Ander Egg Tecnicas de Investigacion Social

ESTÁNDAR ISO
ISO/ IEC
/ IEC
INTERNACIONAL 27000
27000
Quinta edición
2018-02
Tecnología de la información - La tecnología de seguridad

de la información - Técnicas de seguridad - técnicas de
seguridad de la información - Sistemas de gestión de
seguridad de la información - Información general y de
gestión de sistemas - Información general y vocabulario
vocabulario
Tecnologías de la información - Técnicas de sécurité - Systèmes de gestión de la sécurité de

l'information - Vue d'ensemble et vocabulaire
Número de referencia ISO /

IEC 27000: 2018 (E)
© ISO / IEC 2018

IEC
ISO 27000:
/ IEC 27000:
2018 (E)
2018 (E) ISO /
protegido
DOCUMENTO por copyright
DE AUTOR documento protegido
© ISO / IEC 2018

Todos los derechos reservados. A menos que de otro modo speci•ied• o requerido en el contexto de su aplicación• ninguna parte de esta publicación puede ser reproducida o
utilizada de otro modo• en cualquier forma o por cualquier medio• electrónico o mecánico• incluyendo fotocopias• o publicar en Internet o en una intranet• sin el permiso previo
por escrito. El permiso puede ser solicitada de cualquiera de ISO en la dirección abajo o organismo miembro de ISO en el país del solicitante.
Los derechos de autor ISO of•ice CP 401 • Ch. de

Blandonnet 8 CH•1214 Vernier• Ginebra• Suiza Tel.
41 22 749 01 11 Fax: •41 22 749 09 47
copyright@iso.org
www.iso.org
Publicado en Suiza
ii © ISO / IEC 2018 - Todos los derechos reservados

IEC
ISO 27000:
/ IEC 27000:
2018 (E)
2018 (E) ISO /
Contenido Página
Prólogo Prólogo .................................................. .................................................. .................................................. .................................................. ................................ IV
Introducción Introducción .................................................. .................................................. .................................................. .................................................. .......................... vv
1 alcance..................................................
Alcance 1 .................................................. .................................................. .................................................. ......................... 1
22 Normativa
Normativ e Referencias .................................................. .................................................. .................................................. ................................ 1
33 Terms
Términos
y de•initions
y de•initions .................................................. .................................................. .................................................. ............................... 1
44 Información
Seguridad de la información
gestion de seguridad sistemas de gestión sistemas .................................................. .................................................. ..................... 11
4.1 General .................................................. .................................................. .................................................. .................................................. 11
4.2 ¿Qué es un SGSI? .................................................. .................................................. .................................................. .......................... 11
4.2.1 Descripción y principios .................................................. .................................................. .................................... 11
4.2.2 Información .................................................. .................................................. .................................................. .................. 12
4.2.3 Seguridad de información .................................................. .................................................. .............................................. 12
4.2.4 Gestión .................................................. .................................................. .................................................. ............... 12
4.2.5 Sistema de gestión .................................................. .................................................. .............................................. 13
4.3 Enfoque basado en procesos .................................................. .................................................. .................................................. ......................... 13
4.4 ¿Por qué es importante un SGSI .................................................. .................................................. .................................................. .... 13
4.5 El establecimiento, la supervisión, el mantenimiento y la mejora de un SGSI .................................................. .............. 14
4.5.1 Información general .................................................. .................................................. .................................................. ........................ 14
4.5.2 La identificación de los requisitos de seguridad de la información .................................................. ............................... 14
4.5.3 La evaluación de los riesgos de seguridad de la información .................................................. .................................................. ...... 15
4.5.4 Tratamiento de los riesgos de seguridad de la información .................................................. .................................................. .......... 15
4.5.5 Selección y controles de ejecución .................................................. .................................................. ..... 15
4.5.6 monitor, mantener y mejorar la eficacia del SGSI .............................................. dieciséis
4.5.7 Mejora continua .................................................. .................................................. ...................................... dieciséis

4.6 ISMS factores críticos de éxito .................................................. .................................................. ................................................. 17
4.7 Bene•its de la familia de normas de SGSI .................................................. .................................................. ................... 17
55 ISMS familia
familia
SGSI
de de normas
normas .................................................. .................................................. .................................................. ..................... 18
5.1 Información general .................................................. .................................................. .................................................. .................. 18
5.2 Estándar que describe una visión general y la terminología: ISO / IEC 27000 (este documento) ......... 19
5.3 Las normas que especifican los requisitos .................................................. .................................................. ............................... 19
5.3.1 ISO / IEC 27001 .................................................. .................................................. .................................................. .......... 19
5.3.2 ISO / IEC 27006 .................................................. .................................................. .................................................. .......... 20
5.3.3 ISO / IEC 27009 .................................................. .................................................. .................................................. .......... 20
5.4 Normas que describen directrices generales .................................................. .................................................. .................. 20
5.4.1 ISO / IEC 27002 .................................................. .................................................. .................................................. .......... 20
5.4.2 ISO / IEC 27003 .................................................. .................................................. .................................................. .......... 20
5.4.3 ISO / IEC 27004 .................................................. .................................................. .................................................. .......... 21
5.4.4 ISO / IEC 27005 .................................................. .................................................. .................................................. .......... 21
5.4.5 ISO / IEC 27007 .................................................. .................................................. .................................................. .......... 21
5.4.6 ISO / IEC TR 27008 .................................................. .................................................. .................................................. . 21
5.4.7 ISO / IEC 27013 .................................................. .................................................. .................................................. .......... 22

5.4.8 ISO / IEC 27014 .................................................. .................................................. .................................................. .......... 22
5.4.9 ISO / IEC TR 27016 .................................................. .................................................. .................................................. . 22
5.4.10 ISO / IEC 27021 .................................................. .................................................. .................................................. .......... 22
5.5 Normas que describen directrices del sector•speci•ic .................................................. .................................................. 23
5.5.1 ISO / IEC 27010 .................................................. .................................................. .................................................. .......... 23
5.5.2 ISO / IEC 27011 .................................................. .................................................. .................................................. .......... 23
5.5.3 ISO / IEC 27017 .................................................. .................................................. .................................................. .......... 23
5.5.4 ISO / IEC 27018 .................................................. .................................................. .................................................. .......... 24
5.5.5 ISO / IEC 27019 .................................................. .................................................. .................................................. .......... 24
5.5.6 ISO 27799 .................................................. .................................................. .................................................. ...................... 25
bibliografía bibliografía .................................................. .................................................. .................................................. .................................................. ..................... 26
© ISO / IEC 2018 - Todos los derechos reservados iii

IEC
ISO 27000:
/ IEC 27000:
2018 (E)
2018 (E) ISO /
Prólogo
La ISO (Organización Internacional de Normalización) es una federación mundial de organismos nacionales de normalización (organismos
miembros de ISO). El trabajo de preparación de Normas Internacionales se lleva a cabo normalmente a través de comités técnicos de ISO. Cada
organismo miembro interesado en una materia para la cual se ha establecido un comité técnico, tiene el derecho a estar representado en dicho
comité. Las organizaciones internacionales, gubernamentales y no gubernamentales, en coordinación con ISO, también participan en el trabajo.
ISO colabora estrechamente con la Comisión Electrotécnica Internacional (IEC) en todas las materias de normalización electrotécnica.
Los procedimientos utilizados para desarrollar este documento y los destinados a su posterior mantenimiento se describen en las Directivas ISO /
IEC, Parte 1. En particular, deben tenerse en cuenta los diferentes criterios de aprobación necesarios para los diferentes tipos de documentos
ISO. Este documento fue elaborado de acuerdo con las normas editoriales de las Directivas ISO / IEC, Parte 2 (véase www.iso.org/directives ).
Se llama la atención a la posibilidad de que algunos de los elementos de este documento puede ser objeto de derechos de patente. ISO no se hace
responsable de la identificación de cualquiera o todos los derechos de patente. Los detalles de cualquier derecho de patente identi•ied durante el
desarrollo del documento estarán en la introducción y / o en la lista ISO de las declaraciones de patentes recibidas (véase www.iso.org/ patentes ).
Cualquier nombre comercial utilizado en el presente documento se da información para la comodidad de los usuarios y no constituye un endoso.
Para una explicación de la naturaleza voluntaria de las normas• el significado de los términos y expresiones speci•ic ISO relacionadas con la
evaluación de la conformidad• así como información sobre el cumplimiento de ISO de los principios de la Organización Mundial del Comercio (OMC)
en los Obstáculos Técnicos al Comercio (OTC) consulte la siguiente
URL: www.iso.org/iso/foreword.html .
Este documento fue preparado por el Comité Técnico ISO / IEC JTC 1, Tecnologías de la información , SC 27, Técnicas de seguridad de TI.
Esta edición •ifth anula y sustituye a la cuarta edición (ISO / IEC 27000: 2016)• que ha sido revisada técnicamente. Los principales cambios en
comparación con la edición anterior son los siguientes:
- la Introducción se ha reformulado;
- algunos términos y de•initions se han eliminado;
- cláusula 3 se ha alineado sobre la estructura de alto nivel para MSS;
- cláusula 5 ha sido actualizado para re•lect los cambios en las normas aplicables;
- Anexos A y B se han eliminado.
iv © ISO / IEC 2018 - Todos los derechos reservados

IEC
ISO 27000:
/ IEC 27000:
2018 (E)
2018 (E) ISO /
Introducción
0.1 Información general
Normas internacionales para la gestión de sistemas proporcionan un modelo a seguir en el establecimiento y funcionamiento de un sistema de
gestión. Este modelo incorpora las características sobre las que los expertos en el •ield han alcanzado un consenso como el estado internacional
de la técnica. ISO / IEC JTC 1 / SC 27 mantiene un comité de expertos dedicada a la elaboración de normas internacionales de sistemas de
gestión de seguridad de la información• también conocido como el Sistema de Información de Gestión de Seguridad (SGSI) de la familia
de las normas.
A través del uso de la familia SGSI de las normas• las organizaciones pueden desarrollar e implementar un marco para la gestión de la seguridad
de sus activos de información• incluyendo la información •inancial• la propiedad intelectual• y detalles de los empleados• o la información confiada
a ellos por los clientes o terceros. Estas normas también se pueden utilizar para prepararse para una evaluación independiente de su SGSI se
aplica a la protección de la información.
0.2 de
Propósito Propósito
de esta
este documento
documento
La familia de normas de SGSI incluye normas que:
a) requisitos de•ine para un ISMS y para aquellos que certifican tales sistemas;
b) proporcionar apoyo directo, una guía detallada y / o interpretación para el proceso general para establecer, implementar, mantener y mejorar un
SGSI;
c) dirección de sector•speci• directrices IC para ISMS; y
d) Evaluación de la conformidad para la dirección de ISMS.
0.3 Contenido de de esta

este documento
documento
En este documento, se utilizan las siguientes formas verbales:
- “Deberá” indica un requisito;
- “Debería” indica una recomendación;
- “Puede” indica un permiso;
- “Puede” indica una posibilidad o una capacidad.
La información marcada como "NOTA" se presenta orientación para la comprensión o clarificación del requisito correspondiente. “Notas para la entrada”
que se utiliza en la cláusula 3 proporcionan información adicional que complementa los datos terminológicas y pueden contener disposiciones relativas a
la utilización de un término.
© ISO / IEC 2018 - Todos los derechos reservados v

INTERNACIONAL del ST ESTÁNDAR
INTERNATIONAL ANDARD 27000:
ISO / IEC 27000:
2 ISO / IEC2018018
(E) (E)
Tecnología de la información - Técnicas de seguridad - Tecnología de la

información - Técnicas de seguridad - Sistemas de gestión de seguridad de la
información - Información general sistemas de gestión de seguridad de la
información - Información general y vocabulario y vocabulario
aplicación
1 Ámbito de1 Alcance
Este documento proporciona una visión general de los sistemas de gestión de seguridad de la información (SGSI). También proporciona términos y
de•initions de uso común en la familia de normas de SGSI. Este documento es aplicable a todos los tipos y tamaños de organización (por ejemplo•
empresas comerciales• agencias gubernamentales• organizaciones sin ánimo de pro•it).
Los términos y de•initions proporcionadas en este documento
- cubrir términos y de•initions de uso común en la familia de normas de SGSI;
- no cubren todos los términos y de•initions aplicadas dentro de la familia SGSI de las normas; y
- no se limite a la familia de normas de SGSI en de•ining nuevos términos de uso.
2 Normativa
Referencias normativas
referencias
No hay referencias normativas en este documento.
3 3 TTérminos yyerms
de•inide•initions
ciones
ISO e IEC mantienen bases de datos terminológicas para su uso en la normalización en las siguientes direcciones:
- ISO plataforma de Navegación en línea: disponible en https://www.iso.org/obp
- IEC Electropedia: disponible en https: // www. Electropedia . org /
3.1
control de acceso
medios para garantizar el acceso t sombrero de activos está autorizado y restringidas basado en los negocios y la seguridad
requisitos ( 3.56 )
ataque
3.2 3.2
ataque
tratar de destruir, exponer, alterar, inutilizar, robar o ganar acceso no autorizado o no autorizado hacer uso de un activo
3.3
3.3
auditoría de
auditoría
sistemático, independiente y documentado proceso ( 3.54 ) Para obtener evidencia de auditoría y evaluarlas de manera objetiva para determinar el
grado en que se ful•illed los criterios de auditoría
Nota 1 a la entrada: Una auditoría puede ser una auditoría interna (parte •irst) o una auditoría externa (segunda parte o tercero)• y que puede ser una auditoría combinada
(la combinación de dos o más disciplinas).
Nota 2 a la entrada: Una auditoría interna se lleva a cabo por el mismo o por una parte externa en su nombre organización.
Nota 3 a la entrada: “la evidencia de auditoría” y “criterios de auditoría” se de•ined en la norma ISO 19011.
© ISO / IEC 2018 - Todos los derechos reservados 1

IEC
ISO 27000:
/ IEC 27000:
2018 (E)
2018 (E) ISO /
3.4
auditoría alcance de la
extensión y límites de una auditoría ( 3.3 )
[Fuente: ISO 19011: 2011• 3.14• modi•ied • Nota 1 a entrada ha sido eliminada.]
3.5
autenticación de
prestación de garantía de que una característica alegada de una entidad es correcta
3.6
autenticidad
propiedad de que una entidad es lo que dice ser
3.7
disponibilidad
propiedad de ser accesible y utilizable en la demanda por una entidad autorizada
3.8
base
measur
de base dePor
measupuesto
mi
medida ( 3.42 ) De•ined en términos de un atributo y el método para cuantificarla
Nota 1 de la entrada: una medida base es funcionalmente independiente de la otra medidas.
[Fuente: ISO / IEC / IEEE 15939: 2017• 3.3• modi•ied • Nota 2 a la entrada ha sido eliminado.]
3.9
competencia La
capacidad de aplicar los conocimientos y habilidades para lograr los resultados deseados
3.10
con•identiality
propiedad de que la información no esté disponible o revelada a individuos no autorizados, entidades o
procesos ( 3.54 )
3.11
conformidad
la conformidad de la
ful•ilment de un requisito ( 3.56 )
3.12
consecuencia
resultado de una evento ( 3.21 ) que afectan (objetivos 3.49 )
Nota 1 de la entrada: Un evento puede dar lugar a una serie de consecuencias.
Nota 2 de entrada: Una consecuencia puede ser cierto o incierto y, en el contexto de seguridad de la información, por lo general es negativo.
Nota 3 a la entrada: Las consecuencias pueden ser expresadas de forma cualitativa o cuantitativamente. Nota 4 a la entrada:
consecuencias iniciales pueden escalar a través de efectos en cadena.
[Fuente: Guía ISO 73: 2009• 3.6.1.3• modi•ied • Nota 2 a la entrada se ha cambiado después de “y”.]
3.13
continua
la mejora continua de mejora
actividad recurrente para mejorar actuación ( 3.52 )
2 © ISO / IEC 2018 - Todos los derechos reservados

IEC
ISO 27000:
/ IEC 27000:
2018 (E)
2018 (E) ISO /
Control
3.14
3,14
Control
medida que es la modificación riesgo ( 3.61 )
Nota 1 de la entrada: Los controles incluyen cualquier proceso ( 3.54 ), política ( 3.53 ), dispositivo, prácticas, u otras acciones que modifican
riesgo ( 3.61 ).
Nota 2 a la entrada: Es posible que no siempre controla ejercer el efecto pretendido modificar o asumido.
[Fuente: Guía ISO 73: 2009, 3.8.1.1 - Nota 2 a la entrada ha sido cambiado.]
3.15
control
OBJETIVOobjetivo
DE CONTROL
declaración que describe lo que se quiere lograr como resultado de la implementación controles ( 3.14 )
corrección
3.16 de
3,16 corrección
acción para eliminar una detectado no conformidad ( 3.47 )
3.17
Acción correctiva
acción para eliminar la causa de una no conformidad ( 3.47 ) Y para prevenir la recurrencia
3.18 meas derivados

derivados
medida Ure
medida ( 3.42 ) Que se de•ined como una función de dos o más valores de medidas de bases ( 3.8 )
3.19
documentada
información documentada información
información requerida para ser controlada y mantenida por una organización ( 3.50 ) Y el medio en el que está contenido
Nota 1 de la entrada: la información documentada puede ser en cualquier formato y los medios de comunicación y de cualquier fuente.
Nota 2 a la entrada: documentada información puede referirse a
- la sistema de gestión ( 3.41 ), Incluyendo relacionada procesos ( 3.54 );
- información que fue creado para que el organización ( 3.50 ) Para operar (documentación);
- evidencia de los resultados obtenidos (registros).
3.20
efectividad eficacia
medida en que planea actividades se realizan y alcanzan los resultados planificados
3.21
acontecimiento
3,21 evento
ocurrencia o cambio de un conjunto particular de circunstancias
Nota 1 de la entrada: Un evento puede ser una o más ocurrencias, y puede tener varias causas.
Nota 2 a la entrada: Un evento puede consistir en algo que no sucede.
Nota 3 a la entrada: Un evento a veces puede ser referido como un “incidente” o “accidente”.
[Fuente: Guía ISO 73: 2009• 3.5.1.3• modi•ied • Nota 4 a entrada ha sido eliminada.]

IEC
ISO 27000:
/ IEC 27000:
2018 (E)
2018 (E) ISO /
3.22
externo
contexto externo contexto
ambiente externo en el que la organización trata de alcanzar su (objetivos 3.49 )
Nota 1 de la entrada: contexto externo puede incluir lo siguiente:
- lo cultural• social• tica Poli• legal• regulatorio• •inancial• tecno lógico• económico• natural y entorno competitivo• ya sea internacional• nacional• regional o local;
- factores clave y las tendencias que tienen impacto en el objetivos del organización ( 3.50 );
- relaciones con los y las percepciones y valores de externos, interesados ( 3.37 ).
[Fuente: Guía ISO 73: 2009, 3.3.1.1]
3.23
información
la gobernabilidad
de seguridad
de la gestión
de la de
información
seguridad de
sistema por el cual una La organización de ( 3.50 ) seguridad de información ( 3.28 ) Actividades son dirigidas y
revisado
3.24
rige
órgano
el cuerpo
de gobierno que
persona o grupo de personas que son responsables de la actuación ( 3.52 ) Y la conformidad de la
organización ( 3.50 )
Nota 1 de la entrada: El órgano de gobierno puede, en algunas jurisdicciones, ser un consejo de administración.
3.25
indicador
medida ( 3.42 ) Que proporciona una estimación o evaluación
3.26
necesidad de información
conocimiento necesario para gestionar (objetivos 3.49 ), objetivos, riesgos y problemas
[SOURCE: ISO / IEC / IEEE 15939: 2017, 3.12]
3.27
informatio
información instalaciones
instalaciones
dede
procesamiento
procesamiento
den las
cualquier sistema de procesamiento de información, servicio o infraestructura, o la ubicación física de vivienda se
3.28
informatio
información laseguridad
seguridadnde
preservación de con•identiality ( 3.10 ), integridad ( 3.36 ) y disponibilidad ( 3.7 ) de información
Nota 1 a la entrada: Además, otras propiedades, tales como autenticidad ( 3.6 ), La rendición de cuentas, no repudio ( 3.48 ), Y fiabilidad ( 3.55 ) También pueden estar
implicados.
3.29
informati
la información en
es la continuidad
la continuidad eguridad
de seguridad
procesos ( 3.54 ) Y los procedimientos para garantizar el mantenimiento seguridad de información ( 3.28 operaciones)
3.30
de
evento
seguridad
de seguridad
de información
de la información de eventos
ocurrencia identi•ied de un sistema• el servicio o estado de la red que indica una posible violación de información
seguridad ( 3.28 ) política ( 3.53 ) O el fracaso de controles ( 3.14 ), O una situación previamente desconocido que puede ser relevante para la seguridad
3.31
de
información
seguridadde
deincidentes
la información
de seguridad incidente
solo o una serie de no deseado o inesperado los eventos de seguridad de la información ( 3.30 ) Que tienen una probabilidad signi•icant de poner en
peligro las operaciones de negocio y amenazando seguridad de información ( 3.28 )

IEC
ISO 27000:
/ IEC 27000:
2018 (E)
2018 (E) ISO /
3.32 información
informatio sec
ureza
la seguridad n managemen incidente
administracion de incidentes t
un conjunto de procesos ( 3.54 ) Para detectar, informar, evaluar, responder a, tratando, y el aprendizaje
desde incidentes de seguridad de la información ( 3.31 )
3.33 De
3.33
securit información
Información n sistema securit
sistema
y gestión
de gestión y (ISMS) (ISMS) profe
profesional
ssional
persona que establece, implementa, mantiene y mejora continuamente uno o más información sobre el sistema de gestión de seguridad procesos ( 3.54
)
3.34
3.34 De
Información
el intercambio n intercambio c omunidadunidad
de información comm
grupo de (organizaciones 3.50 ) Que están de acuerdo para compartir información
Nota 1 de la entrada: Una organización puede ser un individuo.
3.35 información
informatio
sistema
sistemadede n
un conjunto de aplicaciones, servicios activos de tecnología de información, u otros componentes de manejo de información
integridad
3.36
3,36
integridad
propiedad de exactitud e integridad
3.37
preferido)
parte interesada parte interesada ( término
admitido)
los grupos de interés de las partes interesadas ( plazo
persona o organización ( 3.50 ) Que pueden af fect, se af fected por, o percibirse a sí mismo a ser afectados por una decisión o actividad
3.38
interno
contexto interno contexto
entorno interno en el que la organización ( 3.50 ) Permitirán alcanzar sus objetivos
Nota 1 de la entrada: contexto interno puede incluir:
- gobierno, estructura organizativa, funciones y IES accountabilit;
- (políticas 3.53 ), (objetivos 3.49 ), Y las estrategias que están en marcha para alcanzarlos;
- las capacidades, entendidas en términos de recursos y conocimientos de capital (por ejemplo, tiempo, personas, procesos ( 3.54 ), sistemas y tecnologías);
- sistemas de información ( 3.35 )• Información •lows y toma de decisiones procesos ( tanto formales como informales);
- relaciones con los y las percepciones y valores de los internos, interesados ( 3.37 );
- cultura de la organización;
- normas, directrices y modelos adoptados por la organización;
- forma y el alcance de las relaciones contractuales.
[Fuente: Guía ISO 73: 2009, 3.3.1.2]
3.39
riesgo
nivel dedenivel
riesgo
de
magnitud de una riesgo ( 3.61 ) Expresado en términos de la combinación de Consecuencias ( 3.12 ) y ellos
verosimilitud ( 3.40 )
[Fuente: Guía ISO 73:. 2009• 3.6.1.8• modi•ied • “o combinación de riesgos” se ha suprimido en el de•inition]

IEC
ISO 27000:
/ IEC 27000:
2018 (E)
2018 (E) ISO /
3.40
probabilidad de
posibilidad de que ocurra algo
[Fuente: Guía ISO 73: 2009• 3.6.1.1• modi•ied • Notas 1 y 2 a la entrada ha sido eliminado.]
3.41
gestión managemen
sistema
sistemade
de t
conjunto de elementos interrelacionados o que interactúan de una organización ( 3.50 ) Para establecer (políticas 3.53 ) y
(objetivos 3.49 ) y procesos ( 3.54 ) Para alcanzar dichos objetivos
Nota 1 de la entrada: Un sistema de gestión puede hacer frente a una sola disciplina o varias disciplinas.
Nota 2 a la entrada: Los elementos del sistema incluyen la estructura, funciones y responsabilidades de la organización, planificación y operación.
Nota 3 a la entrada: El alcance de un sistema de gestión puede incluir el conjunto de la organización• speci•ic y funciones identi•ied de la organización• speci•ic y
secciones identi•ied de la organización• o una o más funciones a través de una grupo de organizaciones.
medida
3.42 de
3,42 medida
variable a la que se asigna un valor como resultado de medición ( 3.43 )
3,43
3.43 measur
MeasureMe
ement Nuevo Testamento
proceso ( 3.54 ) Para determinar un valor
3.44
medición mEDICIÓNfunción
t función
algoritmo o cálculo realizado para combinar dos o más medidas de bases ( 3.8 )
[SOURCE: ISO / IEC / IEEE 15939: 2017, 3.20]
3.45
medición
método de medición método de
secuencia lógica de operaciones• que se describe de forma genérica• que se utiliza en la cuantificación de un atributo con respecto a una escala speci•ied
Nota 1 a la entrada: El tipo de método de medición depende de la naturaleza de las operaciones utilizadas para cuantificar una
atributo ( 3.4 ). Dos tipos se pueden distinguir:
- subjetiva: icación quanti• que implica el juicio humano; y
- Objetivo: quanti•ication basado en reglas numéricas.
3.46
vigilancia
monitoreo de
la determinación de las ATU st de un sistema, una proceso ( 3.54 ) O una actividad
Nota 1 de la entrada: Para determinar la situación, puede haber una necesidad de comprobar, supervisar o críticamente observar.
3.47
conformidad
inconformismo no
no ful•ilment de una requisito ( 3.56 )
3.48
no repudio no repudio
capacidad de probar la ocurrencia de un reivindicado evento ( 3.21 ) O la acción y sus entidades srcinating

IEC
ISO 27000:
/ IEC 27000:
2018 (E)
2018 (E) ISO /
3,49
3.49 objetivo
objetivo
resultado que debe conseguirse
Nota 1 de la entrada: Un objetivo puede ser st rategic, táctico, u operacional.
Nota 2 a la entrada: Los objetivos se refieren a diferentes disciplinas (como •inancial• salud y seguridad• y las metas entorno al) y pueden aplicarse a distintos niveles
[como estratégica• en toda la organización• proyecto• producto y
proceso ( 3.54 )].
Nota 3 a la entrada: Un objetivo puede expresarse de otras maneras, por ejemplo, como un resultado esperado, un propósito, un criterio operativo, como un objetivo de
seguridad de información o mediante el uso de otras palabras de significado similar (por ejemplo, el objetivo, meta o destino ).
Nota 4 a la entrada: En el contexto de la información sistemas de gestión de seguridad• objetivos de seguridad de información son establecidos por la organización• en
consonancia con la política de seguridad de la información• para lograr resultados speci•ic.
3.50
organización
persona o grupo de personas que tiene sus propias funciones con responsabilidades, autoridades y relaciones para lograr su (objetivos 3.49 )
Nota 1 de la entrada: El concepto de iones organizat incluye pero no se limita a la única comerciante• empresa• corporación• •irm• empresa• autoridad• asociación• la
caridad o institución• o parte o combinación de los mismos• ya sea o no personalidad jurídica• pública o privado.
externalizar
3.51
3,51
externalizar
hacer una rangement ar donde un externa organización ( 3.50 ) Realiza parte de la función de una organización
o proceso ( 3.54 )
Nota 1 a la entrada: una organización externa está fuera del alcance de la sistema de gestión ( 3.41 ), Aunque el
función o proceso de contratación externa está dentro del alcance.
3.52
Rendimiento
rendimiento
resultado medible
Nota 1 de la entrada: Rendimiento puede corresponder a cuantitativos o cualitativos •indings.
Nota 2 a la entrada: Rendimiento puede relacionarse con la gestión de las actividades, procesos ( 3.54 ), Los productos (incluidos los servicios), sistemas o (organizaciones 3.50
).
3.53 de
política
la política
3,53
intenciones y dirección de una organización ( 3.50 ), Tal como se expresa formalmente por su la alta dirección ( 3.75 )
proceso
3.54
3.54
proceso
conjunto de actividades interrelacionadas o que interactúan, que transforma entradas en salidas
3.55 fiabilidad
fiabilidad
propiedad del comportamiento previsto consistente y resultados
3.56
requisito
necesidad o expectativa establecida, generalmente implícita u obligatoria
Nota 1 de la entrada: “Generalmente implícita” significa que es habitual o una práctica común para la organización y las partes interesadas que implica la necesidad o
expectativa bajo consideración.
Nota 2 a la entrada: Un requisito speci•ied es el que se declara• por ejemplo en la información documentada.

IEC
ISO 27000:
/ IEC 27000:
2018 (E)
2018 (E) ISO /
3.57
riesgo residual
riesgo ( 3.61 ) Que queda después de el tratamiento del riesgo ( 3.72 )
Nota 1 de la entrada: El riesgo residual puede contener el riesgo unidenti•ied.
Nota 2 a la entrada: El riesgo residual también puede ser referido como “riesgo retenido”.
opinión
3.58
3.58
opinión
la actividad emprendida para asegurar la conveniencia, adecuación y efectividad ( 3.20 ) De la materia objeto de lograr establecieron (objetivos 3.49 )
[Fuente: Guía ISO 73: 2009• 3.8.2.2• modi• IED • Nota 1 a entrada ha sido eliminada.]
3.59
objeto
análisisdeque
objetos
la revisión
elemento speci•ic siendo revisado
3.60
objetiva
revisión objetiva revisión
declaración que describe lo que se quiere lograr como resultado de una revisión ( 3.59 )
3.61
3,61
riesgos
riesgo
efecto de la incertidumbre en (objetivos 3.49 )
Nota 1 de la entrada: Un efecto es una desviación de lo esperado - positiva o negativa.
Nota 2 a la entrada: La incertidumbre es el estado• incluso parcial• de de•iciency de información relacionada con• la comprensión o conocimiento de• un evento• su
consecuencia• o la probabilidad.
Nota 3 a la entrada: Riesgo se caracteriza a menudo por referencia a los posibles “eventos” (como de•ined en la Guía ISO 73: 2009•
3.5.1.3) y “consecuencias” (como de•ined en la Guía ISO 73: 2009• 3.6.1.3)• o una combinación de éstos.
Nota 4 a la entrada: El riesgo se expresa a menudo en términos de una combinación de las consecuencias de un evento (incluyendo cambios en las circunstancias) y la
“probabilidad” asociado (como de•ined en la Guía ISO 73: 2009• 3.6.1.1) de ocurrencia .
Nota 5 de entrada: En el contexto de los sistemas de gestión de seguridad de la información, los riesgos de seguridad de la información se pueden expresar como efecto de la
incertidumbre en los objetivos de seguridad de la información.
Nota 6 a la entrada: riesgo para la seguridad de la información es un ssociated con las posibles amenazas que s vulnerabilidades vechar voluntad ex de un activo de
información o grupo de activos de información y por lo tanto causar daño a una organización.
3.62
riesgo de aceptación del
decisión de asumir una determinada informado riesgo ( 3.61 )
Nota 1 de la entrada: la aceptación del riesgo puede ocurrir sin el tratamiento del riesgo ( 3.72 ) o durante el proceso ( 3.54 ) De tratamiento del riesgo.
Nota 2 a la entrada: riesgos aceptadas están sujetas a vigilancia ( 3.46 ) y revisión ( 3.58 ).
[Fuente: Guía ISO 73: 2009, 3.7.1.6]
3.63 riesgos
3,63
analysi riesgo ana
lisis s
proceso ( 3.54 ) Para comprender la naturaleza de riesgo ( 3.61 ) Y para determinar la nivel de riesgo ( 3.39 )
Nota 1 de la entrada: El análisis de riesgos proporciona la base para evaluación de riesgo ( 3.67 ) Y las decisiones acerca el tratamiento del riesgo ( 3.72 ).
Nota 2 a la entrada: El análisis de riesgos incluye la estimación del riesgo.
[Fuente: Guía ISO 73: 2009, 3.6.1]

IEC
ISO 27000:
/ IEC 27000:
2018 (E)
2018 (E) ISO /
3.64
evaluación de riesgos
en general proceso ( 3.54 ) de identi•ication riesgo ( 3.68 ), análisis de riesgo ( 3.63 ) y evaluación de riesgo ( 3.67 )
[Fuente: Guía ISO 73: 2009, 3.4.1]
3.65
consulta
la comunicación
y la consulta
de riesgos y comunicación de riesgos de
conjunto de continuo e iterativo procesos ( 3.54 ) Que una organización lleva a cabo para proporcionar, compartir u obtener información, y para
participar en el diálogo con interesados ( 3.37 ) Con respecto a la gestión de riesgo ( 3.61 )
Nota 1 de la entrada: La información puede relacionarse con la existencia, naturaleza, forma, verosimilitud ( 3.41 )• Signi•icance• la evaluación• la aceptabilidad y
tratamiento del riesgo.
Nota 2 a la entrada: La consulta es un proceso bidireccional de comunicación entre un informada organización ( 3.50 ) Y sus grupos de interés sobre un tema antes de
tomar una decisión o determinación de una dirección en ese tema. La consulta es
- una proceso lo que repercute en una decisión a través in•luence en lugar de poder; y
- una entrada a la toma de decisiones, no la toma de decisiones conjunta.
3.66
criterios de riesgo
términos de referencia contra el cual el signi•icance de riesgo ( 3.61 ) Se evalúa
Nota 1 de la entrada: Los criterios de riesgo se basan en objetivos de la organización, y contexto externo ( 3.22 ) y contexto interno ( 3.38 ).
Nota 2 a la entrada: Riesgo cr iteria puede derivarse de normas, leyes, (políticas 3.53 ) y otra requisitos ( 3.56 ).
[Fuente: Guía ISO 73: 2009, 3.3.1.3]

3.67
Evaluación del riesgo
proceso ( 3.54 ) De la comparación de los resultados de análisis de riesgo ( 3.63 ) con (criterios de riesgo 3.66 ) para determinar si el riesgo ( 3.61 ) Y / o
su magnitud es aceptable o tolerable
Nota 1 de la entrada: asistencias de evaluación del riesgo en la decisión acerca el tratamiento del riesgo ( 3.72 ).
[Fuente: Guía ISO 73: 2009, 3.7.1]
3.68
identi•icatio
riesgo identi•ication
riesgo norte
proceso ( 3.54 ) De •inding• reconociendo y describiendo (riesgos 3.61 )
Nota 1 de la entrada: Riesgo identi•ication implica la identi•ication de las fuentes de riesgo• eventos ( 3.21 ), Sus causas y su potencial Consecuencias ( 3.12 ).
Nota 2 a la entrada: identi•ication riesgo puede afectar a datos históricos• análisis teórico• informados y opiniones de expertos•
y las partes interesadas ( 3.37 ) necesariamente.
[Fuente: Guía ISO 73: 2009, 3.5.1]
3.69
gestión
la gestión
dede
riesgos
riesgos de
actividades coordinadas para dirigir y controlar una organización ( 3.50 ) con respecto a riesgo ( 3.61 )
[Fuente: Guía ISO 73: 2009, 2.1]

IEC
ISO 27000:
/ IEC 27000:
2018 (E)
2018 (E) ISO /
3.70
procesos
proceso de
degestión
gestiónde
deriesgos
riesgosde los
aplicación sistemática de gestión (políticas 3.53 ), Procedimientos y prácticas a las actividades de comunicación, consultoría, est ablishing el
contexto e identificar, analizar, evaluar, tratar, monitorear y revisar riesgo ( 3.61 )
Nota 1 de la entrada: ISO / IEC 27005 utiliza el término “ proceso ”( 3.54 ) Para describir la gestión del riesgo global. Los elementos
dentro de gestión de riesgos ( 3.69 ) Proceso se conoce como “actividades”.
[Fuente: Guía ISO 73: 2009• 3.1• modi•ied • Nota 1 a la entrada se ha añadido.]
3.71
riesgo
propietario
riesgo
propietario
persona o entidad que tiene la responsabilidad y la autoridad para gestionar una riesgo ( 3.61 )
[Fuente: Guía ISO 73: 2009, 3.5.1.5]
3.72
tratamiento del
de los
riesgo
riesgos del
proceso ( 3.54 ) Modificar riesgo ( 3.61 )
Nota 1 de la entrada: El tratamiento del riesgo puede implicar:
- evitando el riesgo al decidir no iniciar o continuar con la actividad que da lugar al riesgo;
- teniendo o el aumento de riesgo con el fin de perseguir una oportunidad;
- eliminación de la fuente de riesgos;
- cambiando el verosimilitud ( 3.40 );
- cambiando el Consecuencias ( 3.12 );
- compartir el riesgo con la otra parte o partes (incluyendo los contratos y •inancing riesgo);
- retener el riesgo por elección informada.
Nota 2 a la entrada: tratamientos de riesgo que tienen que ver con las consecuencias negativas se refieren a veces como “mitigación de riesgos”, “eliminación de riesgos”,
“prevención de riesgos” y “reducción del riesgo”.
Nota 3 a la entrada: tratar ción de riesgos puede crear nuevos riesgos o modificar los riesgos existentes.
[Fuente: Guía ISO 73: 2009• 3.8.1• modi•ied • “decisión” ha sido sustituida por la “elección” en la Nota 1 a la entrada.]
3,73
3.73
imple
seguridad
seguridad
implementatio
mentación n Estándar
Estándar
documento que especifica formas autorizadas para la ejecución de garantías
3.74
amenaza
3,74
amenaza
potencial causa de un incidente no deseado, que puede resultar en daño a un sistema o organización ( 3.50 )
3.75
dirección
la alta dirección la alta
persona o grupo de personas que dirige y controla una organización ( 3.50 ) Al más alto nivel
Nota 1 de la entrada: La alta dirección tiene la facultad de delegar autoridad y proporcionar recursos dentro de la organización.
Nota 2 a la entrada: Si el alcance de la sistema de gestión ( 3.41 ) Cubre sólo una parte de una organización, a continuación, la alta dirección se refiere a los que dirigir y
controlar esa parte de la organización.

IEC
ISO 27000:
/ IEC 27000:
2018 (E)
2018 (E) ISO /
Nota 3 a la entrada: La alta dirección se llama a veces la dirección ejecutiva y puede incluir el presidente ejecutivo de Of•icers• Jefe Financiero de •icers• Jefe de
Información Of•icers• y funciones similares.
3.76
información de
fiable
confianza
de comunicaciones
comuni de entidad unicación
entidad de cationes
autónomo organización ( 3.50 ) Que soporta el intercambio de información dentro de una comunidad de intercambio de información ( 3.34 )
3.77
vulnerabilidad
debilidad de un activo o de control ( 3.14 ) Que puede ser explotada por uno o más (amenazas 3.74 )
4 Información
Seguridad de información
gestion de seguridad
sistemas de gestión sistemas
4.1 Generalidades
Organizaciones de todo tipo Nd tamaños:
a) recoger, procesar, almacenar y transmitir información;
b) reconocer que la información y procesos relacionados, sistemas, redes y personas son activos importantes para el logro de objetivos de la
organización;
c) se enfrentan a una serie de riesgos que pueden afectar el funcionamiento de los activos; y
d) responder a su exposición al riesgo percibido por la implementación de controles de seguridad de la información.
Toda la información en poder y procesada por una organización está sujeta a amenazas de ataque, el error, la naturaleza (por
ejemplo• •lood o •ire)• etc.• y está sujeta a las vulnerabilidades inherentes a su uso. La seguridad de la información término generalmente se basa
en la información que se considera como un activo que tiene un valor que requiere protección apropiado• por ejemplo• contra la pérdida de
disponibilidad• con•identiality e integridad. Activación de información precisa y completa que esté disponible de manera oportuna a las personas
con una necesidad autorizado es un catalizador para ef•iciency negocio.
La protección de los activos de información a través de•ining• lograr• mantener y mejorar la seguridad de la información es efectivamente esencial
para permitir a una organización para lograr sus objetivos• y mantener y mejorar su cumplimiento legal y la imagen. Estas actividades coordinadas
que dirigen la implementación de controles adecuados y tratamiento de los riesgos de seguridad de información inaceptable se conocen
generalmente como elementos de gestión de seguridad de la información.
Como los riesgos de seguridad de la información y la eficacia de los controles de cambio en función de las circunstancias cambiantes, las
organizaciones necesitan:
a) supervisar y evaluar la eficacia de los controles y procedimientos implementados;
b) identificar los riesgos a ser tratados emergentes; y
c) seleccionar, implementar y mejorar los controles apropiados según sea necesario.
Interrelacionar y coordinar dichas actividades de seguridad de la información, cada organización debe establecer su política y objetivos de
seguridad de la información y alcanzar estos objetivos de manera efectiva mediante el uso de un sistema de gestión.
4.2 ¿Qué ¿Qué es

esuna
un SGSI?
ISMS?
4.2.1 Descripción general yy los principios

principios
Un SGSI se compone de las políticas, procedimientos, pautas y recursos y actividades asociadas, gestionadas colectivamente por una
organización, en la búsqueda de la protección de sus activos de información. Un SGSI es un enfoque sistemático para establecer, implementar,
operar, monitorear, revisar, mantener

IEC
ISO 27000:
/ IEC 27000:
2018 (E)
2018 (E) ISO /
y mejorar la seguridad de la información de una organización para alcanzar los objetivos de negocio. Se basa en una evaluación del riesgo y los
niveles de aceptación del riesgo de la organización diseñada para tratar y gestionar los riesgos de manera efectiva. El análisis de los requisitos
para la protección de los activos de información y la aplicación de controles adecuados para garantizar la protección de estos activos de
información, según sea necesario, contribuye a la implementación exitosa de un SGSI. Los siguientes principios fundamentales también
contribuyen a la implementación exitosa de un SGSI:
a) la conciencia de la necesidad de seguridad de la información;
b) la asignación de responsabilidades para la seguridad de la información;
do) la incorporación de compromiso de la dirección y de los intereses de las partes interesadas;
d) el aumento de los valores sociales;
e) evaluaciones de riesgo que determinan los controles apropiados para alcanzar niveles aceptables de riesgo;
f) la seguridad incorporado como un elemento esencial de las redes y sistemas de información;
g) la prevención activa y detección de incidentes de seguridad de la información;
h) garantizar un enfoque integral de la gestión de seguridad de la información;
i) una reevaluación continua de la seguridad de la información y la toma de modi•ications según el caso.
4.2.2 Información
La información es un activo que, al igual que otros activos comerciales importantes, es esencial para el negocio de una organización y, por lo tanto, necesita
ser protegido de forma adecuada. La información puede ser almacenada en muchas formas,
incluyendo: forma digital (por ejemplo• •iles de datos almacenados en medios electrónicos u ópticos)• forma de material (por ejemplo en el papel)• así
como la información no representados en la forma de conocimiento de los empleados. La información puede ser transmitida por varios medios•
incluyendo: mensajería• comunicación electrónica o verbal. Cualquier información que toma forma o el medio por el cual se transmite• que siempre
necesita una protección adecuada.
En muchas organizaciones, la información depende de la tecnología de la información y las comunicaciones. Esta tecnología es a menudo un
elemento esencial en la organización y ayuda a facilitar la creación, procesamiento, almacenamiento, transmisión, protección y destrucción de
informació n.
4.2.3 Información de seguridadseguridad

Información
seguridad de la información asegura la con•identiality• disponibilidad e integridad de la información. seguridad de la información consiste en la
aplicación y gestión de los controles apropiados que implica la consideración de una amplia gama de amenazas• con el objetivo de garantizar el
éxito comercial sostenido y continuidad• y reducir al mínimo las consecuencias de los incidentes de seguridad de la información.
seguridad de la información se logra mediante la aplicación de un conjunto de aplicación de los controles, seleccionados a través del proceso de
gestión del riesgo elegida y gestionarse a través de un SGSI, incluyendo las políticas, procesos,
procedimientos• estructuras organizativas• software y hardware para proteger los activos de información identi•ied. Estos controles deben ser
speci•ied• aplicación• seguimiento• revisar y mejorar• cuando sea necesario• para asegurar que se cumplen los objetivos de seguridad de la
información y de negocios speci•ic de la organización. Se espera que los controles de seguridad de la información de interés para integrarse a la
perfección con los procesos de negocio de una organización.
4.2.4 Gestión
El tratamiento incluye actividades para dirigir, controlar y mejorar continuamente la organización dentro de las estructuras apropiadas. Las
actividades de manejo incluyen el acto, forma, o la práctica de la organización, manejo, dirigir, supervisar y controlar los recursos. Las estructuras
de gestión se extienden de una persona en una organización pequeña a las jerarquías de administración compuesto por muchas personas en las
grandes organizaciones.

IEC
ISO 27000:
/ IEC 27000:
2018 (E)
2018 (E) ISO /
En términos de un SGSI, la gestión implica la supervisión y toma de decisiones necesarias para alcanzar los objetivos de negocio a través de la
protección de los activos de información de la organización. Gestión de seguridad de la información se expresa a través de la formulación y
aplicación de políticas de seguridad de información, procedimientos y directrices, que luego se aplican en toda la organización por todas las
personas asociadas con él t organización.
4.2.5 Sistema de Gestión sistema
Un sistema de gestión utiliza un marco de recursos para lograr los objetivos de una organización. El sistema de gestión incluye la estructura
organizativa, las políticas, la planificación de actividades, responsabilidades, prácticas, procedimientos, procesos y recursos.
En cuanto a la seguridad de la información, un sistema de gestión permite a una organización:
a) cumplir los requisitos de seguridad de la información de los clientes y otras partes interesadas;
b) mejorar los planes y actividades de una organización;
c) cumplir con los objetivos de seguridad de la información de la organización;
d) cumplir con los reglamentos, la legislación y la industria de los mandatos; y
e) administrar los activos de información de una manera organizada que facilita la mejora continua y el ajuste a los objetivos actuales de la
organización.
4.3 Proceso
Enfoque basadoenfoque
en procesos
Las organizaciones tienen que identificar y gestionar numerosas actividades con el fin de funcionar eficazmente y ef•iciently. Cualquier actividad
que utiliza recursos debe ser gestionado para permitir la transformación de insumos en productos que utilizan un conjunto de actividades
mutuamente relacionadas o que interactúan; esto también se conoce como un proceso. La salida de un proceso puede formar directamente la
entrada a otro proceso y• en general esta transformación se lleva a cabo bajo condiciones programadas y controladas. La aplicación de un
sistema de procesos dentro de una organización• junto con el identi•ication e interacciones de estos procesos• y su gestión• puede ser
denominado como un “enfoque de proceso”.
4.4 ¿Por qué una

un SGSI
ISMS eses importante
Los riesgos asociados con los activos de información de una organización deben ser abordados. El logro de la seguridad de la información requiere
la gestión del riesgo, y abarca los riesgos de las amenazas relacionadas con la tecnología asociados a todas las formas de información dentro o
utilizados por la organización física, humana y.
Se espera que la adopción de un SGSI a ser una decisión estratégica para una organización y es necesario que esta decisión se integran a la
perfección, escala y se actualiza de acuerdo con las necesidades de la organización.
El diseño e implementación de SGSI de una organización es in• luenced por las necesidades y objetivos de la
organización• los requisitos de seguridad• los procesos de negocio empleados y el tamaño y estructura de la organización. El diseño y operación
de un SGSI tiene que re•lect los intereses y necesidades de seguridad de la información de todas las partes interesadas de la organización•
incluidos los clientes• proveedores• socios comerciales• accionistas y otros terceros pertinentes.
En un mundo interconectado• la información y los procesos relacionados• sistemas y redes constituyen activos críticos de negocio. Las
organizaciones y sus sistemas de información y las redes se enfrentan a amenazas a la seguridad de una amplia gama de fuentes• incluyendo el
fraude asistido por computadora• espionaje• sabotaje• vandalismo• y •ire
• Lood. El daño a los sistemas de información y redes causados por código malicioso, la piratería informática, y ataques de denegación de servicio
se han vuelto más común, más ambicioso, y cada vez más sofisticados.
Un SGSI es importante tanto para las empresas del sector público y privado. En cualquier industria• un SGSI es un facilitador que apoya el
comercio electrónico y es esencial para las actividades de gestión de riesgos. La interconexión de redes públicas y privadas y el reparto de los
activos de información aumentan la dif•iculty de controlar

IEC
ISO 27000:
/ IEC 27000:
2018 (E)
2018 (E) ISO /
el acceso y manejo de la información. Además, la distribución de los dispositivos de almacenamiento móviles que contienen activos de información
puede debilitar la efectividad de los controles tradicionales. Cuando las organizaciones adoptan la familia SGSI de las normas, la capacidad de
aplicar los principios de seguridad de la información coherentes y mutuamente reconocibles se puede demostrar a los socios comerciales y otras
partes interesadas.
seguridad de la información no siempre se tiene en cuenta en el diseño y desarrollo de sistemas de información. Además• seguridad de la
información se piensa a menudo en como siendo una solución técnica. Sin embargo• la seguridad de la información que se puede lograr a través
de medios técnicos es limitado• y puede ser ineficaz sin ser apoyado por la administración y procedimientos apropiados en el contexto de un
ISMS. La integración de la seguridad en un sistema de información funcionalmente completa puede ser dif•icult y costoso. un SGSI
implica la identificación de los controles están en su lugar y requiere una cuidadosa planificación y atención al detalle. Como un ejemplo, los controles
de acceso, que puede ser técnica (lógico), físico, administrativa (gestión) o una combinación, proporcionar un medio para asegurar que el acceso a
los recursos de información está autorizada y restringido sobre la base de los requisitos de seguridad de negocios y de información.
La adopción exitosa de un SGSI es importante para proteger los activos de información que permiten a una organización:
a) lograr una mayor seguridad de que sus activos de información están adecuadamente protegidos contra las amenazas de forma continua;
b) mantener un marco estructurado y amplio para identificar y evaluar los riesgos de seguridad de la información, seleccionar y aplicar los
controles aplicables, y medir y mejorar su eficacia;
c) mejorar continuamente su entorno de control; y
d) lograr efectivamente el cumplimiento legal y normativo.
4.5 Establecimiento, monitoreo, mantenimiento

El establecimiento, la supervisión, mantener y y la mejora de de una un SGSI
la mejora ISMS
4.5.1 Información general
Una organización necesita para llevar a cabo los siguientes pasos en el establecimiento, la supervisión, el mantenimiento y la mejora de su SGSI:
a) identificar los activos de información y sus requisitos de seguridad de la información asociadas (véase 4.5.2 );
b) evaluar los riesgos de seguridad de la información (véase 4.5.3 ) Y tratar los riesgos de seguridad de la información (véase 4.5.4 );
c) seleccionar y aplicar los controles pertinentes para gestionar los riesgos inaceptables (ver 4.5.5 );
d) controlar, mantener y mejorar la eficacia de los controles asociados a los activos de información de la organización (véase 4.5.6 ).
Para asegurar el SGSI es proteger eficazmente los activos de información de la organización de manera continua, es necesario que las etapas a)
hasta d) se repiten continuamente para identificar cambios en los riesgos o en las estrategias de la organización o los objetivos de negocio.
4.5.2 Identificar
Información identificativa
seguridad de información requisitos
requerimientos de seguridad
Dentro de los objetivos de la estrategia y de negocios generales de la organización• su tamaño y su distribución geográfica• los requisitos de seguridad
de la información se pueden identi•ied través de la comprensión de los siguientes:
a) identi•ied activos de información y su valor;
b) negocio necesita para procesamiento de la información, almacenamiento y comunicaciones;
do) requisitos legales, reglamentarios y contractuales.
La realización de una evaluación metódica de los riesgos asociados a los activos de información de la organización consiste en analizar las amenazas a
los activos de información, factores de vulnerabilidad ante la probabilidad de una amenaza

IEC
ISO 27000:
/ IEC 27000:
2018 (E)
2018 (E) ISO /
materializando a los activos de información, y el impacto potencial de cualquier incidente de seguridad de la información sobre los activos de
información. Se espera que el gasto en los controles pertinentes a ser proporcional al impacto en el negocio percibido del riesgo se materialice.
4.5.3 Evaluación seguridad

La evaluación de la de información
información riesgos
riesgos de seguridad
La gestión de riesgos de seguridad de la información requiere un método de evaluación y tratamiento de riesgos adecuada que puede incluir una
estimación de los costes y bene•its• requisitos legales• las preocupaciones de los interesados• y otros insumos y variables según el caso.
La evaluación de riesgos debe identificar, cuantificar y priorizar los riesgos contra los criterios de aceptación del riesgo y los objetivos relevantes
para la organización. Los resultados deberían guiar y determinar la acción adecuada gestión y las prioridades para la gestión de riesgos de
seguridad de la información y para la implementación de controles seleccionados para proteger contra estos riesgos.
La evaluación de riesgos debe incluir:
- el enfoque sistemático de estimat ing la magnitud de los riesgos (análisis de riesgos); y
- el proceso de comparar los riesgos estimados en función de criterios de riesgo para determinar la sig• signi• de los riesgos (evaluación del
riesgo).
La evaluación de riesgos se debe realizar periódicamente para hacer frente a los cambios en los requisitos de seguridad de la información y en la
situación de riesgo• por ejemplo• en los activos• amenazas• vulnerabilidades• impactos• la evaluación de riesgos• y cuando se producen cambios
signi•icant. Estas evaluaciones de riesgo deben llevarse a cabo de una manera metódica capaz de producir resultados comparables y
reproducibles.
La evaluación de los riesgos de seguridad de información debe tener un ámbito claramente de•ined con el fin de ser eficaz y debe incluir las
relaciones con las evaluaciones de riesgo en otras áreas• en su caso.
ISO / IEC 27005 proporciona información de guía de gestión de riesgos de seguridad, incluido el asesoramiento sobre la evaluación de riesgos, el tratamiento del riesgo, la
aceptación del riesgo, la presentación de informes de riesgos, vigilancia de riesgos y revisión de riesgo. Ejemplos de metodologías de evaluación de riesgo se incluyen
también.
4.5.4 tratamiento
El tratamiento deseguridad de información
la información riesgos
riesgos de seguridad
Antes de considerar el tratamiento de un riesgo• la organización debe de•ine criterios para determinar si o no los riesgos pueden ser aceptadas.
Los riesgos pueden ser aceptados si• por ejemplo• se considera que el riesgo es bajo o que el costo del tratamiento no es rentable para la
organización. Tales decisiones deben ser
grabado.
Para cada uno de los riesgos siguientes identi•ied la evaluación del riesgo• una decisión de tratamiento de riesgos necesita ser hecho. Las posibles opciones para el
tratamiento del riesgo se incluyen los siguientes:
a) aplicar controles apropiados para reducir los riesgos;
b) aceptar a sabiendas y objetivamente los riesgos, siempre que satisfagan claramente la política y los criterios de aceptación del riesgo de la
organización;
c) evitar riesgos al no permitir acciones que causarían los riesgos de que se produzca;
d) el intercambio de los riesgos asociados a otras partes, por ejemplo, los aseguradores o proveedores.
En los riesgos en que la decisión del tratamiento del riesgo ha sido aplicar los controles adecuados, estos controles deben ser seleccionados e
implementados.
4.5.5 Selección y Selección

y la implementación controles
la implementación de controles
Una vez que se han identi•ied requisitos de seguridad de la información (véase 4.5.2 )• Los riesgos de seguridad de la información a los activos de
información identi•ied se han determinado y evaluado (ver 4.5.3 ) Y las decisiones de la

IEC
ISO 27000:
/ IEC 27000:
2018 (E)
2018 (E) ISO /
el tratamiento de los riesgos de seguridad de la información se han hecho (véase 4.5.4 ), Entonces la selección e implementación de controles se aplican para la reducción
de riesgos.
Los controles deben asegurar que los riesgos se reducen a un nivel aceptable teniendo en cuenta lo siguiente:
a) los requisitos y las limitaciones de la legislación y la normativa nacional e internacional;
b) objetivos de la organización;
c) requisitos y restricciones operacionales;
d) su costo de implementación y funcionamiento en relación con los riesgos que se reduce y queda proporcional a los requisitos y limitaciones de
la organización;
e) sus objetivos para monitorear• evaluar y mejorar la ef•iciency y la eficacia de los controles de seguridad de la información para apoyar los
objetivos de la organización. La selección y la implementación de los controles deben ser documentados dentro de una declaración de
aplicabilidad para ayudar con los requisitos de cumplimiento;
F) la necesidad de equilibrar la inversión en la implementación y operación de los controles contra la pérdida probable que el resultado de los incidentes
de seguridad de la información.
Los controles speci•ied en la norma ISO / IEC 27002 son reconocidas como las mejores prácticas aplicables a la mayoría de las organizaciones y
fácilmente adaptadas para dar cabida a las organizaciones de diversos tamaños y complejidades. Otras normas en la familia SGSI de las normas
proporcionan orientación sobre la selección y aplicación de la norma ISO / IEC 27002 controles para el SGSI.
controles de seguridad de la información deben ser considerados en los sistemas y requisitos del proyecto y speci•ication etapa de diseño. El no
hacerlo puede resultar en costes adicionales y las soluciones menos eficaces• y• en el peor de los casos• la incapacidad para lograr una seguridad
adecuada. Los controles pueden ser seleccionados de ISO / IEC 27002 o de otros conjuntos de control. Por otra parte• los nuevos controles
pueden ser diseñados para satisfacer las necesidades speci•ic de la organización. Es necesario reconocer la posibilidad de que algunos controles
no ser aplicables a todos los sistemas de información o el medio ambiente• y no ser factible para todas las organizaciones.
A veces, la implementación de un conjunto seleccionado de los controles de toma tiempo y, durante ese tiempo, el nivel de riesgo puede ser más alto que puede ser
tolerado en una base a largo plazo. Los criterios de riesgo deben cubrir la tolerabilidad de los riesgos sobre una base a corto plazo, mientras que los controles están
siendo implementados. Los interesados deben ser informados de los niveles de riesgo que están proyectados o anticipados en diferentes puntos en el tiempo como
controles son progresivamente
implementado.
Se debe tener en cuenta que ningún conjunto de controles de seguridad de la información puede alcanzar completa. medidas de gestión
adicionales deben ser implementados para monitorear• evaluar y mejorar la ef•iciency y la eficacia de los controles de seguridad de la información
para apoyar los objetivos de la organización.
La selección y la implementación de los controles deben ser documentados dentro de una declaración de aplicabilidad para ayudar con los requisitos
de cumplimiento.
4.5.6 Monitor de monitor,

, mantener y mantener mejorar
y la improvisación e la la eficacia
efectividad de del ISMSISMS
Una organización necesita para mantener y mejorar el SGSI a través del seguimiento y la evaluación de desempeño contra las políticas y
objetivos de la organización• e informando de los resultados a la gerencia para su revisión. Esta opinión ISMS comprueba que las ISMS incluye
controles speci•ied que son adecuados para el tratamiento de los riesgos dentro del alcance ISMS. Por otra parte• con base en los registros de
estas zonas vigiladas• proporciona evidencia de veri•ication y la trazabilidad de las acciones correctivas• preventivas y de mejora.
4.5.7 improvisación continua

mejora
Continuaement
El objetivo de la mejora continua de un SGSI es aumentar la probabilidad de alcanzar los objetivos relativos a la preservación de la con•identiality•
disponibilidad e integridad de la información. El enfoque de mejora continua está buscando oportunidades de mejora y no el supuesto de que las
actividades de gestión existentes son lo suficientemente buenos o tan bueno como sea posible.

IEC
ISO 27000:
/ IEC 27000:
2018 (E)
2018 (E) ISO /
Acciones de mejora incluyen los siguientes:
a) análisis y evaluación de la situación existente para identificar áreas de mejora;
b) el establecimiento de los objetivos de mejora;
c) en busca de posibles soluciones para lograr los objetivos;
d) la evaluación de estas soluciones y hacer una selección;
e) la aplicación de la solución seleccionada;
f) la medición, verificación, análisis y evaluación de resultados de la aplicación para determinar que se han cumplido los objetivos;
g) la formalización de cambios.
Los resultados se revisan, cuando es necesario, para determinar oportunidades adicionales de mejora. De esta manera, la mejora es una actividad
continua, es decir, las acciones se repiten con frecuencia. La retroalimentación de los clientes y otras partes interesadas, las auditorías y revisión del
sistema de gestión de seguridad de la información también se puede utilizar para identificar oportunidades de mejora.
4.6 ISMS ISMSéxito

crítico
críticofactores de factores
éxito
Un gran número de factores que son críticos para la implementación exitosa de un SGSI para permitir que una organización para cumplir con sus
objetivos de negocio. Ejemplos de factores críticos de éxito incluyen lo siguiente:
a) La política de seguridad de información, objetivos y actividades alineadas con los objetivos;
b) un enfoque y un marco para el diseño, implementación, monitoreo, mantenimiento y mejora de seguridad de la información consistente con la
cultura de la organización;
c) el apoyo visible y el compromiso de todos los niveles de gestión, especialmente la alta dirección;
d) una comprensión de los requisitos de protección de activos de información obtenidos a través de la aplicación de la gestión de riesgos de seguridad de la
información (véase la norma ISO / IEC 27005);
e) una conciencia efectiva seguridad de la información, el programa de educación y formación, informar a todos los empleados y otras partes
pertinentes de sus obligaciones de información de seguridad establecidos en las políticas de seguridad de la información, normas, etc., y
motivarlos a actuar en consecuencia;
f) un proceso eficaz de información de seguridad de gestión de incidencias;
g) un enfoque eficaz de gestión de la continuidad del negocio;
h) un sistema de medición utilizado para evaluar el desempeño en la gestión y seguridad de la información de retroalimentación sugerencias de
mejora.
Un SGSI aumenta la probabilidad de lograr una organización coherente de los factores de éxito críticos necesarios para proteger sus activos de
información.
4•7
4.7 de
Bene•its Bene•itsdel ISMSla familiafamilia
SGSI de de normas
normas
Los bene•its de implementar un ISMS resultan principalmente de una reducción de los riesgos de seguridad de la información (es decir• reducir la
probabilidad de y / o el impacto causado por incidentes seguridad de la información). Speci•ically• bene•its realizado para una organización para
lograr el éxito sostenible de la adopción de la familia SGSI de las normas de incluir lo siguiente:
a) un marco estructurado apoyar el proceso de especificación, implementación, operación y mantenimiento de una amplia y rentable, la creación
de valor, ISMS integrados y alineados que satisfaga las necesidades de la organización a través de diferentes operaciones y lugares;

IEC
ISO 27000:
/ IEC 27000:
2018 (E)
2018 (E) ISO /
b) asistencia para la gestión en el manejo consistente y operar de manera responsable su enfoque hacia la gestión de seguridad de la
información, en el contexto de la gestión de riesgos y gobierno corporativo, incluyendo la educación y los propietarios de negocios y
sistemas de formación sobre la gestión integral de la seguridad de la información;
c) promoción de la mundialmente aceptado• las buenas prácticas de seguridad de la información de una manera no prescriptiva• que dan a las
organizaciones la flexibilidad para adoptar y mejorar los controles pertinentes que se adapten a sus circunstancias speci•ic y mantenerlos en la
cara de los cambios internos y externos;
d) la provisión de un lenguaje común y base conceptual para la seguridad de la información, lo que hace que sea más fácil
colocar con•idenceacreditado
por un organismo en socios certi•ication;
de negocios con un ISMS compatibles• especialmente si requieren certi•ication según la norma ISO / IEC 27001
e) aumento de la confianza de las partes interesadas en la organización;
f) que satisface las necesidades y expectativas de la sociedad;
g) La gestión económica más eficaz de las inversiones en seguridad de la información.
5 ISMS
la familiafamilia
SGSI de de normas
normas
5.1 general
Información información
general
La familia de normas de SGSI se compone de normas relacionadas entre sí• ya publicados o en desarrollo• y contiene una serie de componentes
estructurales signi•icant. Estos componentes son
centrado en:
- normas que describen requisitos ISMS (ISO / IEC 27001);
- necesidades del cuerpo certi•ication ( ISO / IEC 27006) para aquellos que certifique la conformidad con
ISO / IEC 27001; y
- marco requisito adicional para implementaciones del sector•speci•ic de los ISMS (ISO / IEC 27009).
Otros documentos proporcionan una guía para los diversos aspectos de una implementación de SGSI• abordando un proceso genérico• así como
orientación sector speci•ic.
Las relaciones entre la familia de normas de SGSI se ilustran en Figura 1 .

IEC
ISO 27000:
/ IEC 27000:
2018 (E)
2018 (E) ISO /
Vocabulario -
27000
cláusula 5.2
parámetros de
27001 27006 27009
requerimientos
Cláusula 5.3
27002 27003 27004 27005 27007 TR 27008

ISMS
normas directrices
- 27013 27014 TR 27016 27021

Cláusula 5.4 estándar
familyofstandards
normas directrices del

sector•speci•ic • 27010 27011 27017 27018 27019
cláusula 5.5
normas directrices de control•speci•ic 2703x 2704x

(Fuera del alcance de este documento)
Figura 1 - ISMS familia

ISMS familia
de st de Relatio standards
andardsrelaciones nships
Cada una de las normas de la familia ISMS se describe a continuación por su tipo (o papel) dentro de la familia de normas ISMS y su número de
referencia.
5.2 Estándar
estándar que describe
que describe una junta ERSPECTIVA
una visión general y ylat terminología:
ERMINOLOGÍA: ISOISO
/ IEC/ IEC 27000
27000(este
(este documento)
documento)
Tecnología de la información - Técnicas de seguridad - Sistemas de gestión de seguridad de la información - Información general y vocabulario
Alcance: Alcance: Este documento proporciona a las organizaciones e individuos:
a) una descripción general de la familia SGSI de las normas;
b) una introducción a los sistemas de gestión de seguridad de la información; y
c) los términos y de•initions utilizados en la familia de normas de SGSI.
Propósito: Propósito: Este documento describe los fundamentos de los sistemas de gestión de seguridad de la información• que forman el tema de
la familia SGSI de las normas y de•ines términos relacionados.
5.3 Normas la especificaciónrequisitos

Las normas que especifican de requisitos
5.3.1 ISO / IEC ISO / IEC

27001
27001
Tecnología de la información - Técnicas de seguridad - Sistemas de gestión de seguridad de la información - Requisitos
Alcance: Alcance: Este documento speci• IES los requisitos para establecer• implementar• operar• monitorear• revisar• mantener y mejorar los
sistemas de gestión de seguridad de la información (SGSI) formalizada en el contexto de los riesgos de negocio globales de la organización. Se
speci•ies requisitos para la aplicación de los controles de seguridad de la información a medida de las necesidades de las organizaciones
individuales o partes de los mismos. Este documento puede ser utilizado por todas las organizaciones• independientemente del tipo• tamaño y
naturaleza.

IEC
ISO 27000:
/ IEC 27000:
2018 (E)
2018 (E) ISO /
Propósito: Propósito: ISO / IEC 27001 proporciona requisitos normativos para el desarrollo y el funcionamiento de un SGSI• incluyendo un conjunto
de controles para el control y mitigación de los riesgos asociados a los activos de información que la organización trata de proteger al operar su
SGSI. Organizaciones que gestionen un ISMS pueden tener su conformidad auditado y certi•ied. Los objetivos de control y controles de ISO / IEC
27001: 2013• Anexo A se seleccionarán como parte de este proceso ISMS como adecuado para cubrir los requisitos identi•ied. Los objetivos de
control y controles listados en la norma ISO / IEC 27001: 2013• Tabla A.1 se derivan directamente de y alineados con los enumerados en ISO /
IEC 27002: 2013• cláusulas 5 a 18.

27006
27006
Tecnología de la información • Técnicas de seguridad • Requisitos para los organismos que realizan la auditoría y certi•ication
de sistemas de gestión de seguridad de la información
Alcance: Alcance: Este documento speci•ies requisitos y proporciona una guía para los organismos que realizan la auditoría y ISMS certi•ication de
acuerdo con ISO / IEC 27001• además de los requisitos contenidos en la norma ISO / IEC 17021. Se destina principalmente para apoyar la
acreditación de certi•ication cuerpos proporcionando ISMS certi•ication de acuerdo con ISO / IEC 27001.
Los requisitos contenidos en este documento deben ser demostrada en términos de competencia y fiabilidad por cualquier persona que
proporcionan ISMS certi•ication• y las directrices contenidas en este documento proporciona la interpretación adicional de estos requisitos para
cualquiera que proporcionan ISMS certi•ication.
Propósito: Propósito: ISO / IEC 27006 suplementos ISO / IEC 17021 en la prestación de los requisitos por el cual están acreditados organizaciones
certi•ication• permitiendo así estas organizaciones para proporcionar certi•ications cumplimiento sistemáticamente en contra de los requisitos
establecidos en la norma ISO / IEC 27001.

27009
27009
Tecnología de la información • Técnicas de seguridad • Sector•speci•ic de la norma ISO / IEC 27001 •

requisitos
Alcance: Alcance: Este documento de•ines los requisitos para el uso de la norma ISO / IEC 27001 en cualquier sector speci•ic (•ield• área de
aplicación o sector de mercado). En él se explica cómo incluir requisitos adicionales a los de la norma ISO / IEC 27001• la forma de re•ine
cualquiera de los requisitos 27001 ISO / IEC• y cómo incluir controles o conjuntos de control• además de la norma ISO / IEC 27001: 2013• Anexo A.
Propósito: Propósito: ISO / IEC 27009 garantiza que los requisitos adicionales o re•ined no están en con•lict con los requisitos de la norma ISO /
IEC 27001.
5.4 Normas
normas que describen reglas generales
que describe en general directrices

27002
27002
Tecnología de la información - Técnicas de seguridad - Código de prácticas para los controles de seguridad de la información
Alcance: Alcance: En este documento se ofrece una lista de objetivos de control comúnmente aceptados y las mejores prácticas controla para ser utilizado
como una guía de implementación en la selección e implementación de controles para lograr la seguridad de la información.
Propósito: Propósito: ISO / IEC 27002 proporciona orientación sobre la aplicación de los controles de seguridad de la información. Speci•ically• las cláusulas de
5 a 18 proporcionan asesoramiento sobre la ejecución speci•ic y orientación sobre las mejores prácticas en apoyo de los controles speci•ied en la norma ISO /
IEC 27001: 2013• A.5 a A.18.

27003
27003
Tecnología de la información - Técnicas de seguridad - gestión de seguridad de la información -Orientación
Alcance: Alcance: Th es el documento ofrece explicaciones y orientación en la norma ISO / IEC 27001: 2013.

IEC
ISO 27000:
/ IEC 27000:
2018 (E)
2018 (E) ISO /
Propósito: Propósito: ISO / IEC 27003 proporciona un fondo para la implementación exitosa del SGSI según ISO / IEC 27001.

27004
27004
Tecnología de la información - Técnicas de seguridad - gestión de seguridad de la información - Seguimiento, medición, análisis y evaluación
Alcance: Alcance: Este documento proporciona directrices destinadas a ayudar a las organizaciones a evaluar el rendimiento de la seguridad de la
información y la efectividad del SGSI con el fin de ful•il los requisitos de la norma ISO / IEC 27001: 2013• 9.1. Se dirige a:
a) el seguimiento y la medición del rendimiento de la seguridad de la información;
b) el seguimiento y medición de la eficacia de un sistema de gestión de seguridad de la información (ISMS) incluyendo sus procesos y controles;
c) el análisis y la evaluación de los resultados del seguimiento y la medición.
Propósito: Propósito: ISO / IEC 27004 proporciona un marco que permite una evaluación de ISMS eficacia que se mide y se evalúa de acuerdo
con ISO / IEC 27001.

27005
27005
Tecnología de la información - Técnicas de seguridad - la gestión de riesgos de seguridad de información
Alcance: Alcance: Este documento proporciona directrices para la gestión de riesgos de seguridad de la información. El enfoque descrito en este
documento es compatible con los conceptos generales speci•ied en ISO / IEC 27001.
Propósito: Propósito: ISO / IEC 27005 proporciona orientación sobre la aplicación de un enfoque de gestión de riesgos orientado a los procesos para
ayudar en la implementación satisfactoria y ful•illing los requisitos de gestión de riesgos de seguridad de la información de la norma ISO / IEC
27001.

27007
27007
Tecnología de la información - Técnicas de seguridad - Directrices para los sistemas de gestión de seguridad de la información de auditoría
Alcance: Alcance: Este documento proporciona orientación sobre la realización de auditorías de SGSI, así como orientación sobre la competencia de los
auditores de sistemas de gestión de seguridad de la información, además de la orientación contenida en la norma ISO 19011, que es aplicable a los
sistemas de gestión en general.
Propósito: Propósito: ISO / IEC 27007 proporcionará orientación a las organizaciones que tienen que realizar auditorías internas o externas de un
SGSI o para gestionar un programa de auditoría ISMS en contra de los requisitos speci•ied
en la ISO / IEC 27001.

TRTR
27008
27008
Tecnología de la información - Técnicas de seguridad - Directrices para los auditores sobre los controles de seguridad de la información
Alcance: Alcance: Este documento proporciona una guía sobre la revisión de la implementación y operación de los controles, incluyendo la
comprobación de la conformidad técnica de los controles del sistema de información, de conformidad con las normas establecidas de seguridad de
información de una organización.
Propósito: Propósito: Thi s documento proporciona un enfoque en la revisión de los controles de seguridad de la información• incluyendo la comprobación del
cumplimiento técnico• frente a un patrón de implementación de seguridad de la información• que es establecido por la organización. No tiene la intención de
proporcionar alguna orientación speci•ic en la comprobación del cumplimiento con respecto a la medición• evaluación de riesgos o auditoría de un SGSI como
en speci•ied ISO / IEC 27004, ISO / IEC 27005 o
ISO / IEC 27007, respectivamente. Esto no pretende documentis para las auditorías de sistemas de gestión.

IEC
ISO 27000:
/ IEC 27000:
2018 (E)
2018 (E) ISO /

27013
27013
Tecnología de la información - Técnicas de seguridad - Guía para la implementación integrada de

ISO / IEC 27001 y ISO / IEC 20000-1
Alcance: Alcance: Este documento proporciona orientación sobre la aplicación integrada de la norma ISO / IEC 27001 e ISO / IEC 20000-1 para las
organizaciones que tienen la intención de cualquiera:
a) aplicar ISO / IEC 27001 cuando ISO / IEC 20000-1 ya está implementado, o viceversa;
b) aplicar tanto ISO / IEC 27001 y ISO / IEC 20000-1 juntos;
do) integrar los sistemas de gestión existentes basados en la norma ISO / IEC 27001 e ISO / IEC 20000-1.
Este documento se centra exclusivamente en la aplicación integrada de un sistema de gestión de seguridad de la información (SGSI) como
speci•ied en la norma ISO / IEC 27001 y un sistema de gestión de servicios (SMS) como speci•ied en la norma ISO / IEC 20000•1.
En la práctica, la norma ISO / IEC 27001 e ISO / IEC 20000-1 también se pueden integrar con otras normas de sistemas de gestión, tales como
ISO 9001 e ISO 14001.
Propósito: Propósito: Para proporcionar a las organizaciones una mejor comprensión de las características, similitudes y diferencias de la norma
ISO / IEC 27001 e ISO / IEC 20000-1 para ayudar en la planificación de un sistema de gestión integrado que se ajusta a las Normas
Internacionales de ambos.

27014
27014
Tecnología de la información - Técnicas de seguridad - Gobierno de seguridad de la información
Alcance: Alcance: En este documento se proporcionará orientación sobre los principios y procesos para la gestión de la seguridad de la
información, mediante el cual las organizaciones pueden evaluar, dirigir y supervisar la gestión de la seguridad de la información.
Propósito: Propósito: seguridad de la información se ha convertido en una cuestión clave para las organizaciones. No sólo hay aumento de los
requisitos normativos, sino también a la falta de medidas de seguridad de la información de una organización puede tener un impacto directo en la
reputación de una organización. Por lo tanto, los órganos de gobierno, como parte de sus responsabilidades de gobierno, se necesitan cada vez más
tener la supervisión de seguridad de la información para asegurar el logro de los objetivos de la organización.

TRTR
27016
27016
Tecnología de la información - Técnicas de seguridad - gestión de la seguridad de la información - Economía de las Organizaciones
Alcance: Alcance: Este documento proporciona una metodología que permite a las organizaciones a comprender mejor cómo valorar
económicamente con mayor precisión sus activos de información identi•ied• el valor de los posibles riesgos para los activos de información•
apreciar el valor que los controles de protección de la información a entregar
estos activos de información, y determinar el nivel óptimo de los recursos que han de aplicarse en la obtención de estos activos de información.
Propósito: Propósito: Este documento complementa la familia SGSI de las normas mediante la superposición de una perspectiva económica en la
protección de los activos de información de una organización en el contexto del entorno social más amplio en el que opera una organización y
proporcionar orientación sobre cómo aplicar economía de las organizaciones de seguridad de la información mediante el uso de modelos y
ejemplos.

27021
27021
Tecnología de la información - Técnicas de seguridad - gestión de seguridad de la información - Competencia

requisitos para los profesionales de sistemas de gestión de seguridad de la información

IEC
ISO 27000:
/ IEC 27000:
2018 (E)
2018 (E) ISO /
Alcance: Alcance: Este documento speci•ies los requisitos de competencia para los profesionales de ISMS principales o involucrados en
establecer• implementar• mantener y mejorar continuamente uno o más procesos del sistema de información de gestión de seguridad que cumple
con la norma ISO / IEC 27001: 2013.
Propósito: Propósito: Este documento es para uso por:
a) las personas que desean demostrar su competencia como la información del sistema de gestión de la seguridad) profesionales (ISMS, o que
desean entender y llevar a cabo las competencias necesarias para trabajar en esta área, así como el deseo de ampliar sus conocimientos,
b) Las organizaciones profesionales que buscan candidatos potenciales a ISMS de•ine la competencia requerida para las posiciones en papeles
relacionados ISMS•
c) los organismos que desarrollan certi•ication para los profesionales del SGSI que necesitan un cuerpo de conocimiento (BOK) para fuentes de examen• y
d) las organizaciones de educación y formación, como las universidades y las instituciones de formación profesional, para alinear sus programas y
cursos a los requisitos de competencia para los profesionales del SGSI.
5.5 Normas
normas que describen
describiendo sector•speci•ic directrices
directrices para el sector•speci•ic

27010
27010
Tecnología de la información - Técnicas de seguridad - gestión de seguridad de la información para las comunicaciones inter-sectoriales e
inter-organizacionales
Alcance: Alcance: Este documento proporciona directrices, además de orientación que figuran en la norma ISO / IEC 27000 familia de estándares para la
implementación de la gestión de seguridad de la información dentro de intercambio de información
comunidades.
Este documento proporciona controles y orientación speci•ically relativas a iniciar• implementar• mantener y mejorar la seguridad de la información
en las comunicaciones inter•organizacionales e inter•sectoriales.
Propósito: Propósito: Este documento es aplicable a todas las formas de intercambio y el intercambio de información sensible, tanto públicas como
privadas, a nivel nacional e internacional, dentro del mismo sector de la industria o mercado o entre sectores. En particular, puede ser aplicable a
los intercambios de información y el intercambio relacionados con el suministro, mantenimiento y protección de la infraestructura crítica de un
estado de organización o de.

27011
27011
Tecnología de la información - Técnicas de seguridad - Código de prácticas para los controles de seguridad de información basada
en ISO / IEC 27002 los organismos de telecomunicaciones
Alcance: Alcance: Este documento proporciona directrices que fomenten la aplicación de los controles de seguridad de la información en las
organizaciones de telecomunicaciones.
Propósito: Propósito: ISO / IEC 27011 permite a las empresas de telecomunicaciones para satisfacer las necesidades de gestión de seguridad de la
información de línea de base de con•identiality• integridad• disponibilidad y cualquier otra propiedad de seguridad pertinentes.

27017
27017
Tecnología de la información - Técnicas de seguridad - Código de prácticas para los controles de seguridad de información basada
en ISO / IEC 27002 para servicios en la nube
Alcance: Alcance: ISO / IEC 27017 proporciona directrices para los controles de seguridad de información aplicables a la prestación y utilización de servicios en la
nube, proporcionando:
- una guía de implementación adicional para los controles pertinentes speci•ied en la norma ISO / IEC 27002;

IEC
ISO 27000:
/ IEC 27000:
2018 (E)
2018 (E) ISO /
- controles adicionales con una guía de implementación que speci•ically se relacionan con los servicios de nube.
Propósito: Propósito: Este documento proporciona controles y orientaciones para la aplicación tanto para los proveedores de servicios en la nube y los
clientes de servicios de nube.

27018
27018
Tecnología de la información • Técnicas de seguridad • Código de prácticas para la protección del personal identi•iable
información (PII) en nubes públicas actúan como procesadores PII
Alcance: Alcance: ISO / IEC 27018 establece comúnmente aceptado los objetivos de control• controles y directrices para la implementación de
medidas para proteger la información identi•iable (PII) personalmente de acuerdo con los principios de privacidad en la norma ISO / IEC 29100
para el entorno informático de nube pública.
Propósito: Propósito: Este documento es aplicable a las organizaciones• incluidas las empresas públicas y privadas• entidades gubernamentales y
organizaciones sin fines de pro•it• que proporcionan servicios de procesamiento de información como procesadores PII a través de la computación en
nube bajo contrato con otras organizaciones. Las directrices de este documento también pueden ser relevantes para las organizaciones que actúan
como controladores de PII. Sin embargo• es posible que los controladores PII estar sujetos a la legislación de protección PII adicional• regulaciones y
obligaciones• no se aplica a los procesadores PII• y estos no están cubiertos en este documento.

27019
27019
Tecnología de la información - Técnicas de seguridad - controles de seguridad de la información para la industria de servicios de energía
Alcance: Alcance: Este documento proporciona orientación basado en ISO / IEC 27002: 2013 aplica para procesar sistemas de control utilizados
por la industria de servicios de energía para controlar y supervisar la producción o generación,
transmisión, almacenamiento y distribución de energía eléctrica, gas, aceite y al calor, y para el control de procesos de apoyo asociados. Esto
incluye, en particular, los siguientes:
- sistemas centrales y distribuidos de control de proceso, de control y de tecnología de automatización, así como de información utilizados
para su funcionamiento, tales como dispositivos de programación y de parametrización;
- controladores y componentes de automatización tales como dispositivos de control y •ield o controladores lógicos programables (PLCs)•
incluyendo los elementos sensores y actuadores digitales digital;
- todo más el apoyo a sistemas de información utilizados en el dominio de control de procesos, por ejemplo para la visualización de datos
suplementaria t pregunta y para controlar, anillo monito, archivo de datos, hist tala Orian, con fines de documentación de informes y;
- tecnología de comunicación utilizado en el dominio de control de procesos, por ejemplo, redes, telemetría, aplicaciones de telecontrol y
tecnología de control remoto;
- infraestructura de medición avanzada (AMI) componentes, por ejemplo, contadores inteligentes;
- dispositivos de medición, por ejemplo para valores de emisión;
- sistemas digitales de protección y seguridad, relés de protección, por ejemplo, los PLC de seguridad, mecanismos de gobernador de emergencia;
- sistemas de gestión de energía, por ejemplo, de los recursos energéticos distribuidos (DER), infraestructuras de recarga eléctrica, en las
casas privadas, edificios de viviendas o instalaciones de clientes industriales;
- componentes distribuidos de entornos de redes inteligentes, por ejemplo, en las redes de energía, en hogares privados, edificios de viviendas o
instalaciones de clientes industriales;
- Todo el software• •irmware y aplicaciones instaladas en los sistemas anteriormente •mentioned• por ejemplo DMS (sistema de gestión de distribución)
aplicaciones o OMS (sistema de gestión de interrupciones);
- cualquier local que alojan los equipos y sistemas anteriormente mencionado;

IEC
ISO 27000:
/ IEC 27000:
2018 (E)
2018 (E) ISO /
- sistemas de mantenimiento a distancia para sistemas mencionados anteriormente.
Este documento no se aplica al dominio de control de procesos de las instalaciones nucleares. Este dominio está cubierto por la norma IEC 62645.
Este documento también incluye un requisito para adaptar los procesos de evaluación y tratamiento de riesgos descritos en la norma ISO / IEC 27001: 2013
para la orientación del sector•speci•ic industria de servicios públicos de energía previsto en el
este documento.
Propósito: Propósito: Además de los objetivos y medidas de seguridad que se establecen en la norma ISO / IEC 27002, este documento proporciona
directrices para los sistemas utilizados por los servicios públicos de energía y proveedores de energía en los controles de seguridad de la información que
abordan más, requisitos especiales.
5.5.6 ISO ISO 27799

27799
informática de la salud - gestión de la seguridad de la información en salud utilizando ISO / IEC 27002
Alcance: Alcance: Este documento da directrices para las normas de seguridad de la información de la organización y las prácticas de gestión de
seguridad de la información, incluida la selección, implementación y gestión de los controles, teniendo en cuenta el medio ambiente riesgo
seguridad de la información de la organización (s).
Este documento proporciona una guía para la aplicación de los controles que se describen en la norma ISO / IEC 27002 y los complementa en caso
necesario, de modo que puedan ser utilizados eficazmente para la gestión de seguridad de la información de salud.
Propósito: Propósito: ISO 27799 proporciona a las organizaciones de salud con una adaptación de la norma ISO / IEC 27002 pautas únicas para
su sector de la industria que son adicionales a la orientación proporcionada hacia ful•illing los requisitos de la norma ISO / IEC 27001: 2013•
Anexo A.

IEC
ISO 27000:
/ IEC 27000:
2018 (E)
2018 (E) ISO /
bibliografía
[1] ISO 9000: 2015, sistemas de gestión de la calidad - Fundamentos y vocabulario
[2] ISO / IEC / IEEE 15939: 2017, Sistemas e ingeniería de software - Proceso de medición
[3] ISO / IEC 17021, evaluación de la conformidad • Requisitos para los organismos que realizan la auditoría y certi•ication
de sistemas de gestión
[4] ISO 19011: 2011, Directrices para la auditoría de sistemas de gestión
[5] ISO / IEC 20000-1: 2011, Tecnología de la información - Gestión de servicios - Parte 1: Servicio
requisitos del sistema de gestión
[6] ISO / IEC 27001, Tecnología de la información - Técnicas de seguridad - Sistemas de gestión de seguridad de la información - Requisitos
[7] ISO / IEC 27002, Tecnología de la información - Técnicas de seguridad - Código de prácticas para la información
controles de seguridad
[8] ISO / IEC 27003, Tecnología de la información - Técnicas de seguridad - gestión de seguridad de la información
- Dirección
[9] ISO / IEC 27004, Tecnología de la información - Técnicas de seguridad - gestión de seguridad de la información - Seguimiento,
medición, análisis y evaluación
[10] ISO / IEC 27005, Tecnología de la información - Técnicas de seguridad - riesgo para la seguridad de información
administración
[11] ISO / IEC 27006, Tecnología de la información - Técnicas de seguridad - Requisitos para los organismos
proporcionando auditoría y certi•ication de sistemas de gestión de seguridad de la información
[12] ISO / IEC 27007, Tecnología de la información - Técnicas de seguridad - Directrices para los sistemas de gestión de seguridad de la
información de auditoría
[13] ISO / IEC TR 27008, Tecnología de la información - Técnicas de seguridad - Directrices para los auditores sobre los controles de seguridad de la
información
[14] ISO / IEC 27009, Tecnología de la información • Técnicas de seguridad • Sector•speci•ic de la norma ISO / IEC 27001 • Requisitos
[15] ISO / IEC 27010, Tecnología de la información - Técnicas de seguridad - gestión de seguridad de la información para las comunicaciones
inter-sectoriales e inter-organizacionales
[dieciséis] ISO / IEC 27011, Tecnología de la información - Técnicas de seguridad - Código de prácticas para los controles de seguridad de la información en base a la
norma ISO / IEC 27002 para las organizaciones de telecomunicaciones
[17] ISO / IEC 27013, Tecnología de la información - Técnicas de seguridad - Guía para la integral
aplicación de la norma ISO / IEC 27001 e ISO / IEC 20000-1
[18] ISO / IEC 27014, Tecnología de la información - Técnicas de seguridad - Gobierno de seguridad de la información
[19] ISO / IEC TR 27016, Tecnología de la información - Técnicas de seguridad - gestión de la seguridad de la información - Economía de
las Organizaciones
[20] ISO / IEC 27017, Tecnología de la información - Técnicas de seguridad - Código de prácticas para los controles de seguridad de la información en base a la norma
ISO / IEC 27002 para los servicios en la nube
[21] ISO / IEC 27018, Tecnología de la información • Técnicas de seguridad • Código de prácticas para la protección de la información personal
identi•iable (PII) en nubes públicas actúan como procesadores PII

IEC
ISO 27000:
/ IEC 27000:
2018 (E)
2018 (E) ISO /
[22] ISO / IEC 27019, Tecnología de la información - Técnicas de seguridad - controles de seguridad de información para la industria de servicios de
energía
[23] ISO / IEC 27021, Tecnología de la información - Técnicas de seguridad - Requisitos de competencia para
profesionales de los sistemas de gestión de seguridad de la información
[24] ISO 27799, informática de la salud - gestión de la seguridad de la información en salud usando la norma ISO / IEC 27002
[25] Guía ISO 73: 2009, La gestión de riesgos - Vocabulario

IEC
ISO 27000:
/ IEC 27000:
2018 (E)
2018 (E) ISO /
ICS 01.040.35;
01.040.35; 03.100.70;
03.100.70; 35.030
35.030
Precio basado en 27 páginas
© ISO / IEC 2018 - Todos los derechos reservados

Ander Egg Tecnicas de Investigacion Social

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Ander Egg Tecnicas de Investigacion Social

Загружено:

Авторское право:

Доступные форматы

ESTÁNDAR ISO

Tecnología de la información - La tecnología de seguridad

Tecnologías de la información - Técnicas de sécurité - Systèmes de gestión de la sécurité de

Número de referencia ISO /

© ISO / IEC 2018

© ISO / IEC 2018

Los derechos de autor ISO of•ice CP 401 • Ch. de

ii © ISO / IEC 2018 - Todos los derechos reservados

Prólogo Prólogo .................................................. .................................................. .................................................. .................................................. ................................ IV

Introducción Introducción .................................................. .................................................. .................................................. .................................................. .......................... vv

4.5.7 Mejora continua .................................................. .................................................. ...................................... dieciséis

5.4.7 ISO / IEC 27013 .................................................. .................................................. .................................................. .......... 22

bibliografía bibliografía .................................................. .................................................. .................................................. .................................................. ..................... 26

© ISO / IEC 2018 - Todos los derechos reservados iii

- algunos términos y de•initions se han eliminado;

- cláusula 3 se ha alineado sobre la estructura de alto nivel para MSS;

- Anexos A y B se han eliminado.

iv © ISO / IEC 2018 - Todos los derechos reservados

0.1 Información general

La familia de normas de SGSI incluye normas que:

c) dirección de sector•speci• directrices IC para ISMS; y

d) Evaluación de la conformidad para la dirección de ISMS.

0.3 Contenido de de esta

En este documento, se utilizan las siguientes formas verbales:

- “Deberá” indica un requisito;

- “Debería” indica una recomendación;

- “Puede” indica un permiso;

- “Puede” indica una posibilidad o una capacidad.

© ISO / IEC 2018 - Todos los derechos reservados v

Tecnología de la información - Técnicas de seguridad - Tecnología de la

Los términos y de•initions proporcionadas en este documento

- cubrir términos y de•initions de uso común en la familia de normas de SGSI;

- no se limite a la familia de normas de SGSI en de•ining nuevos términos de uso.

No hay referencias normativas en este documento.

- ISO plataforma de Navegación en línea: disponible en https://www.iso.org/obp

- IEC Electropedia: disponible en https: // www. Electropedia . org /

© ISO / IEC 2018 - Todos los derechos reservados 1

extensión y límites de una auditoría ( 3.3 )

medida ( 3.42 ) De•ined en términos de un atributo y el método para cuantificarla

Nota 1 de la entrada: una medida base es funcionalmente independiente de la otra medidas.

Nota 1 de la entrada: Un evento puede dar lugar a una serie de consecuencias.

consecuencias iniciales pueden escalar a través de efectos en cadena.

2 © ISO / IEC 2018 - Todos los derechos reservados

acción para eliminar una detectado no conformidad ( 3.47 )

3.18 meas derivados

Nota 2 a la entrada: documentada información puede referirse a

- la sistema de gestión ( 3.41 ), Incluyendo relacionada procesos ( 3.54 );

- evidencia de los resultados obtenidos (registros).

ocurrencia o cambio de un conjunto particular de circunstancias

Nota 2 a la entrada: Un evento puede consistir en algo que no sucede.

© ISO / IEC 2018 - Todos los derechos reservados 3

Nota 1 de la entrada: contexto externo puede incluir lo siguiente:

- relaciones con los y las percepciones y valores de externos, interesados ​( 3.37 ).

[Fuente: Guía ISO 73: 2009, 3.3.1.1]

[SOURCE: ISO / IEC / IEEE 15939: 2017, 3.12]

cualquier sistema de procesamiento de información, servicio o infraestructura, o la ubicación física de vivienda se

preservación de con•identiality ( 3.10 ), integridad ( 3.36 ) y disponibilidad ( 3.7 ) de información

4 © ISO / IEC 2018 - Todos los derechos reservados

Nota 1 de la entrada: Una organización puede ser un individuo.

Nota 1 de la entrada: contexto interno puede incluir:

- gobierno, estructura organizativa, funciones y IES accountabilit;

- normas, directrices y modelos adoptados por la organización;

- forma y el alcance de las relaciones contractuales.

[Fuente: Guía ISO 73: 2009, 3.3.1.2]

- relaciones con los y las percepciones y valores de externos, interesados ( 3.37 ).