.6
Sincronizacin de relojes
Control Los relojes de todos los sistemas de procesamiento de la informacin pertinentes dentro de una organizacin o dominio de seguridad deben sincronizarse con una fuente de tiempo exacta acordada.
A.11 Control de accesos A.11.1 Requisitos del negocio para el control de accesos Objetivo: Controlar los accesos a la informacin. A.11.1.1 Poltica de control de accesos Control Debe establecerse, documentarse y revisarse una poltica de control de accesos, basado en los requisitos del negocio y de seguridad para el acceso. A.11.2 Gestin de acceso de usuarios Objetivo: Asegurar el accesos del usuario autorizado y prevenir el acceso no autorizado a los sistemas de informacin. A.11.2.1 Registro de usuarios Control Debe existir un procedimiento formal de registro y des-registro de usuarios para conceder y revocar el acceso a todos los sistemas y servicios de informacin. A.11.2.2 Gestin de privilegios Control Deben restringirse y controlarse la utilizacin y asignacin de privilegios. A.11.2.3 Gestin de contraseas de usuario Control Debe controlarse la asignacin de contraseas a travs de un proceso de gestin formal. A.11.2.4 Revisin de los derechos de acceso de usuario Control La direccin debe revisar los derechos de acceso de los usuarios a intervalos regulares utilizando un proceso formal. A.11.3 Responsabilidades de usuarios Objetivo: Prevenir el acceso de usuarios no autorizados, y comprometer o robar la informacin y los recursos de procesamiento de informacin. A.11.3.1 Uso de contraseas Control Debe requerirse a los usuarios seguir las buenas prcticas de seguridad para la seleccin y uso de sus contraseas A.11.3.2 Equipo desatendido Control Los usuarios deben asegurar que los equipos desatendidos estn debidamente protegidos.
24
A.11.3.3
Polticas de escritorios y pantallas limpias
Control Para los recursos de procesamiento de informacin, debe adoptarse una poltica de escritorios limpios de papel y de dispositivos de almacenamiento removibles y una poltica de pantallas limpias.
A.11.4 Control de acceso a la red Objetivo: Prevenir el acceso no autorizado a los servicios de red. A.11.4.1 Poltica de utilizacin de los servicios de red Control Los usuarios slo deben tener acceso a los servicios que han sido especficamente autorizados a utilizar. A.11.4.2 Autenticacin de usuarios para conexiones externas Control Deben utilizarse mtodos de autentificacin apropiados para controlar el acceso por usuarios remotos. A.11.4.3 Identificacin de equipo en redes Control Debe considerarse la identificacin de equipo automtico como un medio de autentificar las conexiones de ubicaciones y equipos especficos. A.11.4.4 Proteccin del Diagnstico remoto y de la configuracin de puerto Segregacin en redes Control Debe controlarse el acceso fsico y lgico para el diagnstico y configuracin de los puertos. Control Deben segregarse los grupos de los servicios de informacin, los usuarios, y los sistemas de informacin en las redes. A.11.4.6 Control de conexin de redes Control Para redes compartidas, especialmente aquellas que atraviesan las fronteras de la organizacin, la capacidad de usuarios a conectarse a la red deben restringirse, de acuerdo con la poltica de control de acceso y los requisitos de las aplicaciones del negocio (vase apartado 11.1). A.11.4.7 Control de direccionamiento en la red Control Deben implementarse los controles de direccionamiento a redes para asegurar que las conexiones entre computadora y los flujos de informacin no violen la poltica de control de acceso de las aplicaciones del negocio. A.11.5 Control de acceso al sistema operativo Objetivo: Prevenir el acceso no autorizado a los sistemas operativos. A.11.5.1 Procedimientos de conexin de segura Control Debe controlarse el acceso a los sistemas operativos por un procedimiento de conexin segura.
A.11.4.5
25
A.11.5.2
Identificacin y autenticacin del usuario
Control Todos los usuarios deben disponer de un identificador nico (ID de usuario) slo para su uso personal y debe seleccionarse una tcnica de autenticacin adecuada, para probar la identidad declarada de un usuario.
A.11.5.3
Sistema de gestin de contraseas
Control Los sistemas para la gestin de contraseas deben ser interactivos y deben asegurar la calidad de las contraseas.
A.11.5.4
Utilizacin de las prestaciones del sistema.
Control Debe restringirse y controlarse estrechamente la utilizacin de programas de servicio que podran ser capaces de eludir las medidas de control del sistema y de las aplicaciones
A.11.5.5
Sesin inactiva
Control Las sesiones inactivas deben apagarse despus de un perodo definido de la inactividad.
A.11.5.6
Limitacin del tiempo de conexin
Control Las restricciones al horario de conexin deben ser utilizadas para proporcionar seguridad adicional a las aplicaciones de alto riesgo.
A.11.6 Control de acceso a las aplicaciones e informacin Objetivo: Prevenir el acceso no autorizado a la informacin contenida en los sistemas de aplicacin. A.11.6.1 Restriccin de acceso a la informacin Control El acceso a la informacin y a las funciones del sistema de aplicacin por usuarios y personal de soporte debe restringirse de acuerdo con la poltica de control de acceso definida. A.11.6.2 Aislamiento de sistemas sensibles Control Los sistemas sensibles deben tener un entorno informtico dedicado (aislados). A.11.7 Computacin mvil y trabajo a distancia Objetivo: Asegurar la seguridad de la informacin cuando se utilizan recursos de computacin mvil y de trabajo a distancia. A.11.7.1 Computacin mvil comunicaciones y Control Debe implantarse una poltica formal, y deben adoptarse las medidas de seguridad apropiadas para proteger contra los riesgos de utilizar recursos de computacin mvil y de comunicacin.. A.11.7.2 Trabajo a distancia Control Deben desarrollarse e implementarse polticas, planes operacionales y procedimientos para las actividades de trabajo a distancia.
26
A.12 Adquisicin, desarrollo y mantenimiento de sistemas de informacin A.12.1 Requisitos de seguridad de los sistemas de informacin Objetivo: Asegurar que la seguridad es una parte integral de los sistemas de informacin. A.12.1.1 Anlisis y especificacin de los requisitos de seguridad Control Las declaraciones de los requisitos del negocio para los nuevos sistemas de informacin o mejoras a los sistemas de informacin existentes deben especificar los requisitos de control de seguridad. A.12.2 Procesamiento correcto en las aplicaciones Objetivo: Prevenir los errores, prdida, modificacin no autorizada o mal uso de la informacin en las aplicaciones. A.12.2.1 Validacin entrada de datos de Control Deben validarse los datos de entrada a las aplicaciones para asegurarse de que stos son correctos y apropiados A.12.2.2 Control del procesamiento interno Control Deben incorporarse a las aplicaciones las comprobaciones de validacin para detectar cualquier corrupcin de la informacin a travs de los errores de procesamiento o actos deliberados. A.12.2.3 Integridad de mensaje Control Deben identificarse los requisitos para asegurar la autenticidad y proteger la integridad de mensajes en aplicaciones, e identificarse e implementarse los controles apropiados. A.12.2.4 Validacin de los datos de salida Control Deben validarse los datos de salida de una aplicacin para asegurarse de que el procesamiento de la informacin almacenada es correcto y apropiado a las circunstancias. A.12.3 Controles criptogrficos Objetivo: Proteger la confidencialidad, autenticidad o integridad de la informacin por los medios criptogrficos. A.12.3.1 Poltica sobre la utilizacin de controles criptogrficos Control Debe desarrollarse e implementarse una poltica sobre la utilizacin de controles criptogrficos para la proteccin de la informacin. A.12.3.2 Gestin de claves Control Debe establecerse la gestin de clave para dar apoyo a la utilizacin por la organizacin de tcnicas criptogrficas
27
A.12.4 Seguridad de los archivos del sistema Objetivo: Asegurar la seguridad de los archivos del sistema. A.12.4.1 Control operativo del software Control Deben existir procedimientos establecidos para controlar la instalacin del software en sistemas en funcionamiento. A.12.4.2 Proteccin de los datos de prueba del sistema Control Deben seleccionarse cuidadosamente controlarse los datos de prueba. A.12.4.3 Control de acceso al cdigo fuente del programa Control Debe restringirse el acceso al cdigo fuente del programa. A.12.5 Seguridad en los procesos de desarrollo y soporte Objetivo: Mantener la seguridad del software y la informacin del sistema de aplicacin A.12.5.1 Procedimientos de control de cambios Control La implementacin de los cambios debe ser controlada por la utilizacin de procedimientos formales de control de cambio.. A.12.5.2 Revisin tcnica de aplicaciones despus de los cambios de sistema operativo Control Cuando los sistemas operativos son cambiados, deben revisarse y probarse las aplicaciones crticas del negocio para asegurar de que no hay impacto adverso sobre las operaciones o la seguridad de la organizacin. Control Las modificaciones a paquetes de software deben ser desalentadas, limitadas a los cambios necesarios, y todo cambio debe controlarse estrictamente. Control Deben prevenirse las oportunidades de fuga de informacin. A.12.5.5 Desarrollo de software contratado externamente Control La organizacin debe supervisar y realizar seguimiento al desarrollo de software contratado externamente. A.12.6 Gestin de vulnerabilidad tcnica Objetivo: Reducir los riesgos que resultan de la explotacin de las vulnerabilidades tcnicas publicadas. A.12.6.1 Control de las vulnerabilidades tcnicas Control Debe obtenerse la informacin oportuna sobre las vulnerabilidades tcnicas del sistema de informacin que est siendo utilizado, evaluarse la exposicin de la organizacin a tales vulnerabilidades, y tomarse las medidas apropiadas para tratar el riesgo asociado. y protegerse y
A.12.5.3
Restricciones en los cambios a los paquetes de software.
A.12.5.4
Fuga de informacin
28
A.13 Gestin de incidente de seguridad de la informacin A.13.1 Reportar los eventos y debilidades de seguridad de la informacin Objetivo: Asegurar que los eventos y debilidades de seguridad de la informacin asociadas con los sistemas de informacin sean comunicados de una manera tal que permita que la accin correctiva sea tomada oportunamente. A.13.1.1 Reporte de los eventos de seguridad de informacin Control Deben reportarse los eventos de seguridad de la informacin a travs de los canales de gestin apropiados tan rpidamente como sea posible. A.13.1.2 Reporte de debilidades de seguridad Control Debe requerirse a todos los empleados, contratistas y usuarios de terceras partes de los sistemas y servicios de informacin, detectar e informar cualquier debilidad en la seguridad de los sistemas o servicios, que haya sido observada o sospechada. A.13.2 Gestin de los incidentes y mejoras de seguridad de la informacin Objetivo: Asegurar que un enfoque coherente y eficaz es aplicado a la gestin de los incidentes de seguridad de la informacin. A.13.2.1 Responsabilidades procedimientos y Control Deben establecerse las responsabilidades y procedimientos de gestin para asegurar una respuesta rpida, eficaz y ordenada a los incidentes de seguridad de informacin. A.13.2.2 Aprendizaje de los incidentes de seguridad de la informacin Control Deben establecerse mecanismos que permitan cuantificar y realizar el seguimiento de los tipos, volmenes y costos de los incidentes de seguridad de informacin Control Cuando una accin de seguimiento contra una persona u organizacin, despus de un incidente de seguridad de la informacin que involucra accione legales (civiles o criminales), deben recolectarse, conservarse y presentarse evidencias conforme a las reglas establecidas por la legislacin aplicable o por el tribunal que sigue el caso. A.14 Gestin de continuidad del negocio A.14.1 Aspectos de seguridad de la informacin de la gestin de continuidad del negocio Objetivo: Contrarrestar las interrupciones de las actividades del negocio y proteger los procesos crticos del negocio de los efectos de fallas significativas o desastres de los sistemas de informacin y asegurar su reanudacin oportuna A.14.1.1 Inclusin de la seguridad de la informacin en el proceso de gestin de la continuidad del negocio Control Un proceso dirigido debe ser desarrollado y mantenido para la continuidad del negocio a travs de la organizacin que trate los requisitos de seguridad de la informacin necesarios para la continuidad del negocio de la organizacin.
A.13.2.3
Recoleccin de evidencias
29
A.14.1.2
Continuidad del negocio y evaluacin de riesgo
Control Los eventos que pueden causar las interrupciones a los procesos del negocio deben identificarse, al mismo tiempo que la probabilidad e impacto de tales interrupciones y sus consecuencias para la seguridad de la informacin.
A.14.1.3
Desarrollo e implementacin de planes de continuidad que incluyan la seguridad de la informacin Marco de planificacin para la continuidad del negocio
Control Deben desarrollarse e implementarse planes para mantener y recuperar las operaciones y asegurar la disponibilidad de la informacin al nivel requerido y en los plazos requeridos, tras la interrupcin o la falla de los procesos crticos del negocio. Control Se debe mantener un esquema nico de planes de continuidad del negocio para asegurar que dichos planes son coherentes, para tratar coherentemente los requisitos de seguridad de la informacin y para identificar las prioridades de prueba y mantenimiento.
A.14.1.4
A.14.1.5
Prueba, mantenimiento y reevaluacin de los planes de continuidad del negocio
Control Deben /probarse y actualizarse con regularidad los planes de continuidad del negocio para asegurarse de su actualizacin y eficacia.
A.15 Cumplimiento A.15.1 Cumplimiento de requisitos legales Objetivo: Evitar incumplimientos de cualquier ley, estatuto, obligacin reglamentarias o contractuales, y de cualquier requisito de seguridad A.15.1.1 Identificacin de la legislacin aplicable Control Deben definirse, documentarse y mantenerse actualizados todos requisitos legales, reglamentarios y contractuales pertinentes y el enfoque de la organizacin que cumplan estos requisitos para cada sistema de informacin y de la organizacin. A.15.1.2 Derechos de propiedad intelectual (DPI) Control Deben implementarse los procedimientos apropiados para asegurar el cumplimiento de los requisitos legales, reglamentarios y contractuales sobre el uso del material protegido por derechos de propiedad intelectual, y sobre el uso de productos de software reservados. A.15.1.3 Proteccin de los registros de la organizacin Control Deben protegerse los registros importantes contra prdida, destruccin y falsificacin, de acuerdo con los requisitos legales, estatutarios, reglamentarios y contractuales y del negocio.
30
A.15.1.4
Proteccin de datos y de la privacidad de la informacin personal
Control Deben asegurarse la proteccin de datos y la privacidad como sea requerido en la legislacin, las reglamentaciones pertinentes, y, si es aplicable, en las clusulas contractuales. Control Debe disuadirse a los usuarios de utilizar los recursos de procesamiento de la informacin para propsitos no autorizados. Control Deben utilizarse los controles criptogrficos en cumplimiento con todos los acuerdos, leyes, y regulaciones pertinentes.
A.15.1.5
Prevencin del mal uso de los recursos de procesamiento de la informacin Regulacin de controles criptogrficos
A.15.1.6
A.15.2 Cumplimiento con las polticas y normas de seguridad y el cumplimiento tcnico Objetivo: Asegurar el cumplimiento de los sistemas con las polticas y normas de seguridad de la organizacin. A.15.2.1 Cumplimiento con las polticas y normas de seguridad Control Los gerentes deben asegurar que todos los procedimientos de seguridad dentro de su rea de responsabilidad son llevados a cabo correctamente para alcanzar el cumplimiento con las normas y polticas de seguridad. Control Debe comprobarse regularmente la compatibilidad de los sistemas de informacin con las normas de implementacin de seguridad. A.15.3 Consideraciones de auditora de los sistemas de informacin Objetivo: Maximizar la efectividad y minimizar las interferencias en el proceso de auditora del sistema de la informacin. A.15.3.1 Controles de auditora de los sistemas de informacin Control Deben planificarse cuidadosamente y acordarse los requisitos y actividades de auditora que involucren comprobaciones en los sistemas operativos, para minimizar el riesgo de interrupcin de los procesos de negocio. A.15.3.2 Proteccin de las herramientas de auditora de los sistemas de informacin Control Debe protegerse el acceso a las herramientas de auditora del sistema de la informacin para prevenir cualquier posible mal uso o compromiso.
A.15.2.2
Comprobacin del cumplimiento tcnico
31
FONDONORMA-ISO/IEC 27001:2006 ANEXO B (informativo) Principios OECD y esta Norma Los principios dados en las directrices OEDC para los sistemas de seguridad de la informacin y redes aplican a todos los niveles de la poltica y operacional que rigen los sistemas de seguridad de la informacin y las redes. Esta Norma proporciona un marco al sistema de gestin de seguridad de la informacin para implementar algunos de los principios de OECD utilizando el modelo PHVA y los procesos descritos en los Captulos 4, 5, 6 y 8, como se indica en la tabla 1. Tabla B.1. Principios OECD y el modelo PHVA Principio OECD Toma de conciencia Los participantes deberan estar conscientes de las necesidad de los sistemas de seguridad de la informacin y redes y de que pueden ellos hacer para incrementar la seguridad Responsabilidad Todos los participantes son responsables de los sistemas y de seguridad de la informacin y redes Respuesta Los participantes deberan actuar de manera temprana y cooperativa para prevenir, detectar y responder a los incidentes de seguridad Proceso correspondiente de la Norma de Sistema de Gestin y etapa PHVA Esta actividad es parte de la etapa Hacer (vase apartados 4.2.2 y 5.2.2).
Esta actividad es parte de la etapa Hacer (vase apartados 4.2.2 y 5.1)
Esta es una parte de la actividad de seguimiento de la etapa Verificar (vase apartados 4.2.3 y 6 hasta apartado 7.3) y una actividad de respuesta de la etapa Actuar (vase apartados 4.2.4 y 8.1 hasta apartado 8.3). Esto tambin puede estar cubierto por algunos aspectos da las etapas Planificar y Verificar. Esta actividad es parte de la etapa Planificar (vase apartado 4.2.1) y la re-evaluacin del riesgo es parte de la etapa Verificar (vase apartado 4.2.3 y 6 hasta apartado 7.3) Una vez que la evaluacin del riesgo ha sido completada, los controles son seleccionados para el tratamiento de los riesgos como parte de la etapa Planificar (vase apartado 4.2.1). La etapa Hacer (vase apartados 4.2.2 y 5.2) entonces cubre la implementacin y el uso operacional de stos controles La gestin del riesgo es un proceso que incluye la prevencin, la deteccin y la respuesta a los incidentes, el mantenimiento continuo, la revisin y la auditora. Todos estos aspectos son cubiertos en las etapas Planificar, Hacer, Verificar y Actuar. La re-evaluacin de la seguridad de la informacin es una parte de la etapa Verificar (vase apartados 4.2.3 y 6 hasta 7.3) donde revisiones regulares deberan emprenderse para verificar la efectividad del sistema de gestin de seguridad de la informacin, y la mejora de la seguridad que es parte de la etapa Actuar (vase apartados 4.2.4 y 8.1 hasta 8.3).
Evaluacin del riesgo Los participantes deberan conducir las evaluaciones del riesgo. Diseo e implementacin de la seguridad Los participantes deberan incorporar la seguridad como un elemento esencial de los sistemas de informacin y las redes.
Gestin de la seguridad Los participantes deben adoptar un enfoque amplio para la gestin de la seguridad.
Re-evaluacin Los participantes deben revisar y deben re-evaluar la seguridad de los sistemas de informacin y redes, y hacer modificaciones apropiadas a las polticas, prcticas, mediciones y procedimientos de seguridad.
32
FONDONORMA-ISO/IEC 27001:2006 ANEXO C (informativo) Correspondencia entre la Norma ISO 9001:2000, ISO 14001:2004 y esta Norma La tabla C.1 muestra la correspondencia entre la Norma ISO 9001:2000, la ISO 14001:2004 y esta Norma. Tabla C.1. Correspondencia entre la Norma ISO 9001:2000, la ISO 14001:2004 y esta Norma Esta Norma 0 Introduccin 0.1 Generalidades 0.2 Enfoque de procesos ISO 9001:2000 0 Introduccin 0.1 Generalidades 0.2 Enfoque de procesos 0.3 Relacin con ISO 9004 0.3 Compatibilidad con otros sistemas de gestin 1 Objeto y campo de aplicacin 1.1 Generalidades 1.2 Aplicacin 2 Referencias normativas 3 Trminos y definiciones 4 Sistema de gestin de Seguridad de la informacin 4.1 Requisitos generales 4.2 Establecimiento y gestin de SGSI 4.2.1 Establecimiento del SGSI 4.2.2 Implementacin y operacin del SGSI 4.2.3 Seguimiento y revisin del SGSI 8.2.3 Seguimiento y medicin de los procesos 8.2.4 Seguimiento y medicin del producto 4.2.4 Mantenimiento y mejora del SGSI 4.3 Requisitos de la documentacin 4.3.1 Generalidades 4.2 Requisitos de la documentacin 4.2.1 Generalidades 4.2.2 Manual de la Calidad 4.3.2 Control de los documentos 4.3.3 Control de los registros 4.2.3 Control de los documentos 4.2.4 Control de los registros 4.4.5 Control de la documentacin 4.5.4 Control de los registros 4.4 Implementacin y operacin 4.5.1 Seguimiento y medicin 0.4 Compatibilidad con otros sistemas de gestin 1 Objeto y campo de aplicacin 1.1 Generalidades 1.2 Aplicacin 2 Referencias normativas 3 Trminos y definiciones 4 Sistema de gestin de la calidad 4.1 Requisitos generales 2 Referencias normativas 3 Trminos y definiciones 4 Requisitos SGA 4.1 Requisitos generales 1 Objeto y campo de aplicacin ISO 14001:2004 Introduccin
33
Esta Norma 5 Responsabilidad de la direccin 5.1 Compromiso de la direccin
ISO 9001:2000 5 Responsabilidad de la direccin 5.1 Compromiso de la direccin 5.2 Enfoque al cliente 5.3 Poltica de la calidad 5.4 Planificacin 5.5 Responsabilidad, autoridad y comunicacin
ISO 14001:2004
4.2 Poltica ambiental 4.3 Planificacin
5.2 Gestin de los recursos 5.2.1 Provisin de recursos
6 Gestin de los recursos 6.1 Provisin de recursos 6.2 Recursos humanos
5.2.2 Formacin, toma de conciencia y competencia
6.2.2 Competencia, toma de conciencia y formacin 6.3 Infraestructura 6.4 Ambiente de trabajo
4.4.2 Competencia, formacin y toma de conciencia
6 Auditoras internas del SGSI 7 Revisin por la direccin del SGSI 7.1 Generalidades 7.2 Revisin de los elementos de entrada 7.3 Revisin de los resultados 8 Mejora del SGSI 8.1 Mejora continua 8.2 Accin correctiva 8.3 Accin preventiva Anexo A Objetivos de control y controles Anexo B Principios OECD y esta Norma Anexo C Correspondencia entre la Norma ISO 9001:2000, ISO 14001:2004 y esta Norma
8.2.2 Auditoras internas 5.6 Revisin por la direccin 5.6.1 Generalidades 5.6.2 Revisin de los elementos de entrada 5.6.3 Revisin de los resultados 8.5 Mejora 8.5.1 Mejora continua 8.5.3 Acciones correctivas 8.5.3 Acciones preventivas
4.5.5 Auditoras internas 4.6 Revisin por la direccin
4.5.3 No-conformidad, accin correctiva y accin preventiva
Anexo A Orientaciones para la utilizacin de esta norma
Anexo A Correspondencia entre ISO 9001:2000 e ISO 14001:1996
Anexo B Correspondencia entre ISO 14001:2004 e ISO 9001:2000
34
BIBLIOGRAFA
Publicaciones de Normas [1] [2] ISO 9001:2000, Sistemas de Gestin de la Calidad. Requisitos ISO/IEC 13335-1:2004, Information technology Security techniques Management of information and communications technology security Part 1: Concepts and models for information and communications technology security management ISO/IEC TR 13335-3:1998, Information technology Guidelines for the management of IT Security Part 3: Techniques for the management of IT security ISO/IEC TR 13335-4:2000, Information technology Guidelines for the management of IT Security Part 4: Selection of safeguards ISO 14001:2004, Sistemas de Gestin ambiental. Requisitos con orientacin para su uso ISO/IEC TR 18044:2004, Information technology Security techniques Information security incident management ISO 19011:2002, Directrices para la auditora de los sistemas de gestin de la calidad y/o ambiental ISO/IEC Gua 62:1996, Requisitos generales para los organismos que operan la evaluacin y la certificacin/ Registro de sistemas de la calidad ISO/IEC Guide 73:2002, Risk management Vocabulary Guidelines for use in standards
[3] [4] [5] [6] [7] [8] [9]
Otras publicaciones [1] [2] [3] OECD, Guidelines for the Security of Information Systems and Networks Towards a Culture of Security. Paris: OECD, July 2002. www.oecd.org NIST SP 800-30, Risk Management Guide for Information Technology Systems Deming W.E., Out of the Crisis, Cambridge, Mass: MIT, Center for Advanced Engineering Study, 1986.
35
Prlogo
ISO (Organizacin Internacional de Normalizacin) e IEC (Comisin Electrotcnica Internacional) constituyen el sistema especializado para la normalizacin a nivel mundial. Los rganos nacionales que son miembros de ISO o IEC participan en el desarrollo de Normas Internacionales a travs de Comits Tcnicos establecidos por las organizaciones respectivas para realizar acuerdos en los campos especficos de la actividad tcnica. Los Comits Tcnicos de ISO e IEC colaboran en los campos de inters mutuo. Otras organizaciones internacionales, gubernamentales y no gubernamentales, en colaboracin con ISO e IEC, tambin toman parte en el trabajo. En el campo de tecnologa de la informacin, ISO e IEC han establecido un Comit Tcnico conjunto, el denominado ISO/IEC JTC 1. Las Normas Internacionales se elaboran de acuerdo a las reglas dadas en las Directivas de ISO/IEC, parte 2. La tarea principal del Comit Tcnico conjunto es preparar Normas Internacionales. Los borradores de Normas Internacionales adoptadas por el Comit Tcnico conjunto son circulados a los organismos nacionales para la votacin. La publicacin como Norma Internacional requiere la aprobacin de al menos el 75% de los organismos nacionales. Es importante sealar la posibilidad de que algunos elementos de esta Norma Internacional pueden estar sujetos a derechos de patente. ISO e IEC no son responsables de la identificacin de alguno o todos de esos derechos de patentes. La Norma Internacional ISO/IEC 27001 fue elaborada por el Comit Tcnico conjunto ISO/IEC JTC 1, Tecnologa de la Informacin, Subcomit SC 27, Tcnicas de seguridad de TI.
FONDONORMA 2006
FONDONORMA ISO/IEC 27001:2006

(ISO/IEC 27001:2005)
CATEGORA E
FONDONORMA Av. Andrs Bello Edif. Torre Fondo Comn Pisos 11 y 12

Telf. 575.41.11 Fax: 574.13.12 CARACAS
publicacin de:
Depsito Legal: lf55520063892519 I.C.S: 35.040
FONDONORMA
RESERVADOS TODOS LOS DERECHOS Prohibida la reproduccin total o parcial, por cualquier medio.
FONDONORMA 2006

2006

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

2006

Загружено:

Авторское право:

Доступные форматы

NORMA

TECNOLOGA DE LA INFORMACIN TCNICAS DE SEGURIDAD. SISTEMA DE GESTIN DE SEGURIDAD DE LA INFORMACIN. REQUISITOS.

FONDO PARA LA NORMALIZACIN Y CERTIFICACIN DE LA CALIDAD

Planificar Partes Interesadas Establecer el SGSI Partes Interesadas

Implementar y operar el SGSI

Mantener y mejorar el SGSI

Requisitos y expectativas de Seguridad de la Informacin

Realizar Seguimiento y revisar el SGSI Verificar

Seguridad de la Informacin gestionada

Planificar (establecer el SGSI)

Hacer (implementar y operar el SGSI)

Verificar (realizar seguimiento y revisar el SGSI)

Actuar (mantener y mejorar el SGSI)

FONDONORMA Todos los derechos reservados

FONDONORMA Todos los derechos reservados

FONDONORMA-ISO/IEC 27001:2006 3 TRMINOS Y DEFINICIONES

FONDONORMA Todos los derechos reservados

FONDONORMA-ISO/IEC 27001:2006 3.10 Aceptacin del riesgo

SISTEMA DE GESTIN DE SEGURIDAD DE LA INFORMACIN

FONDONORMA Todos los derechos reservados

Implementacin y operacin el SGSI

FONDONORMA Todos los derechos reservados

a) La organizacin debe regularmente hacer lo siguiente. 8

FONDONORMA Todos los derechos reservados

La organizacin debe determinar y proporcionar los recursos necesarios para:

FONDONORMA Todos los derechos reservados

FONDONORMA Todos los derechos reservados

FONDONORMA-ISO/IEC 27001:2006 7 REVISIN POR LA DIRECCIN DEL SGSI

FONDONORMA Todos los derechos reservados

FONDONORMA-ISO/IEC 27001:2006 8 MEJORA DEL SGSI

FONDONORMA Todos los derechos reservados

Revisin de la poltica de seguridad de la informacin

Coordinacin de la seguridad de la informacin

FONDONORMA Todos los derechos reservados

Proceso de autorizacin para los recursos de procesamiento de la informacin Acuerdos confidencialidad de

Contacto con autoridades

Contacto con grupos interesados especiales

Revisin independiente de la seguridad de la informacin

Tratamiento de la seguridad en las relaciones con clientes

Tratamiento de la seguridad en los acuerdos de terceras partes

FONDONORMA Todos los derechos reservados

FONDONORMA Todos los derechos reservados

FONDONORMA Todos los derechos reservados

Retiro de los derechos de acceso

Proteccin contra las amenazas externas y ambientales

reas de acceso al pblico, entrega y carga

FONDONORMA Todos los derechos reservados

FONDONORMA Todos los derechos reservados

Gestin de cambios para los servicios de tercera parte

FONDONORMA Todos los derechos reservados

FONDONORMA Todos los derechos reservados

Procedimientos de manejo de la informacin

Seguridad de la documentacin de sistemas

Control La documentacin de sistema debera protegerse contra el acceso no autorizado

FONDONORMA Todos los derechos reservados

FONDONORMA Todos los derechos reservados

FONDONORMA Todos los derechos reservados

Polticas de escritorios y pantallas limpias

FONDONORMA Todos los derechos reservados

Identificacin y autenticacin del usuario

Sistema de gestin de contraseas

Utilizacin de las prestaciones del sistema.

Limitacin del tiempo de conexin