Академический Документы
Профессиональный Документы
Культура Документы
PERUANA
NTP-ISO/IEC 27001
2014
2014-11-20
2 Edicin
ISO/IEC 2013
Todos los derechos son reservados. A menos que se especifique lo contrario, ninguna parte de esta
publicacin podr ser reproducida o utilizada por cualquier medio, electrnico o mecnico, incluyendo
fotocopia o publicndolo en el Internet o intranet, sin permiso por escrito del INDECOPI, nico
representante de la ISO/IEC en territorio peruano.
INDECOPI 2014
Todos los derechos son reservados. A menos que se especifique lo contrario, ninguna parte de esta
publicacin podr ser reproducida o utilizada por cualquier medio, electrnico o mecnico, incluyendo
fotocopia o publicndolo en el Internet o intranet, sin permiso por escrito del INDECOPI.
INDECOPI
Calle de La Prosa 104, San Borja
Lima- Per
Tel.: +51 1 224-7777
Fax.: +51 1 224-1715
sacreclamo@indecopi.gob.pe
www.indecopi.gob.pe
i
ISO/IEC 2013 - INDECOPI 2014 - Todos los derechos son reservados
NDICE
pgina
NDICE
ii
PREFACIO
iv
PRLOGO (ISO)
vi
0.
INTRODUCCIN (ISO)
vii
0.1
Generalidades
vii
1.
2.
REFERENCIAS NORMATIVAS
3.
TRNINOS Y DEFINICIONES
4.
4.1
4.2
4.3
2
2
2
2
4.4
CONTEXTO DE LA ORGANIZACION
Comprender la organizacin y su contexto
Comprender las necesidades y expectativas de las partes interesadas
Determinar el alcance del sistema de gestin
de seguridad de la informacin
Sistema de gestin de seguridad de la informacin
5.
5.1
5.2
5.3
LIDERAZGO
Liderazgo y compromiso
Poltica
Roles, responsabilidades y autoridades organizacionales
3
3
4
4
6.
6.1
6.2
PLANIFICACIN
Acciones para tratar los riesgos y las oportunidades
Objetivos de seguridad de la informacin y
planificacin para conseguirlos
5
5
8
7.
7.1
7.2
7.3
7.4
7.5
SOPORTE
Recursos
Competencia
Concientizacin
Comunicacin
Informacin documentada
9
9
9
9
10
10
ii
ISO/IEC 2013 - INDECOPI 2014 - Todos los derechos son reservados
8.
8.1
8.2
8.3
OPERACION
Planificacin y control operacional
Evaluacin de riesgos de seguridad de la informacin
Tratamiento de riesgos de seguridad de la informacin
12
12
12
13
9.
9.1
9.2
9.3
13
13
14
15
10.
10.1
10.2
MEJORAS
No conformidades y accin correctiva
Mejora continua
16
16
17
18
iii
ISO/IEC 2013 - INDECOPI 2014 - Todos los derechos son reservados
PREFACIO
A.
RESEA HISTRICA
A.1
La presente Norma Tcnica Peruana ha sido elaborada por el Comit
Tcnico de Normalizacin de Codificacin e intercambio electrnico de datos, mediante
el Sistema 1 o de Adopcin, durante los meses de abril a junio del 2014, utilizando
como antecedente a la norma ISO/IEC 27001:2013 Information Technology Security
techniques Information security management systems Requirements y la ISO/IEC
27001:2013/COR 1 2013 Information Technology Security techniques Information
security management systems Requirements
A.2
El Comit Tcnico de Normalizacin de Codificacin e intercambio
electrnico de datos present a la Comisin de Normalizacin y de Fiscalizacin de
Barreras Comerciales no Arancelarias -CNB-, con fecha 2014-08-19, el
PNTP-ISO/IEC 27001:2014, para su revisin y aprobacin, siendo sometido a la etapa
de discusin pblica el 2014-10-18. No habindose presentado observaciones fue
oficializada como Norma Tcnica Peruana NTP-ISO/IEC 27001:2014
TECNOLOGA DE LA INFORMACIN. Tcnicas de seguridad. Sistemas de
gestin de seguridad de la informacin. Requisitos, 2 Edicin, el 01 de diciembre de
2014.
A.3
Esta Norma Tcnica Peruana reemplaza a la NTP-ISO/IEC 27001:2008
(revisada el 2013) y es una adopcin de la norma ISO/IEC 27001:2013 y de la ISO/IEC
27001:2013/COR 1 . La presente Norma Tcnica Peruana presenta cambios editoriales
referidos principalmente a terminologa empleada propia del idioma espaol y ha sido
estructurada en concordancia a las Guas Peruanas GP 001:1995 y GP 002:1995.
B.
INSTITUCIONES QUE PARTICIPARON EN LA ELABORACIN
DE LA NORMA TCNICA PERUANA
Secretara
GS1 PERU
Presidente
Roberto Puy
Secretaria
Mary Wong
iv
ISO/IEC 2013 - INDECOPI 2014 - Todos los derechos son reservados
ENTIDAD
REPRESENTANTE
B2IMPROVE S.A.C.
Beln Alvarado
CONSULTOR
Carlos Horna
Diana Lagos
Adela Brcenas
Walter Equizabal
INDECOPI
Ivan Ancco
Ral Miranda
SUPERINTENDENCIA DE ADMINISTRACION
TRIBUTARIA SUNAT
Daniel Llanos
GS1 PERU
Sara Carrin
Marco Bermdez
Joel Mercado
FOLIUM S.A.C.
Roberto Huby
ONGEI
Ricardo Dioses
Viktor Khlebnikov
Willy Carrera
ITICSEC S.A.C.
Maurice Frayssinet
Consultora
v
ISO/IEC 2013 - INDECOPI 2014 - Todos los derechos son reservados
PRLOGO
(ISO)
vi
ISO/IEC 2013 - INDECOPI 2014 - Todos los derechos son reservados
0.
INTRODUCCIN (ISO)
0.1
Generalidades
Esta Norma Tcnica Peruana ha sido preparado para proporcionar los requisitos para
establecer, implementar, mantener y mejorar continuamente un sistema de gestin de
seguridad de la informacin. La adopcin de un sistema de gestin de seguridad de la
informacin es una decisin estratgica para una organizacin. El establecimiento e
implementacin de un sistema de gestin de seguridad de la informacin de la
organizacin est influenciado por las necesidades y objetivos de la organizacin, los
requisitos de seguridad, los procesos organizativos utilizados y el tamao y estructura
de la organizacin. Se espera que todos estos factores influyentes cambien con el
tiempo.
El sistema de gestin de la seguridad de informacin preserva la confidencialidad,
integridad y disponibilidad de la informacin aplicando un proceso de gestin de riesgos
y proporciona confianza a las partes interesadas en el sentido en que los riesgos se
manejan adecuadamente.
Es importante que el sistema de gestin de la seguridad de la informacin sea parte de y
est integrado con los procesos de la organizacin y la estructura de gestin general y
que la seguridad de la informacin se considere en el diseo de procesos, sistemas y
controles de la informacin. Se espera que la implementacin de un sistema de gestin
de seguridad de la informacin crezca a escala en concordancia con las necesidades de
la organizacin.
Las partes internas y externas pueden utilizar esta Norma Tcnica peruana para evaluar
la capacidad que tiene la organizacin de cumplir los requisitos de seguridad de la
informacin de la propia organizacin.
El orden en el que se presentan los requisitos en esta Norma Tcnica Peruana no refleja
su importancia ni implica el orden en el que deben implementarse. Los elementos de la
lista se enumeran nicamente para propsitos de referencia.
ISO/IEC 27000 describe una visin general y el vocabulario de los sistemas de
seguridad de la informacin, haciendo referencia a la familia de normas del sistema de
gestin de seguridad de la informacin (incluyendo ISO/IEC 27003 [2], ISO/IEC
27004[3] e ISO/IEC 27005[4], con trminos y definiciones relacionadas.
0.2
Esta Norma Tcnica Peruana aplica la estructura de alto nivel, ttulos de sub-clausulas
idnticos, texto idntico, trminos comunes, y definiciones bsicas proporcionadas en el
Anexo SL de las Directivas ISO/IEC, Parte 1, Suplemento ISO Consolidado y, por lo
tanto, mantiene compatibilidad con otras normas de sistemas de gestin que han
adoptado el Anexo SL.
vii
ISO/IEC 2013 - INDECOPI 2014 - Todos los derechos son reservados
Este enfoque comn definido en el Anexo SL ser til para aquellas organizaciones que
elijan operar un sistema de gestin nico que satisfaga los requisitos de dos o ms
normas de sistemas de gestin.
---oooOooo---
viii
ISO/IEC 2013 - INDECOPI 2014 - Todos los derechos son reservados
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27001
1 de 36
Esta Norma Tcnica Peruana especifica los requisitos para establecer, implementar,
mantener y mejorar continuamente un sistema de gestin de seguridad de la informacin
dentro del contexto de la organizacin. Esta Norma Tcnica Peruana tambin incluye
requisitos para la evaluacin y tratamiento de los riesgos de seguridad de la informacin
orientados a las necesidades de la organizacin. Los requisitos establecidos en esta Norma
Tcnica Peruana son genricos y estn hechos para aplicarse a todas las organizaciones, sin
importar su tipo, tamao o naturaleza. Excluir cualquiera de los requisitos especificados en
las Clusulas 4 a 10 no es aceptable cuando una organizacin declara conformidad con esta
Norma Tcnica Peruana.
2.
REFERENCIAS NORMATIVAS
3.
TRMINOS Y DEFINICIONES
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27001
2 de 36
4.
CONTEXTO DE LA ORGANIZACION
4.1
La organizacin debe determinar los aspectos externos e internos que son relevantes para
este propsito y que afectan su capacidad de lograr el(los) resultado(s) deseados de este
sistema de gestin de seguridad de la informacin.
NOTA: Determinar si estos aspectos se refiere a establecer el contexto externo e interno de la
organizacin considerado en la Clusula 5.3 de ISO 31000:2009[5].
4.2
b)
NOTA: Los requisitos de las partes interesadas pueden incluir requisitos legales, regulatorios y
obligaciones contractuales.
4.3
b)
c)
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27001
3 de 36
4.4
5.
LIDERAZGO
5.1
Liderazgo y compromiso
La alta direccin debe demostrar liderazgo y compromiso respecto del sistema de gestin
de seguridad de la informacin:
a)
b)
c)
d)
e)
f)
g)
NORMA TCNICA
PERUANA
h)
5.2
NTP-ISO/IEC 27001
4 de 36
Poltica
a)
b)
c)
d)
e)
f)
g)
5.3
La alta direccin debe asegurar que las responsabilidades y la autoridad para los roles
relevantes a la seguridad de la informacin estn asignadas y comunicadas.
La alta direccin debe asignar la responsabilidad y la autoridad para:
a)
NORMA TCNICA
PERUANA
b)
NTP-ISO/IEC 27001
5 de 36
NOTA: La alta direccin tambin puede asignar responsabilidades y la autoridad para reportar
desempeo del sistema de gestin de seguridad de la informacin dentro de la organizacin.
6.
PLANIFICACIN
6.1
6.1.1
Generalidades
b)
c)
d)
e)
como
1)
2)
NORMA TCNICA
PERUANA
6.1.2
NTP-ISO/IEC 27001
6 de 36
c)
d)
1) comparando los resultados del anlisis de riesgo con los criterios de riesgo
establecidos en 6.1.2 a); y
2)
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27001
7 de 36
6.1.3
b)
determinar todos los controles que son necesarios para implementar la(s)
opcin(es) elegida(s) de tratamiento de riesgos de seguridad de la
informacin;
NOTA: Las organizaciones pueden disear controles segn se requiera, o identificarlos de cualquier
fuente.
c)
NOTA 1: El Anexo A contiene una lista integral de objetivos de control y controles. Los usuarios de
esta Norma Tcnica Peruana pueden dirigirse al Anexo A para asegurar que no se deje de lado ningn
control necesario.
NOTA 2: Los objetivos de control estn incluidos implcitamente en los controles escogidos. Los
objetivos de control y los controles listados en el Anexo A no son exhaustivos y pueden ser
necesarios objetivos de control y controles adicionales.
d)
e)
f)
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27001
8 de 36
6.2
b)
c)
d)
ser comunicados; y
e)
f)
qu se har;
g)
h)
i)
cundo se culminar;
j)
NORMA TCNICA
PERUANA
7.
SOPORTE
7.1
Recursos
NTP-ISO/IEC 27001
9 de 36
7.2
Competencia
La organizacin debe:
a)
b)
c)
d)
Retener informacin
competencia.
documentada
apropiada
como
evidencia
de
NOTA: Las acciones aplicables pueden incluir, por ejemplo: la provisin de capacitacin a, mentora
a, o reasignacin de los actuales empleados; o la contratacin de personas competentes.
7.3
Concientizacin
Las personas que trabajan bajo el control de la organizacin deben ser conscientes de:
a)
b)
NORMA TCNICA
PERUANA
c)
NTP-ISO/IEC 27001
10 de 36
7.4
Comunicacin
a)
qu comunicar;
b)
cundo comunicar;
c)
a quin comunicar;
d)
e)
7.5
Informacin documentada
7.5.1
Generalidades
b)
NORMA TCNICA
PERUANA
3)
7.5.2
NTP-ISO/IEC 27001
11 de 36
Creacin y actualizacin
b)
c)
7.5.3
Informacin documentada
que est disponible y sea conveniente para su uso donde y cuando sea
necesaria; y
b)
de prdida de
d)
e)
f)
retencin y disposicin.
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27001
12 de 36
8.
OPERACIN
8.1
8.2
NORMA TCNICA
PERUANA
8.3
NTP-ISO/IEC 27001
13 de 36
9.
9.1
b)
NOTA: Los mtodos seleccionados deberan producir resultados comparables y reproducibles para ser
considerados vlidos.
c)
d)
e)
f)
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27001
14 de 36
9.2
Auditora interna
b)
La organizacin debe:
c)
d)
e)
f)
g)
NORMA TCNICA
PERUANA
9.3
NTP-ISO/IEC 27001
15 de 36
el estado de las acciones con relacin a las revisiones anteriores por parte de
la gerencia;
b)
c)
2)
3)
resultados de auditora; y
4)
d)
e)
f)
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27001
16 de 36
10.
MEJORAS
10.1
a)
2)
b)
revisando la no conformidad;
2)
d)
e)
Las acciones correctivas deben ser apropiadas a los efectos de las no conformidades
encontradas.
La organizacin debe retener informacin documentada como evidencia de:
f)
g)
NORMA TCNICA
PERUANA
10.2
NTP-ISO/IEC 27001
17 de 36
Mejora continua
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27001
18 de 36
ANEXO A
(NORMATIVO)
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27001
19 de 36
Contacto
con
especiales de inters
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27001
20 de 36
A.8.1.2
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27001
21 de 36
A.8.1.4
Retorno de activos
Control
Las reglas para el uso aceptable de la
informacin y activos asociados con la
informacin y con las instalaciones de
procesamiento de la informacin deben ser
identificadas, documentadas e implementadas.
Control
Todos los empleados y usuarios de partes
externas deben retornar todos los activos de la
organizacin en su posesin a la conclusin de su
empleo, contrato o acuerdo.
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27001
22 de 36
A.8.3.3
Transferencia
fsicos
de
Control
Se debe poner a disposicin los medios de
manera segura cuando ya no se requieran,
utilizando procedimientos formales.
medios Control
Los medios que contienen informacin deben ser
protegidos contra el acceso no autorizado, el mal
uso o la corrupcin durante el transporte.
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27001
23 de 36
A.9.4.2
A.9.4.3
A.9.4.4
A.9.4.5
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27001
24 de 36
A.10 Criptografa
A.10.1 Controles criptogrficos
Objetivo: Asegurar el uso apropiado y efectivo de la criptografa para proteger la
confidencialidad, autenticidad y/o integridad de la informacin.
A.10.1.1
Poltica sobre el uso de Control
controles criptogrficos
Una poltica sobre el uso de controles
criptogrficos para la proteccin de la
informacin
debe
ser
desarrollada
e
implementada.
A.10.1.2
Gestin de claves
Control
Una poltica sobre el uso, proteccin y tiempo de
vida de las claves criptogrficas debe ser
desarrollada e implementada a travs de todo su
ciclo de vida.
A.11 Seguridad fsica y ambiental
A.11.1 reas seguras
Objetivo: Impedir acceso fsico no autorizado, dao e interferencia a la informacin y a las
instalaciones de procesamiento de la informacin de la organizacin.
A.11.1.1
Permetro de seguridad fsica Control
Permetros de seguridad deben ser definidos y
utilizados para proteger reas que contienen
informacin sensible o crtica e instalaciones de
procesamiento de la informacin.
A.11.1.2
A.11.1.3
A.11.1.4
A.11.1.5
Control
Las reas seguras deben ser protegidas por medio
de controles apropiados de ingreso para asegurar
que se le permite el acceso slo al personal
autorizado.
Asegurar oficinas, reas e Control
instalaciones
Seguridad fsica para
oficinas, reas e
instalaciones debe ser diseada e implementada.
Proteccin contra amenazas Control
externas y ambientales
Proteccin fsica contra desastres naturales,
ataque malicioso o accidentes debe ser diseada
y aplicada.
Trabajo en reas seguras
Control
Procedimientos para el trabajo en reas seguras
debe ser diseado y aplicado.
Controles de ingreso fsico
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27001
25 de 36
Control
Los puntos de acceso, como las reas de
despacho, carga y otros puntos en donde
personas no autorizadas pueden ingresar al local
deben ser controlados, y si fuera posible,
aislarlos de las instalaciones de procesamiento de
la informacin para evitar el acceso no
autorizado.
A.11.2 Equipos
Objetivo: Prevenir la prdida, dao, robo o compromiso de activos e interrupcin de las
operaciones de la organizacin.
A.11.2.1
Emplazamiento y proteccin Control
de los equipos
Los equipos deben ser ubicados y protegidos
para reducir los riesgos de amenazas y peligros
ambientales, as como las oportunidades para el
acceso no autorizado.
A.11.2.2
Servicios de suministro
Control
Los equipos deben ser protegidos contra fallas de
electricidad y otras alteraciones causadas por
fallas en los servicios de suministro.
A.11.2.3
Seguridad del cableado
Control
El cableado de energa y telecomunicaciones que
llevan datos o servicios de informacin de
soporte debe ser protegido de la interceptacin,
interferencia o dao.
A.11.2.4
Mantenimiento de equipos
Control
Los equipos deben mantenerse de manera
correcta para asegurar su continua disponibilidad
e integridad.
A.11.2.5
A.11.2.6
Control
Los equipos, la informacin o el software no
deben ser retirados de su lugar sin autorizacin
previa.
Seguridad de equipos y Control
activos
fuera
de
las La seguridad debe ser aplicada a los activos que
instalaciones
estn fuera de su lugar tomando en cuenta los
distintos riesgos de trabajar fuera de las
instalaciones de la organizacin.
Remocin de activos
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27001
26 de 36
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27001
27 de 36
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27001
28 de 36
A.13.1.3
Segregacin en redes
Control
Grupos de servicios de informacin, usuarios
y sistemas de informacin deben ser
segregados en redes.
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27001
29 de 36
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27001
30 de 36
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27001
31 de 36
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27001
32 de 36
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27001
33 de 36
Control
La organizacin debe definir y aplicar
procedimientos para la identificacin, recoleccin,
adquisicin y preservacin de informacin que
pueda servir como evidencia.
A.17 Aspectos de seguridad de la informacin en la gestin de continuidad del negocio
A.17.1 Continuidad de seguridad de la informacin
Objetivo: La continuidad de seguridad de la informacin debe estar embebida en los sistemas de
gestin de continuidad del negocio de la organizacin
A.17.1.1
Planificacin de continuidad Control
de
seguridad
de
la La organizacin debe determinar sus requisitos de
informacin
seguridad de la informacin y continuidad de la
gestin de seguridad de la informacin en
situaciones adversas, por ejemplo durante una
crisis o desastre.
A.17.1.2
Implementacin
de Control
continuidad de seguridad de La organizacin debe establecer, documentar,
la informacin
implementar y mantener procesos, procedimientos
y controles para asegurar el nivel requerido de
continuidad de seguridad de la informacin
durante una situacin adversa.
A.17.1.3
Verificacin, revisin
y Control
evaluacin de continuidad de La organizacin debe verificar los controles de
seguridad de la informacin
continuidad de seguridad de la informacin que
han establecido e implementado a intervalos
regulares para asegurarse que son vlidos y
efectivos durante situaciones adversas.
A.17.2 Redundancias
Objetivo: Asegurar la disponibilidad de las instalaciones y procesamiento de la informacin
A.17.2.1
Instalaciones
de Control
procesamiento
de
la Las instalaciones de procesamiento de la
informacin
informacin deben ser implementadas con
redundancia suficiente para cumplir con los
requisitos de disponibilidad.
A.18 Cumplimiento
A.18.1 Cumplimiento con requisitos legales y contractuales
Objetivo: Evitar infracciones de las obligaciones legales, estatutarias, regulatorias o
contractuales relacionadas a la seguridad de la informacin y a cualquier requisito de seguridad.
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27001
34 de 36
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27001
35 de 36
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27001
36 de 36
BIBLIOGRAFA
[1]
[2]
[3]
[4]
[5]
[6]