Вы находитесь на странице: 1из 10

Quito Ecuador

NORMA NTE INEN-ISO/IEC 27000


TCNICA Cuarta edicin
ECUATORIANA

TECNOLOGAS DE LA INFORMACIN TCNICAS DE


SEGURIDAD SISTEMAS DE GESTIN DE SEGURIDAD DE LA
INFORMACIN DESCRIPCIN GENERAL Y VOCABULARIO.
(ISO/IEC 27000:2016, IDT)

INFORMATION TECHNOLOGY SECURITY TECHNIQUES INFORMATION SECURITY


MANAGEMENT SYSTEMS OVERVIEW AND VOCABULARY (ISO/IEC 27000:2016)

_____________________________________

Correspondencia:

Esta Norma Tcnica Ecuatoriana es una traduccin idntica de la Norma Internacional ISO/IEC
27000:2016.

ICS: 01.040.35;35.040 38
Pginas

ISO 2016 Todos los derechos reservados


INEN 2016
NTE INEN ISO/IEC 27000

Prlogo nacional

Esta Norma Tcnica Ecuatoriana NTE INEN-ISO/IEC 27000, es una traduccin idntica de la Norma
Internacional ISO/IEC 27000:2016, Information technology Security techniques Information
security management systems Overview and vocabulary (ISO/IEC 27000:2016). El Servicio
Ecuatoriano de Normalizacin, INEN, es el responsable de la traduccin de esta Norma Tcnica
Ecuatoriana, y de su adopcin es el Comit Tcnico de Normalizacin del INEN, Tecnologas de la
informacin.

Para el propsito de esta Norma Tcnica Ecuatoriana se han hecho los siguientes cambios
editoriales:

a) Las palabras esta Norma Internacional han sido reemplazadas por esta norma
nacional.

ISO 2016 Todos los derechos reservados


INEN 2016
2016-xxx i
NTE INEN ISO/IEC 27000

ndice pgina
Prlogo .................................................................................................................................................. iv
0 Introduccin .................................................................................................................................. v
0.1 Descripcin General ...............................................................................................................v
0.2 Familia de normas SGSI.........................................................................................................v
0.3 Objeto de esta Norma Nacional................................................................................................. vi

1 Objeto y campo de aplicacin ...................................................................................................... 1

2 Trminos y definiciones ............................................................................................................... 1

3 Sistemas de gestin de seguridad de la informacin .............................................................. 14


3.1 Introduccin ........................................................................................................................ 14
3.2 Qu es un SGSI? ............................................................................................................. 14
3.2.1 Descripcin general y principios ............................................................................... 14
3.2.2 Informacin ............................................................................................................... 15
3.2.3 Seguridad de la informacin ..................................................................................... 15
3.2.4 Gestin ...................................................................................................................... 16
3.2.5 Sistema de gestin ................................................................................................... 16
3.3 Enfoque basado en procesos ............................................................................................. 16
3.4 Por qu es importante un SGSI? ..................................................................................... 16
3.5 Establecer, monitorear, mantener y mejorar el SGSI ......................................................... 17
3.5.1 Descripcin general .................................................................................................. 17
3.5.2 Identificar los requisitos de seguridad de la informacin .......................................... 18
3.5.3 Evaluacin de riesgos de seguridad de la informacin ............................................ 18
3.5.4 Tratamiento de los riesgos de seguridad de la informacin ..................................... 19
3.5.5 Seleccionar e implementar los controles .................................................................. 19
3.5.6 Monitorear, mantener y mejorar la eficacia de los SGSI ......................................... 20
3.5.7 Mejora continua......................................................................................................... 20
3.6 Factores crticos para el xito del SGSI ............................................................................ 21
3.7 Beneficios de la familia de normas del SGSI .................................................................... 22

4 Familia de Normas del SGSI ....................................................................................................... 22


4.1 Informacin general ............................................................................................................ 22
4.2 Normas que describen una descripcin general y terminologa ........................................ 23
4.2.1 ISO/IEC 27000 (esta norma nacional) ...................................................................... 23
4.3 Normas que especifican requisitos .................................................................................... 24
4.3.1 ISO/IEC 27001......................................................................................................... 24
4.3.2 ISO/IEC 27006 ........................................................................................................ 24
4.4 Normas que describen directrices generales ....................................................................... 24
4.4.1 ISO/IEC 27002 ........................................................................................................... 24
4.4.2 ISO/IEC 27003 ........................................................................................................... 25
4.4.3 ISO/IEC 27004 ........................................................................................................... 25
4.4.4 ISO/IEC 27005 ........................................................................................................... 25
4.4.5 ISO/IEC 27007 ........................................................................................................... 25
4.4.6 ISO/IEC TR 27008 ..................................................................................................... 26
4.4.7 ISO/IEC 27013 ........................................................................................................... 26
4.4.8 ISO/IEC 27014 ........................................................................................................ 26
4.4.9 ISO/IEC TR 27016 ..................................................................................................... 27
4.5 Normas que describen directrices especficas sectoriales .................................................. 27
4.5.1 ISO/IEC 27010 ........................................................................................................... 27
4.5.2 ISO/IEC 27011 ........................................................................................................... 27
4.5.3 ISO/IEC TR 27015 ..................................................................................................... 28
4.5.4 ISO/IEC 27017 ........................................................................................................... 28
4.5.5 ISO/IEC 27018 ........................................................................................................... 28
4.5.6 ISO/IEC 27019 ........................................................................................................... 29
4.5.7 ISO 27799 .................................................................................................................. 29

ISO 2016 Todos los derechos reservados


INEN 2016
2016-xxx ii
NTE INEN ISO/IEC 27000

Anexo A (informativo) Formas verbales para la expresin de las disposiciones .......................... 31

Anexo B (informativo) Trminos y Propietario del trmino .............................................................. 32

Bibliografa ........................................................................................................................................... 37

ISO 2016 Todos los derechos reservados


INEN 2016
2016-xxx iii
NTE INEN ISO/IEC 27000

Prlogo

ISO (Organizacin Internacional de Normalizacin) e IEC (la Comisin Electrotcnica Internacional)


constituyen el sistema especializado para la normalizacin a nivel mundial. Los organismos
nacionales que son miembros de ISO o IEC participan en el desarrollo de normas internacionales a
travs de comits tcnicos establecidos por las organizaciones respectivas para realizar acuerdos en
los campos especficos de la actividad tcnica. Los comits tcnicos de ISO e IEC colaboran en
campos de inters mutuo. Otras organizaciones internacionales, pblicas y privadas, en coordinacin
con ISO e IEC, tambin participan en el trabajo. En el campo de tecnologas de la informacin, ISO e
IEC han establecido un comit tcnico conjunto, el denominado ISO/IEC JTC 1.

Los procedimientos utilizados para desarrollar este documento y los destinados a su posterior
mantenimiento se describen en las Directivas ISO/IEC, Parte 1. En particular, deben tenerse en
cuenta los diferentes criterios de aprobacin necesarios para los diferentes tipos de documentos. Este
documento fue elaborado de acuerdo con las normas editoriales de las Directivas ISO/IEC, Parte 2
(ver www.iso.org/directives).

Se llama la atencin sobre la posibilidad de que algunos de los elementos de este documento puedan
estar sujetos a derechos de patente. ISO e IEC no deben asumir la responsabilidad por la
identificacin de cualquiera o todos los derechos de patente. Los detalles de cualquier derecho de
patente identificados durante el desarrollo del documento estarn en la introduccin y/o en la lista de
ISO de las declaraciones de patentes recibidas (ver www.iso.org/patents).

Cualquier nombre comercial utilizado en el presente documento se da informacin para la comodidad


de los usuarios y no constituye un endoso.

Para obtener una explicacin sobre el significado de los trminos y expresiones especficas, ISO
relacionadas con la evaluacin de la conformidad, as como informacin sobre el cumplimiento de
ISO de los principios de la OMC en los Obstculos Tcnicos al Comercio (OTC) ver la siguiente URL:
Foreword - Supplementary information

El comit responsable de este documento es ISO/IEC JTC 1, Tecnologas de la informacin, SC 27,


Tcnicas de seguridad de TI.

Esta cuarta edicin anula y sustituye a la tercera edicin (ISO/IEC 27000:2014) que ha sido revisada
tcnicamente.

ISO 2016 Todos los derechos reservados


INEN 2016
2016-xxx iv
NTE INEN ISO/IEC 27000

Tecnologas de la informacin - Tcnicas de seguridad - Sistemas de gestin


de seguridad de la informacin - Descripcin general y vocabulario

0 Introduccin

0.1 Descripcin General

Las normas internacionales para los sistemas de gestin proporcionan un modelo a seguir para el
establecimiento y operacin de un sistema de gestin. Este modelo incorpora las caractersticas que
los expertos acuerdan como un reflejo del estado del arte a nivel internacional. El subcomit SC27 del
comit conjunto ISO/IEC JTC 1 cuenta con un grupo de expertos dedicado a la elaboracin de
normas internacionales sobre sistemas de gestin de seguridad de la informacin, tambin conocido
como familia de normas de Sistemas de Gestin de Seguridad de la Informacin (SGSI).

Con el uso de las normas de la familia de SGSI, las organizaciones pueden desarrollar e implementar
un marco para gestionar la seguridad de sus activos de informacin y preparar la evaluacin
independiente de su SGSI en materia de seguridad de la informacin por ejemplo para la informacin
financiera, propiedad intelectual, la informacin del personal, o la informacin confiada a una
organizacin por clientes o por terceros. Estas normas tambin pueden ser usadas por las
organizaciones para prepararse ante una evaluacin independiente de su SGSI aplicada a la
proteccin de la informacin.

0.2 Familia de normas SGSI

La familia de normas de SGSI (ver captulo 4) tiene como fin, ayudar a organizaciones de todo tipo y
tamao a implementar y operar un SGSI. La familia de normas SGSI incluye bajo el ttulo general de:
Tecnologas de la informacin. Tcnicas de seguridad las siguientes normas internacionales (listadas
en orden numrico):

ISO/IEC 27000, Sistemas de Gestin de Seguridad de la Informacin. Descripcin general y


vocabulario.

ISO/IEC 27001, Sistemas de Gestin de Seguridad de la Informacin. Requisitos.

ISO/IEC 27002, Cdigo de prctica para los controles de seguridad de la informacin.

ISO/IEC 27003, Gua para la implementacin de los Sistemas de Gestin de Seguridad de la


Informacin.

ISO/IEC 27004, Gestin de seguridad de la informacin. Mtricas.

ISO/IEC 27005, Gestin de riesgos de seguridad de la informacin.

ISO/IEC 27006, Requisitos para entidades que auditan y certifican Sistemas de Gestin de
Seguridad de la informacin.

ISO/IEC 27007, Gua para la auditora de los Sistemas de Gestin de Seguridad de la Informacin.

ISO/IEC 27008, Gua para los auditores de controles de seguridad de la informacin.

ISO/IEC 27010, Gestin de seguridad de la informacin en comunicaciones


intersectoriales e interorganizacionales.

ISO/IEC 27011 Gua para la gestin de seguridad de la informacin para las


organizaciones de telecomunicaciones basada en la ISO/IEC 27002.

ISO 2016 Todos los derechos reservados


INEN 2016
2016-xxx v
NTE INEN ISO/IEC 27000

ISO/IEC 27013 Gua para la implementacin integrada de ISO/IEC 27001 e ISO/IEC 20000-1.

ISO/IEC 27014 Gobernanza de seguridad de la informacin.

ISO/IEC TR 27015 Gua para la gestin de seguridad de la informacin para servicios financieros.

ISO/IEC TR 27016 Gestin de seguridad de la informacin. Economa organizacional.

ISO/IEC TR 27017 Gestin de seguridad de la informacin ISO/IEC 27017, Cdigo de prcticas


para el control de seguridad de la informacin en base a la ISO/IEC 27002 para los servicios en la
nube

ISO/IEC TR 27018 Gestin de seguridad de la informacin ISO/IEC 27018, Cdigo de prcticas


para la proteccin de la informacin personal identificable (PII) en nubes pblicas en calidad de
procesadores de PII

ISO/IEC TR 27019 Gestin de seguridad de la informacin ISO/IEC 27019, directrices de gestin


de seguridad de la informacin en base a la ISO/IEC 27002 para sistemas de control de procesos
especficos de la industria de servicios pblicos de energa

NOTA El ttulo general Tecnologas de la informacin, Tcnicas de seguridad indica que estas normas han sido
desarrolladas por el Subcomit SC 27, Tcnicas de seguridad del Comit Tcnico Conjunto ISO/IEC JTC 1, Tecnologas de
la informacin.

Las normas internacionales que no estn bajo el mismo ttulo general tambin son parte de la
familia de las normas de SGSI son:

ISO/IEC 27799:2008, Informtica de la salud. Gestin de seguridad de la informacin en


sanidad utilizando la ISO/IEC 27002.

0.3 Objeto de esta norma nacional

Esta norma nacional ofrece una descripcin general de los Sistemas de Gestin de Seguridad de
la Informacin (SGSI), y define los trminos relacionados.

NOTA El Anexo A aclara el uso de algunas formas verbales que se utilizan para expresar los requisitos y
recomendaciones en la familia de normas de SGSI.

La familia de normas de SGSI cuenta con normas para:

a) definir los requisitos para un SGSI y para los organismos que certifiquen tales sistemas;

b) prestar apoyo directo, gua y/o interpretacin detallada del conjunto de procesos para
establecer, implementar, mantener y mejorar un SGSI;

c) directrices especficas del sector de direccin para el SGSI; y

d) sentar la base para la evaluacin de la conformidad de un SGSI.

Los trminos y definiciones contenidos en esta norma nacional

cubren los trminos y definiciones de uso comn en la familia de normas de SGSI;

no cubren todos los trminos y las definiciones utilizados en la familia de normas de SGSI; y

no limitan a que otras normas la familia de SGSI puedan definir nuevos trminos para su uso.

ISO 2016 Todos los derechos reservados


INEN 2016
2016-xxx vi
NTE INEN ISO/IEC 27000

Tecnologas de la informacin Tcnicas de seguridad Sistemas de


gestin de seguridad de la informacin Descripcin general y vocabulario

1 Objeto y campo de aplicacin

Esta norma nacional proporciona una descripcin general de los sistemas de gestin de seguridad de
la informacin, as como los trminos y definiciones de uso comn en la familia de normas de SGSI.
Esta norma nacional es aplicable a organizaciones de todo tipo y tamao (por ejemplo, empresas
comerciales, agencias gubernamentales, organizaciones sin nimo de lucro).

2 Trminos y definiciones
Para los fines de este documento, los siguientes trminos y definiciones aplican.

2.1
control de acceso
medios para asegurar que el acceso a los activos est autorizado y restringido en funcin de los
requisitos (2.63) de negocio y de seguridad

2.2
modelo analtico
algoritmo o clculo que combina una o ms medidas base (2.10) y/o medidas derivadas (2.22)
con los criterios de decisin asociados (2.21)

2.3
ataque
tentativa de destruir, exponer, alterar, inhabilitar, robar o acceder sin autorizacin para hacer uso no
autorizado de un activo

2.4
atributo
propiedad o caracterstica de un objeto (2.55) que es cuantitativa o cualitativamente distinguible por
medios humanos o automticos.

[FUENTE: ISO/IEC 15939:2007, modificada - "entidad" ha sido sustituido por "objeto" en la definicin.]

2.5
auditora
proceso (2.61) sistemtico, independiente y documentado para obtener evidencias de auditora y
evaluarlas de manera objetiva con el fin de determinar el grado en el que se cumplen los criterios de
auditora.

NOTA 1 a la entrada: Una auditora puede ser interna (de primera parte), o externa (de segunda o tercera parte), y puede ser
combinada (combinando dos o ms disciplinas).

NOTA 2 a la entrada: Evidencia de auditora y criterios de auditora se definen en ISO 19011.

2.6

alcance de la auditora

extensin y lmites de una auditora (2.5)

ISO 2016 Todos los derechos reservados


INEN 2016
2016-xxx 1
INFORMACIN COMPLEMENTARIA

Documento: TTULO: TECNOLOGAS DE LA INFORMACIN TCNICAS Cdigo ICS:


NTE INEN- DE SEGURIDAD SISTEMAS DE GESTIN DE SEGURIDAD 27.010
ISO/IEC DE LA INFORMACIN DESCRIPCIN GENERAL Y
27000 VOCABULARIO. (ISO/IEC 27000:2016, IDT))

ORIGINAL: REVISIN:
Fecha de iniciacin del estudio: La Subsecretara de la Calidad del Ministerio de Industrias
2016-02-5 y Productividad aprob este proyecto de norma
Oficializacin con el Carcter de Voluntaria
por Resolucin No.11 410 de 2011-12-29
publicado en el Registro Oficial Suplemento No. 699 de
2012-05-09

Fecha de iniciacin del estudio: 2016-02-5

Fechas de consulta pblica:

Comit Tcnico de:


Fecha de iniciacin: Fecha de aprobacin:
Integrantes del Comit:

NOMBRES: INSTITUCIN REPRESENTADA:

Otros trmites: Esta NTE INEN-ISO/IEC 27000:2016 reemplaza a la NTE INEN ISO/IEC
27000:2012.

La Subsecretara de la Calidad del Ministerio de Industrias y Productividad aprob este proyecto de


norma

Oficializada como: Por Resolucin No. Registro Oficial


No.
Servicio Ecuatoriano de Normalizacin, INEN - Baquerizo Moreno E8-29 y Av. 6 de Diciembre
Casilla 17-01-3999 - Telfs: (593 2)3 825960 al 3825999
Direccin Ejecutiva: E-Mail: direccion@normalizacion.gob.ec
Direccin de Normalizacin: consultanormalizacion@normalizacion.gob.ec
Centro de Informacin: centrodeinformacion@normalizacion.gob.ec
URL:www.normalizacion.gob.ec