Академический Документы
Профессиональный Документы
Культура Документы
ISO/ IEC
/ IEC
INTERNACIONAL 27000
27000
Quinta edición
2018-02
protegido
DOCUMENTO por copyright
DE AUTOR documento protegido
www.iso.org
Publicado en Suiza
Contenido Página
1 alcance..................................................
Alcance 1 .................................................. .................................................. .................................................. ......................... 1
22 Normativa
Normativ e Referencias .................................................. .................................................. .................................................. ................................ 1
33 Terms
Términos
y de•initions
y de•initions .................................................. .................................................. .................................................. ............................... 1
44 Información
Seguridad de la información
gestion de seguridad sistemas de gestión sistemas .................................................. .................................................. ..................... 11
4.1 General .................................................. .................................................. .................................................. .................................................. 11
4.2 ¿Qué es un SGSI? .................................................. .................................................. .................................................. .......................... 11
4.2.1 Descripción y principios .................................................. .................................................. .................................... 11
4.2.2 Información .................................................. .................................................. .................................................. .................. 12
4.2.3 Seguridad de información .................................................. .................................................. .............................................. 12
4.2.4 Gestión .................................................. .................................................. .................................................. ............... 12
4.2.5 Sistema de gestión .................................................. .................................................. .............................................. 13
4.3 Enfoque basado en procesos .................................................. .................................................. .................................................. ......................... 13
4.4 ¿Por qué es importante un SGSI .................................................. .................................................. .................................................. .... 13
4.5 El establecimiento, la supervisión, el mantenimiento y la mejora de un SGSI .................................................. .............. 14
4.5.1 Información general .................................................. .................................................. .................................................. ........................ 14
4.5.2 La identificación de los requisitos de seguridad de la información .................................................. ............................... 14
4.5.3 La evaluación de los riesgos de seguridad de la información .................................................. .................................................. ...... 15
4.5.4 Tratamiento de los riesgos de seguridad de la información .................................................. .................................................. .......... 15
4.5.5 Selección y controles de ejecución .................................................. .................................................. ..... 15
4.5.6 monitor, mantener y mejorar la eficacia del SGSI .............................................. dieciséis
55 ISMS familia
familia
SGSI
de de normas
normas .................................................. .................................................. .................................................. ..................... 18
5.1 Información general .................................................. .................................................. .................................................. .................. 18
5.2 Estándar que describe una visión general y la terminología: ISO / IEC 27000 (este documento) ......... 19
5.3 Las normas que especifican los requisitos .................................................. .................................................. ............................... 19
5.3.1 ISO / IEC 27001 .................................................. .................................................. .................................................. .......... 19
5.3.2 ISO / IEC 27006 .................................................. .................................................. .................................................. .......... 20
5.3.3 ISO / IEC 27009 .................................................. .................................................. .................................................. .......... 20
5.4 Normas que describen directrices generales .................................................. .................................................. .................. 20
5.4.1 ISO / IEC 27002 .................................................. .................................................. .................................................. .......... 20
5.4.2 ISO / IEC 27003 .................................................. .................................................. .................................................. .......... 20
5.4.3 ISO / IEC 27004 .................................................. .................................................. .................................................. .......... 21
5.4.4 ISO / IEC 27005 .................................................. .................................................. .................................................. .......... 21
5.4.5 ISO / IEC 27007 .................................................. .................................................. .................................................. .......... 21
5.4.6 ISO / IEC TR 27008 .................................................. .................................................. .................................................. . 21
Prólogo
La ISO (Organización Internacional de Normalización) es una federación mundial de organismos nacionales de normalización (organismos
miembros de ISO). El trabajo de preparación de Normas Internacionales se lleva a cabo normalmente a través de comités técnicos de ISO. Cada
organismo miembro interesado en una materia para la cual se ha establecido un comité técnico, tiene el derecho a estar representado en dicho
comité. Las organizaciones internacionales, gubernamentales y no gubernamentales, en coordinación con ISO, también participan en el trabajo.
ISO colabora estrechamente con la Comisión Electrotécnica Internacional (IEC) en todas las materias de normalización electrotécnica.
Los procedimientos utilizados para desarrollar este documento y los destinados a su posterior mantenimiento se describen en las Directivas ISO /
IEC, Parte 1. En particular, deben tenerse en cuenta los diferentes criterios de aprobación necesarios para los diferentes tipos de documentos
ISO. Este documento fue elaborado de acuerdo con las normas editoriales de las Directivas ISO / IEC, Parte 2 (véase www.iso.org/directives ).
Se llama la atención a la posibilidad de que algunos de los elementos de este documento puede ser objeto de derechos de patente. ISO no se hace
responsable de la identificación de cualquiera o todos los derechos de patente. Los detalles de cualquier derecho de patente identi•ied durante el
desarrollo del documento estarán en la introducción y / o en la lista ISO de las declaraciones de patentes recibidas (véase www.iso.org/ patentes ).
Cualquier nombre comercial utilizado en el presente documento se da información para la comodidad de los usuarios y no constituye un endoso.
Para una explicación de la naturaleza voluntaria de las normas• el significado de los términos y expresiones speci•ic ISO relacionadas con la
evaluación de la conformidad• así como información sobre el cumplimiento de ISO de los principios de la Organización Mundial del Comercio (OMC)
en los Obstáculos Técnicos al Comercio (OTC) consulte la siguiente
URL: www.iso.org/iso/foreword.html .
Este documento fue preparado por el Comité Técnico ISO / IEC JTC 1, Tecnologías de la información , SC 27, Técnicas de seguridad de TI.
Esta edición •ifth anula y sustituye a la cuarta edición (ISO / IEC 27000: 2016)• que ha sido revisada técnicamente. Los principales cambios en
comparación con la edición anterior son los siguientes:
- la Introducción se ha reformulado;
- cláusula 5 ha sido actualizado para re•lect los cambios en las normas aplicables;
Introducción
Normas internacionales para la gestión de sistemas proporcionan un modelo a seguir en el establecimiento y funcionamiento de un sistema de
gestión. Este modelo incorpora las características sobre las que los expertos en el •ield han alcanzado un consenso como el estado internacional
de la técnica. ISO / IEC JTC 1 / SC 27 mantiene un comité de expertos dedicada a la elaboración de normas internacionales de sistemas de
gestión de seguridad de la información• también conocido como el Sistema de Información de Gestión de Seguridad (SGSI) de la familia
de las normas.
A través del uso de la familia SGSI de las normas• las organizaciones pueden desarrollar e implementar un marco para la gestión de la seguridad
de sus activos de información• incluyendo la información •inancial• la propiedad intelectual• y detalles de los empleados• o la información confiada
a ellos por los clientes o terceros. Estas normas también se pueden utilizar para prepararse para una evaluación independiente de su SGSI se
aplica a la protección de la información.
0.2 de
Propósito Propósito
de esta
este documento
documento
a) requisitos de•ine para un ISMS y para aquellos que certifican tales sistemas;
b) proporcionar apoyo directo, una guía detallada y / o interpretación para el proceso general para establecer, implementar, mantener y mejorar un
SGSI;
La información marcada como "NOTA" se presenta orientación para la comprensión o clarificación del requisito correspondiente. “Notas para la entrada”
que se utiliza en la cláusula 3 proporcionan información adicional que complementa los datos terminológicas y pueden contener disposiciones relativas a
la utilización de un término.
aplicación
1 Ámbito de1 Alcance
Este documento proporciona una visión general de los sistemas de gestión de seguridad de la información (SGSI). También proporciona términos y
de•initions de uso común en la familia de normas de SGSI. Este documento es aplicable a todos los tipos y tamaños de organización (por ejemplo•
empresas comerciales• agencias gubernamentales• organizaciones sin ánimo de pro•it).
- no cubren todos los términos y de•initions aplicadas dentro de la familia SGSI de las normas; y
2 Normativa
Referencias normativas
referencias
3 3 TTérminos yyerms
de•inide•initions
ciones
ISO e IEC mantienen bases de datos terminológicas para su uso en la normalización en las siguientes direcciones:
3.1
control de acceso
medios para garantizar el acceso t sombrero de activos está autorizado y restringidas basado en los negocios y la seguridad
requisitos ( 3.56 )
ataque
3.2 3.2
ataque
tratar de destruir, exponer, alterar, inutilizar, robar o ganar acceso no autorizado o no autorizado hacer uso de un activo
3.3
3.3
auditoría de
auditoría
sistemático, independiente y documentado proceso ( 3.54 ) Para obtener evidencia de auditoría y evaluarlas de manera objetiva para determinar el
grado en que se ful•illed los criterios de auditoría
Nota 1 a la entrada: Una auditoría puede ser una auditoría interna (parte •irst) o una auditoría externa (segunda parte o tercero)• y que puede ser una auditoría combinada
(la combinación de dos o más disciplinas).
Nota 2 a la entrada: Una auditoría interna se lleva a cabo por el mismo o por una parte externa en su nombre organización.
Nota 3 a la entrada: “la evidencia de auditoría” y “criterios de auditoría” se de•ined en la norma ISO 19011.
3.4
auditoría alcance de la
[Fuente: ISO 19011: 2011• 3.14• modi•ied • Nota 1 a entrada ha sido eliminada.]
3.5
autenticación de
prestación de garantía de que una característica alegada de una entidad es correcta
3.6
autenticidad
propiedad de que una entidad es lo que dice ser
3.7
disponibilidad
propiedad de ser accesible y utilizable en la demanda por una entidad autorizada
3.8
base
measur
de base dePor
measupuesto
mi
[Fuente: ISO / IEC / IEEE 15939: 2017• 3.3• modi•ied • Nota 2 a la entrada ha sido eliminado.]
3.9
competencia La
capacidad de aplicar los conocimientos y habilidades para lograr los resultados deseados
3.10
con•identiality
propiedad de que la información no esté disponible o revelada a individuos no autorizados, entidades o
procesos ( 3.54 )
3.11
conformidad
la conformidad de la
ful•ilment de un requisito ( 3.56 )
3.12
consecuencia
resultado de una evento ( 3.21 ) que afectan (objetivos 3.49 )
Nota 2 de entrada: Una consecuencia puede ser cierto o incierto y, en el contexto de seguridad de la información, por lo general es negativo.
Nota 3 a la entrada: Las consecuencias pueden ser expresadas de forma cualitativa o cuantitativamente. Nota 4 a la entrada:
[Fuente: Guía ISO 73: 2009• 3.6.1.3• modi•ied • Nota 2 a la entrada se ha cambiado después de “y”.]
3.13
continua
la mejora continua de mejora
actividad recurrente para mejorar actuación ( 3.52 )
Control
3.14
3,14
Control
medida que es la modificación riesgo ( 3.61 )
Nota 1 de la entrada: Los controles incluyen cualquier proceso ( 3.54 ), política ( 3.53 ), dispositivo, prácticas, u otras acciones que modifican
riesgo ( 3.61 ).
Nota 2 a la entrada: Es posible que no siempre controla ejercer el efecto pretendido modificar o asumido.
[Fuente: Guía ISO 73: 2009, 3.8.1.1 - Nota 2 a la entrada ha sido cambiado.]
3.15
control
OBJETIVOobjetivo
DE CONTROL
declaración que describe lo que se quiere lograr como resultado de la implementación controles ( 3.14 )
corrección
3.16 de
3,16 corrección
3.17
Acción correctiva
acción para eliminar la causa de una no conformidad ( 3.47 ) Y para prevenir la recurrencia
[Fuente: ISO / IEC / IEEE 15939: 2017• 3.8• modi•ied • Nota 1 a la entrada ha sido eliminado.]
3.19
documentada
información documentada información
información requerida para ser controlada y mantenida por una organización ( 3.50 ) Y el medio en el que está contenido
Nota 1 de la entrada: la información documentada puede ser en cualquier formato y los medios de comunicación y de cualquier fuente.
- información que fue creado para que el organización ( 3.50 ) Para operar (documentación);
3.20
efectividad eficacia
medida en que planea actividades se realizan y alcanzan los resultados planificados
3.21
acontecimiento
3,21 evento
Nota 1 de la entrada: Un evento puede ser una o más ocurrencias, y puede tener varias causas.
Nota 3 a la entrada: Un evento a veces puede ser referido como un “incidente” o “accidente”.
[Fuente: Guía ISO 73: 2009• 3.5.1.3• modi•ied • Nota 4 a entrada ha sido eliminada.]
3.22
externo
contexto externo contexto
ambiente externo en el que la organización trata de alcanzar su (objetivos 3.49 )
- lo cultural• social• tica Poli• legal• regulatorio• •inancial• tecno lógico• económico• natural y entorno competitivo• ya sea internacional• nacional• regional o local;
- factores clave y las tendencias que tienen impacto en el objetivos del organización ( 3.50 );
3.23
información
la gobernabilidad
de seguridad
de la gestión
de la de
información
seguridad de
sistema por el cual una La organización de ( 3.50 ) seguridad de información ( 3.28 ) Actividades son dirigidas y
revisado
3.24
rige
órgano
el cuerpo
de gobierno que
persona o grupo de personas que son responsables de la actuación ( 3.52 ) Y la conformidad de la
organización ( 3.50 )
Nota 1 de la entrada: El órgano de gobierno puede, en algunas jurisdicciones, ser un consejo de administración.
3.25
indicador
medida ( 3.42 ) Que proporciona una estimación o evaluación
3.26
necesidad de información
conocimiento necesario para gestionar (objetivos 3.49 ), objetivos, riesgos y problemas
3.27
informatio
información instalaciones
instalaciones
dede
procesamiento
procesamiento
den las
3.28
informatio
información laseguridad
seguridadnde
Nota 1 a la entrada: Además, otras propiedades, tales como autenticidad ( 3.6 ), La rendición de cuentas, no repudio ( 3.48 ), Y fiabilidad ( 3.55 ) También pueden estar
implicados.
3.29
informati
la información en
es la continuidad
la continuidad eguridad
de seguridad
procesos ( 3.54 ) Y los procedimientos para garantizar el mantenimiento seguridad de información ( 3.28 operaciones)
3.30
de
evento
seguridad
de seguridad
de información
de la información de eventos
ocurrencia identi•ied de un sistema• el servicio o estado de la red que indica una posible violación de información
seguridad ( 3.28 ) política ( 3.53 ) O el fracaso de controles ( 3.14 ), O una situación previamente desconocido que puede ser relevante para la seguridad
3.31
de
información
seguridadde
deincidentes
la información
de seguridad incidente
solo o una serie de no deseado o inesperado los eventos de seguridad de la información ( 3.30 ) Que tienen una probabilidad signi•icant de poner en
peligro las operaciones de negocio y amenazando seguridad de información ( 3.28 )
3.32 información
informatio sec
ureza
la seguridad n managemen incidente
administracion de incidentes t
un conjunto de procesos ( 3.54 ) Para detectar, informar, evaluar, responder a, tratando, y el aprendizaje
desde incidentes de seguridad de la información ( 3.31 )
3.33 De
3.33
securit información
Información n sistema securit
sistema
y gestión
de gestión y (ISMS) (ISMS) profe
profesional
ssional
persona que establece, implementa, mantiene y mejora continuamente uno o más información sobre el sistema de gestión de seguridad procesos ( 3.54
)
3.34
3.34 De
Información
el intercambio n intercambio c omunidadunidad
de información comm
grupo de (organizaciones 3.50 ) Que están de acuerdo para compartir información
3.35 información
informatio
sistema
sistemadede n
un conjunto de aplicaciones, servicios activos de tecnología de información, u otros componentes de manejo de información
integridad
3.36
3,36
integridad
propiedad de exactitud e integridad
3.37
preferido)
parte interesada parte interesada ( término
admitido)
los grupos de interés de las partes interesadas ( plazo
persona o organización ( 3.50 ) Que pueden af fect, se af fected por, o percibirse a sí mismo a ser afectados por una decisión o actividad
3.38
interno
contexto interno contexto
entorno interno en el que la organización ( 3.50 ) Permitirán alcanzar sus objetivos
- (políticas 3.53 ), (objetivos 3.49 ), Y las estrategias que están en marcha para alcanzarlos;
- las capacidades, entendidas en términos de recursos y conocimientos de capital (por ejemplo, tiempo, personas, procesos ( 3.54 ), sistemas y tecnologías);
- sistemas de información ( 3.35 )• Información •lows y toma de decisiones procesos ( tanto formales como informales);
- relaciones con los y las percepciones y valores de los internos, interesados ( 3.37 );
- cultura de la organización;
3.39
riesgo
nivel dedenivel
riesgo
de
magnitud de una riesgo ( 3.61 ) Expresado en términos de la combinación de Consecuencias ( 3.12 ) y ellos
verosimilitud ( 3.40 )
[Fuente: Guía ISO 73:. 2009• 3.6.1.8• modi•ied • “o combinación de riesgos” se ha suprimido en el de•inition]
3.40
probabilidad de
posibilidad de que ocurra algo
[Fuente: Guía ISO 73: 2009• 3.6.1.1• modi•ied • Notas 1 y 2 a la entrada ha sido eliminado.]
3.41
gestión managemen
sistema
sistemade
de t
conjunto de elementos interrelacionados o que interactúan de una organización ( 3.50 ) Para establecer (políticas 3.53 ) y
(objetivos 3.49 ) y procesos ( 3.54 ) Para alcanzar dichos objetivos
Nota 1 de la entrada: Un sistema de gestión puede hacer frente a una sola disciplina o varias disciplinas.
Nota 2 a la entrada: Los elementos del sistema incluyen la estructura, funciones y responsabilidades de la organización, planificación y operación.
Nota 3 a la entrada: El alcance de un sistema de gestión puede incluir el conjunto de la organización• speci•ic y funciones identi•ied de la organización• speci•ic y
secciones identi•ied de la organización• o una o más funciones a través de una grupo de organizaciones.
medida
3.42 de
3,42 medida
[Fuente: ISO / IEC / IEEE 15939: 2017• 3.15• modi•ied • Nota 2 a la entrada ha sido eliminado.]
3,43
3.43 measur
MeasureMe
ement Nuevo Testamento
proceso ( 3.54 ) Para determinar un valor
3.44
medición mEDICIÓNfunción
t función
algoritmo o cálculo realizado para combinar dos o más medidas de bases ( 3.8 )
3.45
medición
método de medición método de
secuencia lógica de operaciones• que se describe de forma genérica• que se utiliza en la cuantificación de un atributo con respecto a una escala speci•ied
Nota 1 a la entrada: El tipo de método de medición depende de la naturaleza de las operaciones utilizadas para cuantificar una
atributo ( 3.4 ). Dos tipos se pueden distinguir:
[Fuente: ISO / IEC / IEEE 15939: 2017• 3.21• modi•ied • Nota 2 a la entrada ha sido eliminado.]
3.46
vigilancia
monitoreo de
la determinación de las ATU st de un sistema, una proceso ( 3.54 ) O una actividad
Nota 1 de la entrada: Para determinar la situación, puede haber una necesidad de comprobar, supervisar o críticamente observar.
3.47
conformidad
inconformismo no
no ful•ilment de una requisito ( 3.56 )
3.48
no repudio no repudio
capacidad de probar la ocurrencia de un reivindicado evento ( 3.21 ) O la acción y sus entidades srcinating
3,49
3.49 objetivo
objetivo
Nota 2 a la entrada: Los objetivos se refieren a diferentes disciplinas (como •inancial• salud y seguridad• y las metas entorno al) y pueden aplicarse a distintos niveles
[como estratégica• en toda la organización• proyecto• producto y
proceso ( 3.54 )].
Nota 3 a la entrada: Un objetivo puede expresarse de otras maneras, por ejemplo, como un resultado esperado, un propósito, un criterio operativo, como un objetivo de
seguridad de información o mediante el uso de otras palabras de significado similar (por ejemplo, el objetivo, meta o destino ).
Nota 4 a la entrada: En el contexto de la información sistemas de gestión de seguridad• objetivos de seguridad de información son establecidos por la organización• en
consonancia con la política de seguridad de la información• para lograr resultados speci•ic.
3.50
organización
persona o grupo de personas que tiene sus propias funciones con responsabilidades, autoridades y relaciones para lograr su (objetivos 3.49 )
Nota 1 de la entrada: El concepto de iones organizat incluye pero no se limita a la única comerciante• empresa• corporación• •irm• empresa• autoridad• asociación• la
caridad o institución• o parte o combinación de los mismos• ya sea o no personalidad jurídica• pública o privado.
externalizar
3.51
3,51
externalizar
hacer una rangement ar donde un externa organización ( 3.50 ) Realiza parte de la función de una organización
o proceso ( 3.54 )
Nota 1 a la entrada: una organización externa está fuera del alcance de la sistema de gestión ( 3.41 ), Aunque el
función o proceso de contratación externa está dentro del alcance.
3.52
Rendimiento
rendimiento
resultado medible
Nota 2 a la entrada: Rendimiento puede relacionarse con la gestión de las actividades, procesos ( 3.54 ), Los productos (incluidos los servicios), sistemas o (organizaciones 3.50
).
3.53 de
política
la política
3,53
intenciones y dirección de una organización ( 3.50 ), Tal como se expresa formalmente por su la alta dirección ( 3.75 )
proceso
3.54
3.54
proceso
conjunto de actividades interrelacionadas o que interactúan, que transforma entradas en salidas
3.55 fiabilidad
fiabilidad
3.56
requisito
necesidad o expectativa establecida, generalmente implícita u obligatoria
Nota 1 de la entrada: “Generalmente implícita” significa que es habitual o una práctica común para la organización y las partes interesadas que implica la necesidad o
expectativa bajo consideración.
Nota 2 a la entrada: Un requisito speci•ied es el que se declara• por ejemplo en la información documentada.
3.57
riesgo residual
riesgo ( 3.61 ) Que queda después de el tratamiento del riesgo ( 3.72 )
Nota 2 a la entrada: El riesgo residual también puede ser referido como “riesgo retenido”.
opinión
3.58
3.58
opinión
la actividad emprendida para asegurar la conveniencia, adecuación y efectividad ( 3.20 ) De la materia objeto de lograr establecieron (objetivos 3.49 )
[Fuente: Guía ISO 73: 2009• 3.8.2.2• modi• IED • Nota 1 a entrada ha sido eliminada.]
3.59
objeto
análisisdeque
objetos
la revisión
elemento speci•ic siendo revisado
3.60
objetiva
revisión objetiva revisión
declaración que describe lo que se quiere lograr como resultado de una revisión ( 3.59 )
3.61
3,61
riesgos
riesgo
efecto de la incertidumbre en (objetivos 3.49 )
Nota 2 a la entrada: La incertidumbre es el estado• incluso parcial• de de•iciency de información relacionada con• la comprensión o conocimiento de• un evento• su
consecuencia• o la probabilidad.
Nota 3 a la entrada: Riesgo se caracteriza a menudo por referencia a los posibles “eventos” (como de•ined en la Guía ISO 73: 2009•
3.5.1.3) y “consecuencias” (como de•ined en la Guía ISO 73: 2009• 3.6.1.3)• o una combinación de éstos.
Nota 4 a la entrada: El riesgo se expresa a menudo en términos de una combinación de las consecuencias de un evento (incluyendo cambios en las circunstancias) y la
“probabilidad” asociado (como de•ined en la Guía ISO 73: 2009• 3.6.1.1) de ocurrencia .
Nota 5 de entrada: En el contexto de los sistemas de gestión de seguridad de la información, los riesgos de seguridad de la información se pueden expresar como efecto de la
incertidumbre en los objetivos de seguridad de la información.
Nota 6 a la entrada: riesgo para la seguridad de la información es un ssociated con las posibles amenazas que s vulnerabilidades vechar voluntad ex de un activo de
información o grupo de activos de información y por lo tanto causar daño a una organización.
3.62
riesgo de aceptación del
Nota 1 de la entrada: la aceptación del riesgo puede ocurrir sin el tratamiento del riesgo ( 3.72 ) o durante el proceso ( 3.54 ) De tratamiento del riesgo.
Nota 2 a la entrada: riesgos aceptadas están sujetas a vigilancia ( 3.46 ) y revisión ( 3.58 ).
3.63 riesgos
3,63
analysi riesgo ana
lisis s
proceso ( 3.54 ) Para comprender la naturaleza de riesgo ( 3.61 ) Y para determinar la nivel de riesgo ( 3.39 )
Nota 1 de la entrada: El análisis de riesgos proporciona la base para evaluación de riesgo ( 3.67 ) Y las decisiones acerca el tratamiento del riesgo ( 3.72 ).
3.64
evaluación de riesgos
en general proceso ( 3.54 ) de identi•ication riesgo ( 3.68 ), análisis de riesgo ( 3.63 ) y evaluación de riesgo ( 3.67 )
3.65
consulta
la comunicación
y la consulta
de riesgos y comunicación de riesgos de
conjunto de continuo e iterativo procesos ( 3.54 ) Que una organización lleva a cabo para proporcionar, compartir u obtener información, y para
participar en el diálogo con interesados ( 3.37 ) Con respecto a la gestión de riesgo ( 3.61 )
Nota 1 de la entrada: La información puede relacionarse con la existencia, naturaleza, forma, verosimilitud ( 3.41 )• Signi•icance• la evaluación• la aceptabilidad y
tratamiento del riesgo.
Nota 2 a la entrada: La consulta es un proceso bidireccional de comunicación entre un informada organización ( 3.50 ) Y sus grupos de interés sobre un tema antes de
tomar una decisión o determinación de una dirección en ese tema. La consulta es
- una proceso lo que repercute en una decisión a través in•luence en lugar de poder; y
3.66
criterios de riesgo
Nota 1 de la entrada: Los criterios de riesgo se basan en objetivos de la organización, y contexto externo ( 3.22 ) y contexto interno ( 3.38 ).
Nota 2 a la entrada: Riesgo cr iteria puede derivarse de normas, leyes, (políticas 3.53 ) y otra requisitos ( 3.56 ).
Nota 1 de la entrada: asistencias de evaluación del riesgo en la decisión acerca el tratamiento del riesgo ( 3.72 ).
3.68
identi•icatio
riesgo identi•ication
riesgo norte
Nota 1 de la entrada: Riesgo identi•ication implica la identi•ication de las fuentes de riesgo• eventos ( 3.21 ), Sus causas y su potencial Consecuencias ( 3.12 ).
Nota 2 a la entrada: identi•ication riesgo puede afectar a datos históricos• análisis teórico• informados y opiniones de expertos•
3.69
gestión
la gestión
dede
riesgos
riesgos de
actividades coordinadas para dirigir y controlar una organización ( 3.50 ) con respecto a riesgo ( 3.61 )
3.70
procesos
proceso de
degestión
gestiónde
deriesgos
riesgosde los
aplicación sistemática de gestión (políticas 3.53 ), Procedimientos y prácticas a las actividades de comunicación, consultoría, est ablishing el
contexto e identificar, analizar, evaluar, tratar, monitorear y revisar riesgo ( 3.61 )
Nota 1 de la entrada: ISO / IEC 27005 utiliza el término “ proceso ”( 3.54 ) Para describir la gestión del riesgo global. Los elementos
dentro de gestión de riesgos ( 3.69 ) Proceso se conoce como “actividades”.
[Fuente: Guía ISO 73: 2009• 3.1• modi•ied • Nota 1 a la entrada se ha añadido.]
3.71
riesgo
propietario
riesgo
propietario
persona o entidad que tiene la responsabilidad y la autoridad para gestionar una riesgo ( 3.61 )
3.72
tratamiento del
de los
riesgo
riesgos del
- evitando el riesgo al decidir no iniciar o continuar con la actividad que da lugar al riesgo;
- compartir el riesgo con la otra parte o partes (incluyendo los contratos y •inancing riesgo);
Nota 2 a la entrada: tratamientos de riesgo que tienen que ver con las consecuencias negativas se refieren a veces como “mitigación de riesgos”, “eliminación de riesgos”,
“prevención de riesgos” y “reducción del riesgo”.
Nota 3 a la entrada: tratar ción de riesgos puede crear nuevos riesgos o modificar los riesgos existentes.
[Fuente: Guía ISO 73: 2009• 3.8.1• modi•ied • “decisión” ha sido sustituida por la “elección” en la Nota 1 a la entrada.]
3,73
3.73
imple
seguridad
seguridad
implementatio
mentación n Estándar
Estándar
documento que especifica formas autorizadas para la ejecución de garantías
3.74
amenaza
3,74
amenaza
potencial causa de un incidente no deseado, que puede resultar en daño a un sistema o organización ( 3.50 )
3.75
dirección
la alta dirección la alta
persona o grupo de personas que dirige y controla una organización ( 3.50 ) Al más alto nivel
Nota 1 de la entrada: La alta dirección tiene la facultad de delegar autoridad y proporcionar recursos dentro de la organización.
Nota 2 a la entrada: Si el alcance de la sistema de gestión ( 3.41 ) Cubre sólo una parte de una organización, a continuación, la alta dirección se refiere a los que dirigir y
controlar esa parte de la organización.
Nota 3 a la entrada: La alta dirección se llama a veces la dirección ejecutiva y puede incluir el presidente ejecutivo de Of•icers• Jefe Financiero de •icers• Jefe de
Información Of•icers• y funciones similares.
3.76
información de
fiable
confianza
de comunicaciones
comuni de entidad unicación
entidad de cationes
autónomo organización ( 3.50 ) Que soporta el intercambio de información dentro de una comunidad de intercambio de información ( 3.34 )
3.77
vulnerabilidad
debilidad de un activo o de control ( 3.14 ) Que puede ser explotada por uno o más (amenazas 3.74 )
4 Información
Seguridad de información
gestion de seguridad
sistemas de gestión sistemas
4.1 Generalidades
b) reconocer que la información y procesos relacionados, sistemas, redes y personas son activos importantes para el logro de objetivos de la
organización;
c) se enfrentan a una serie de riesgos que pueden afectar el funcionamiento de los activos; y
Toda la información en poder y procesada por una organización está sujeta a amenazas de ataque, el error, la naturaleza (por
ejemplo• •lood o •ire)• etc.• y está sujeta a las vulnerabilidades inherentes a su uso. La seguridad de la información término generalmente se basa
en la información que se considera como un activo que tiene un valor que requiere protección apropiado• por ejemplo• contra la pérdida de
disponibilidad• con•identiality e integridad. Activación de información precisa y completa que esté disponible de manera oportuna a las personas
con una necesidad autorizado es un catalizador para ef•iciency negocio.
La protección de los activos de información a través de•ining• lograr• mantener y mejorar la seguridad de la información es efectivamente esencial
para permitir a una organización para lograr sus objetivos• y mantener y mejorar su cumplimiento legal y la imagen. Estas actividades coordinadas
que dirigen la implementación de controles adecuados y tratamiento de los riesgos de seguridad de información inaceptable se conocen
generalmente como elementos de gestión de seguridad de la información.
Como los riesgos de seguridad de la información y la eficacia de los controles de cambio en función de las circunstancias cambiantes, las
organizaciones necesitan:
Interrelacionar y coordinar dichas actividades de seguridad de la información, cada organización debe establecer su política y objetivos de
seguridad de la información y alcanzar estos objetivos de manera efectiva mediante el uso de un sistema de gestión.
Un SGSI se compone de las políticas, procedimientos, pautas y recursos y actividades asociadas, gestionadas colectivamente por una
organización, en la búsqueda de la protección de sus activos de información. Un SGSI es un enfoque sistemático para establecer, implementar,
operar, monitorear, revisar, mantener
y mejorar la seguridad de la información de una organización para alcanzar los objetivos de negocio. Se basa en una evaluación del riesgo y los
niveles de aceptación del riesgo de la organización diseñada para tratar y gestionar los riesgos de manera efectiva. El análisis de los requisitos
para la protección de los activos de información y la aplicación de controles adecuados para garantizar la protección de estos activos de
información, según sea necesario, contribuye a la implementación exitosa de un SGSI. Los siguientes principios fundamentales también
contribuyen a la implementación exitosa de un SGSI:
e) evaluaciones de riesgo que determinan los controles apropiados para alcanzar niveles aceptables de riesgo;
4.2.2 Información
La información es un activo que, al igual que otros activos comerciales importantes, es esencial para el negocio de una organización y, por lo tanto, necesita
ser protegido de forma adecuada. La información puede ser almacenada en muchas formas,
incluyendo: forma digital (por ejemplo• •iles de datos almacenados en medios electrónicos u ópticos)• forma de material (por ejemplo en el papel)• así
como la información no representados en la forma de conocimiento de los empleados. La información puede ser transmitida por varios medios•
incluyendo: mensajería• comunicación electrónica o verbal. Cualquier información que toma forma o el medio por el cual se transmite• que siempre
necesita una protección adecuada.
En muchas organizaciones, la información depende de la tecnología de la información y las comunicaciones. Esta tecnología es a menudo un
elemento esencial en la organización y ayuda a facilitar la creación, procesamiento, almacenamiento, transmisión, protección y destrucción de
informació n.
seguridad de la información asegura la con•identiality• disponibilidad e integridad de la información. seguridad de la información consiste en la
aplicación y gestión de los controles apropiados que implica la consideración de una amplia gama de amenazas• con el objetivo de garantizar el
éxito comercial sostenido y continuidad• y reducir al mínimo las consecuencias de los incidentes de seguridad de la información.
seguridad de la información se logra mediante la aplicación de un conjunto de aplicación de los controles, seleccionados a través del proceso de
gestión del riesgo elegida y gestionarse a través de un SGSI, incluyendo las políticas, procesos,
procedimientos• estructuras organizativas• software y hardware para proteger los activos de información identi•ied. Estos controles deben ser
speci•ied• aplicación• seguimiento• revisar y mejorar• cuando sea necesario• para asegurar que se cumplen los objetivos de seguridad de la
información y de negocios speci•ic de la organización. Se espera que los controles de seguridad de la información de interés para integrarse a la
perfección con los procesos de negocio de una organización.
4.2.4 Gestión
El tratamiento incluye actividades para dirigir, controlar y mejorar continuamente la organización dentro de las estructuras apropiadas. Las
actividades de manejo incluyen el acto, forma, o la práctica de la organización, manejo, dirigir, supervisar y controlar los recursos. Las estructuras
de gestión se extienden de una persona en una organización pequeña a las jerarquías de administración compuesto por muchas personas en las
grandes organizaciones.
En términos de un SGSI, la gestión implica la supervisión y toma de decisiones necesarias para alcanzar los objetivos de negocio a través de la
protección de los activos de información de la organización. Gestión de seguridad de la información se expresa a través de la formulación y
aplicación de políticas de seguridad de información, procedimientos y directrices, que luego se aplican en toda la organización por todas las
personas asociadas con él t organización.
Un sistema de gestión utiliza un marco de recursos para lograr los objetivos de una organización. El sistema de gestión incluye la estructura
organizativa, las políticas, la planificación de actividades, responsabilidades, prácticas, procedimientos, procesos y recursos.
a) cumplir los requisitos de seguridad de la información de los clientes y otras partes interesadas;
e) administrar los activos de información de una manera organizada que facilita la mejora continua y el ajuste a los objetivos actuales de la
organización.
4.3 Proceso
Enfoque basadoenfoque
en procesos
Las organizaciones tienen que identificar y gestionar numerosas actividades con el fin de funcionar eficazmente y ef•iciently. Cualquier actividad
que utiliza recursos debe ser gestionado para permitir la transformación de insumos en productos que utilizan un conjunto de actividades
mutuamente relacionadas o que interactúan; esto también se conoce como un proceso. La salida de un proceso puede formar directamente la
entrada a otro proceso y• en general esta transformación se lleva a cabo bajo condiciones programadas y controladas. La aplicación de un
sistema de procesos dentro de una organización• junto con el identi•ication e interacciones de estos procesos• y su gestión• puede ser
denominado como un “enfoque de proceso”.
Los riesgos asociados con los activos de información de una organización deben ser abordados. El logro de la seguridad de la información requiere
la gestión del riesgo, y abarca los riesgos de las amenazas relacionadas con la tecnología asociados a todas las formas de información dentro o
utilizados por la organización física, humana y.
Se espera que la adopción de un SGSI a ser una decisión estratégica para una organización y es necesario que esta decisión se integran a la
perfección, escala y se actualiza de acuerdo con las necesidades de la organización.
El diseño e implementación de SGSI de una organización es in• luenced por las necesidades y objetivos de la
organización• los requisitos de seguridad• los procesos de negocio empleados y el tamaño y estructura de la organización. El diseño y operación
de un SGSI tiene que re•lect los intereses y necesidades de seguridad de la información de todas las partes interesadas de la organización•
incluidos los clientes• proveedores• socios comerciales• accionistas y otros terceros pertinentes.
En un mundo interconectado• la información y los procesos relacionados• sistemas y redes constituyen activos críticos de negocio. Las
organizaciones y sus sistemas de información y las redes se enfrentan a amenazas a la seguridad de una amplia gama de fuentes• incluyendo el
fraude asistido por computadora• espionaje• sabotaje• vandalismo• y •ire
• Lood. El daño a los sistemas de información y redes causados por código malicioso, la piratería informática, y ataques de denegación de servicio
se han vuelto más común, más ambicioso, y cada vez más sofisticados.
Un SGSI es importante tanto para las empresas del sector público y privado. En cualquier industria• un SGSI es un facilitador que apoya el
comercio electrónico y es esencial para las actividades de gestión de riesgos. La interconexión de redes públicas y privadas y el reparto de los
activos de información aumentan la dif•iculty de controlar
el acceso y manejo de la información. Además, la distribución de los dispositivos de almacenamiento móviles que contienen activos de información
puede debilitar la efectividad de los controles tradicionales. Cuando las organizaciones adoptan la familia SGSI de las normas, la capacidad de
aplicar los principios de seguridad de la información coherentes y mutuamente reconocibles se puede demostrar a los socios comerciales y otras
partes interesadas.
seguridad de la información no siempre se tiene en cuenta en el diseño y desarrollo de sistemas de información. Además• seguridad de la
información se piensa a menudo en como siendo una solución técnica. Sin embargo• la seguridad de la información que se puede lograr a través
de medios técnicos es limitado• y puede ser ineficaz sin ser apoyado por la administración y procedimientos apropiados en el contexto de un
ISMS. La integración de la seguridad en un sistema de información funcionalmente completa puede ser dif•icult y costoso. un SGSI
implica la identificación de los controles están en su lugar y requiere una cuidadosa planificación y atención al detalle. Como un ejemplo, los controles
de acceso, que puede ser técnica (lógico), físico, administrativa (gestión) o una combinación, proporcionar un medio para asegurar que el acceso a
los recursos de información está autorizada y restringido sobre la base de los requisitos de seguridad de negocios y de información.
La adopción exitosa de un SGSI es importante para proteger los activos de información que permiten a una organización:
a) lograr una mayor seguridad de que sus activos de información están adecuadamente protegidos contra las amenazas de forma continua;
b) mantener un marco estructurado y amplio para identificar y evaluar los riesgos de seguridad de la información, seleccionar y aplicar los
controles aplicables, y medir y mejorar su eficacia;
Una organización necesita para llevar a cabo los siguientes pasos en el establecimiento, la supervisión, el mantenimiento y la mejora de su SGSI:
a) identificar los activos de información y sus requisitos de seguridad de la información asociadas (véase 4.5.2 );
b) evaluar los riesgos de seguridad de la información (véase 4.5.3 ) Y tratar los riesgos de seguridad de la información (véase 4.5.4 );
c) seleccionar y aplicar los controles pertinentes para gestionar los riesgos inaceptables (ver 4.5.5 );
d) controlar, mantener y mejorar la eficacia de los controles asociados a los activos de información de la organización (véase 4.5.6 ).
Para asegurar el SGSI es proteger eficazmente los activos de información de la organización de manera continua, es necesario que las etapas a)
hasta d) se repiten continuamente para identificar cambios en los riesgos o en las estrategias de la organización o los objetivos de negocio.
4.5.2 Identificar
Información identificativa
seguridad de información requisitos
requerimientos de seguridad
Dentro de los objetivos de la estrategia y de negocios generales de la organización• su tamaño y su distribución geográfica• los requisitos de seguridad
de la información se pueden identi•ied través de la comprensión de los siguientes:
La realización de una evaluación metódica de los riesgos asociados a los activos de información de la organización consiste en analizar las amenazas a
los activos de información, factores de vulnerabilidad ante la probabilidad de una amenaza
materializando a los activos de información, y el impacto potencial de cualquier incidente de seguridad de la información sobre los activos de
información. Se espera que el gasto en los controles pertinentes a ser proporcional al impacto en el negocio percibido del riesgo se materialice.
La gestión de riesgos de seguridad de la información requiere un método de evaluación y tratamiento de riesgos adecuada que puede incluir una
estimación de los costes y bene•its• requisitos legales• las preocupaciones de los interesados• y otros insumos y variables según el caso.
La evaluación de riesgos debe identificar, cuantificar y priorizar los riesgos contra los criterios de aceptación del riesgo y los objetivos relevantes
para la organización. Los resultados deberían guiar y determinar la acción adecuada gestión y las prioridades para la gestión de riesgos de
seguridad de la información y para la implementación de controles seleccionados para proteger contra estos riesgos.
- el proceso de comparar los riesgos estimados en función de criterios de riesgo para determinar la sig• signi• de los riesgos (evaluación del
riesgo).
La evaluación de riesgos se debe realizar periódicamente para hacer frente a los cambios en los requisitos de seguridad de la información y en la
situación de riesgo• por ejemplo• en los activos• amenazas• vulnerabilidades• impactos• la evaluación de riesgos• y cuando se producen cambios
signi•icant. Estas evaluaciones de riesgo deben llevarse a cabo de una manera metódica capaz de producir resultados comparables y
reproducibles.
La evaluación de los riesgos de seguridad de información debe tener un ámbito claramente de•ined con el fin de ser eficaz y debe incluir las
relaciones con las evaluaciones de riesgo en otras áreas• en su caso.
ISO / IEC 27005 proporciona información de guía de gestión de riesgos de seguridad, incluido el asesoramiento sobre la evaluación de riesgos, el tratamiento del riesgo, la
aceptación del riesgo, la presentación de informes de riesgos, vigilancia de riesgos y revisión de riesgo. Ejemplos de metodologías de evaluación de riesgo se incluyen
también.
4.5.4 tratamiento
El tratamiento deseguridad de información
la información riesgos
riesgos de seguridad
Antes de considerar el tratamiento de un riesgo• la organización debe de•ine criterios para determinar si o no los riesgos pueden ser aceptadas.
Los riesgos pueden ser aceptados si• por ejemplo• se considera que el riesgo es bajo o que el costo del tratamiento no es rentable para la
organización. Tales decisiones deben ser
grabado.
Para cada uno de los riesgos siguientes identi•ied la evaluación del riesgo• una decisión de tratamiento de riesgos necesita ser hecho. Las posibles opciones para el
tratamiento del riesgo se incluyen los siguientes:
b) aceptar a sabiendas y objetivamente los riesgos, siempre que satisfagan claramente la política y los criterios de aceptación del riesgo de la
organización;
c) evitar riesgos al no permitir acciones que causarían los riesgos de que se produzca;
d) el intercambio de los riesgos asociados a otras partes, por ejemplo, los aseguradores o proveedores.
En los riesgos en que la decisión del tratamiento del riesgo ha sido aplicar los controles adecuados, estos controles deben ser seleccionados e
implementados.
Una vez que se han identi•ied requisitos de seguridad de la información (véase 4.5.2 )• Los riesgos de seguridad de la información a los activos de
información identi•ied se han determinado y evaluado (ver 4.5.3 ) Y las decisiones de la
el tratamiento de los riesgos de seguridad de la información se han hecho (véase 4.5.4 ), Entonces la selección e implementación de controles se aplican para la reducción
de riesgos.
Los controles deben asegurar que los riesgos se reducen a un nivel aceptable teniendo en cuenta lo siguiente:
b) objetivos de la organización;
d) su costo de implementación y funcionamiento en relación con los riesgos que se reduce y queda proporcional a los requisitos y limitaciones de
la organización;
e) sus objetivos para monitorear• evaluar y mejorar la ef•iciency y la eficacia de los controles de seguridad de la información para apoyar los
objetivos de la organización. La selección y la implementación de los controles deben ser documentados dentro de una declaración de
aplicabilidad para ayudar con los requisitos de cumplimiento;
F) la necesidad de equilibrar la inversión en la implementación y operación de los controles contra la pérdida probable que el resultado de los incidentes
de seguridad de la información.
Los controles speci•ied en la norma ISO / IEC 27002 son reconocidas como las mejores prácticas aplicables a la mayoría de las organizaciones y
fácilmente adaptadas para dar cabida a las organizaciones de diversos tamaños y complejidades. Otras normas en la familia SGSI de las normas
proporcionan orientación sobre la selección y aplicación de la norma ISO / IEC 27002 controles para el SGSI.
controles de seguridad de la información deben ser considerados en los sistemas y requisitos del proyecto y speci•ication etapa de diseño. El no
hacerlo puede resultar en costes adicionales y las soluciones menos eficaces• y• en el peor de los casos• la incapacidad para lograr una seguridad
adecuada. Los controles pueden ser seleccionados de ISO / IEC 27002 o de otros conjuntos de control. Por otra parte• los nuevos controles
pueden ser diseñados para satisfacer las necesidades speci•ic de la organización. Es necesario reconocer la posibilidad de que algunos controles
no ser aplicables a todos los sistemas de información o el medio ambiente• y no ser factible para todas las organizaciones.
A veces, la implementación de un conjunto seleccionado de los controles de toma tiempo y, durante ese tiempo, el nivel de riesgo puede ser más alto que puede ser
tolerado en una base a largo plazo. Los criterios de riesgo deben cubrir la tolerabilidad de los riesgos sobre una base a corto plazo, mientras que los controles están
siendo implementados. Los interesados deben ser informados de los niveles de riesgo que están proyectados o anticipados en diferentes puntos en el tiempo como
controles son progresivamente
implementado.
Se debe tener en cuenta que ningún conjunto de controles de seguridad de la información puede alcanzar completa. medidas de gestión
adicionales deben ser implementados para monitorear• evaluar y mejorar la ef•iciency y la eficacia de los controles de seguridad de la información
para apoyar los objetivos de la organización.
La selección y la implementación de los controles deben ser documentados dentro de una declaración de aplicabilidad para ayudar con los requisitos
de cumplimiento.
Una organización necesita para mantener y mejorar el SGSI a través del seguimiento y la evaluación de desempeño contra las políticas y
objetivos de la organización• e informando de los resultados a la gerencia para su revisión. Esta opinión ISMS comprueba que las ISMS incluye
controles speci•ied que son adecuados para el tratamiento de los riesgos dentro del alcance ISMS. Por otra parte• con base en los registros de
estas zonas vigiladas• proporciona evidencia de veri•ication y la trazabilidad de las acciones correctivas• preventivas y de mejora.
El objetivo de la mejora continua de un SGSI es aumentar la probabilidad de alcanzar los objetivos relativos a la preservación de la con•identiality•
disponibilidad e integridad de la información. El enfoque de mejora continua está buscando oportunidades de mejora y no el supuesto de que las
actividades de gestión existentes son lo suficientemente buenos o tan bueno como sea posible.
f) la medición, verificación, análisis y evaluación de resultados de la aplicación para determinar que se han cumplido los objetivos;
g) la formalización de cambios.
Los resultados se revisan, cuando es necesario, para determinar oportunidades adicionales de mejora. De esta manera, la mejora es una actividad
continua, es decir, las acciones se repiten con frecuencia. La retroalimentación de los clientes y otras partes interesadas, las auditorías y revisión del
sistema de gestión de seguridad de la información también se puede utilizar para identificar oportunidades de mejora.
Un gran número de factores que son críticos para la implementación exitosa de un SGSI para permitir que una organización para cumplir con sus
objetivos de negocio. Ejemplos de factores críticos de éxito incluyen lo siguiente:
b) un enfoque y un marco para el diseño, implementación, monitoreo, mantenimiento y mejora de seguridad de la información consistente con la
cultura de la organización;
c) el apoyo visible y el compromiso de todos los niveles de gestión, especialmente la alta dirección;
d) una comprensión de los requisitos de protección de activos de información obtenidos a través de la aplicación de la gestión de riesgos de seguridad de la
información (véase la norma ISO / IEC 27005);
e) una conciencia efectiva seguridad de la información, el programa de educación y formación, informar a todos los empleados y otras partes
pertinentes de sus obligaciones de información de seguridad establecidos en las políticas de seguridad de la información, normas, etc., y
motivarlos a actuar en consecuencia;
h) un sistema de medición utilizado para evaluar el desempeño en la gestión y seguridad de la información de retroalimentación sugerencias de
mejora.
Un SGSI aumenta la probabilidad de lograr una organización coherente de los factores de éxito críticos necesarios para proteger sus activos de
información.
4•7
4.7 de
Bene•its Bene•itsdel ISMSla familiafamilia
SGSI de de normas
normas
Los bene•its de implementar un ISMS resultan principalmente de una reducción de los riesgos de seguridad de la información (es decir• reducir la
probabilidad de y / o el impacto causado por incidentes seguridad de la información). Speci•ically• bene•its realizado para una organización para
lograr el éxito sostenible de la adopción de la familia SGSI de las normas de incluir lo siguiente:
a) un marco estructurado apoyar el proceso de especificación, implementación, operación y mantenimiento de una amplia y rentable, la creación
de valor, ISMS integrados y alineados que satisfaga las necesidades de la organización a través de diferentes operaciones y lugares;
b) asistencia para la gestión en el manejo consistente y operar de manera responsable su enfoque hacia la gestión de seguridad de la
información, en el contexto de la gestión de riesgos y gobierno corporativo, incluyendo la educación y los propietarios de negocios y
sistemas de formación sobre la gestión integral de la seguridad de la información;
c) promoción de la mundialmente aceptado• las buenas prácticas de seguridad de la información de una manera no prescriptiva• que dan a las
organizaciones la flexibilidad para adoptar y mejorar los controles pertinentes que se adapten a sus circunstancias speci•ic y mantenerlos en la
cara de los cambios internos y externos;
d) la provisión de un lenguaje común y base conceptual para la seguridad de la información, lo que hace que sea más fácil
colocar con•idenceacreditado
por un organismo en socios certi•ication;
de negocios con un ISMS compatibles• especialmente si requieren certi•ication según la norma ISO / IEC 27001
5 ISMS
la familiafamilia
SGSI de de normas
normas
5.1 general
Información información
general
La familia de normas de SGSI se compone de normas relacionadas entre sí• ya publicados o en desarrollo• y contiene una serie de componentes
estructurales signi•icant. Estos componentes son
centrado en:
- necesidades del cuerpo certi•ication ( ISO / IEC 27006) para aquellos que certifique la conformidad con
ISO / IEC 27001; y
- marco requisito adicional para implementaciones del sector•speci•ic de los ISMS (ISO / IEC 27009).
Otros documentos proporcionan una guía para los diversos aspectos de una implementación de SGSI• abordando un proceso genérico• así como
orientación sector speci•ic.
Vocabulario -
27000
cláusula 5.2
parámetros de
27001 27006 27009
requerimientos
Cláusula 5.3
familyofstandards
Cada una de las normas de la familia ISMS se describe a continuación por su tipo (o papel) dentro de la familia de normas ISMS y su número de
referencia.
5.2 Estándar
estándar que describe
que describe una junta ERSPECTIVA
una visión general y ylat terminología:
ERMINOLOGÍA: ISOISO
/ IEC/ IEC 27000
27000(este
(este documento)
documento)
Tecnología de la información - Técnicas de seguridad - Sistemas de gestión de seguridad de la información - Información general y vocabulario
Propósito: Propósito: Este documento describe los fundamentos de los sistemas de gestión de seguridad de la información• que forman el tema de
la familia SGSI de las normas y de•ines términos relacionados.
Alcance: Alcance: Este documento speci• IES los requisitos para establecer• implementar• operar• monitorear• revisar• mantener y mejorar los
sistemas de gestión de seguridad de la información (SGSI) formalizada en el contexto de los riesgos de negocio globales de la organización. Se
speci•ies requisitos para la aplicación de los controles de seguridad de la información a medida de las necesidades de las organizaciones
individuales o partes de los mismos. Este documento puede ser utilizado por todas las organizaciones• independientemente del tipo• tamaño y
naturaleza.
Propósito: Propósito: ISO / IEC 27001 proporciona requisitos normativos para el desarrollo y el funcionamiento de un SGSI• incluyendo un conjunto
de controles para el control y mitigación de los riesgos asociados a los activos de información que la organización trata de proteger al operar su
SGSI. Organizaciones que gestionen un ISMS pueden tener su conformidad auditado y certi•ied. Los objetivos de control y controles de ISO / IEC
27001: 2013• Anexo A se seleccionarán como parte de este proceso ISMS como adecuado para cubrir los requisitos identi•ied. Los objetivos de
control y controles listados en la norma ISO / IEC 27001: 2013• Tabla A.1 se derivan directamente de y alineados con los enumerados en ISO /
IEC 27002: 2013• cláusulas 5 a 18.
Tecnología de la información • Técnicas de seguridad • Requisitos para los organismos que realizan la auditoría y certi•ication
de sistemas de gestión de seguridad de la información
Alcance: Alcance: Este documento speci•ies requisitos y proporciona una guía para los organismos que realizan la auditoría y ISMS certi•ication de
acuerdo con ISO / IEC 27001• además de los requisitos contenidos en la norma ISO / IEC 17021. Se destina principalmente para apoyar la
acreditación de certi•ication cuerpos proporcionando ISMS certi•ication de acuerdo con ISO / IEC 27001.
Los requisitos contenidos en este documento deben ser demostrada en términos de competencia y fiabilidad por cualquier persona que
proporcionan ISMS certi•ication• y las directrices contenidas en este documento proporciona la interpretación adicional de estos requisitos para
cualquiera que proporcionan ISMS certi•ication.
Propósito: Propósito: ISO / IEC 27006 suplementos ISO / IEC 17021 en la prestación de los requisitos por el cual están acreditados organizaciones
certi•ication• permitiendo así estas organizaciones para proporcionar certi•ications cumplimiento sistemáticamente en contra de los requisitos
establecidos en la norma ISO / IEC 27001.
Alcance: Alcance: Este documento de•ines los requisitos para el uso de la norma ISO / IEC 27001 en cualquier sector speci•ic (•ield• área de
aplicación o sector de mercado). En él se explica cómo incluir requisitos adicionales a los de la norma ISO / IEC 27001• la forma de re•ine
cualquiera de los requisitos 27001 ISO / IEC• y cómo incluir controles o conjuntos de control• además de la norma ISO / IEC 27001: 2013• Anexo A.
Propósito: Propósito: ISO / IEC 27009 garantiza que los requisitos adicionales o re•ined no están en con•lict con los requisitos de la norma ISO /
IEC 27001.
5.4 Normas
normas que describen reglas generales
que describe en general directrices
Tecnología de la información - Técnicas de seguridad - Código de prácticas para los controles de seguridad de la información
Alcance: Alcance: En este documento se ofrece una lista de objetivos de control comúnmente aceptados y las mejores prácticas controla para ser utilizado
como una guía de implementación en la selección e implementación de controles para lograr la seguridad de la información.
Propósito: Propósito: ISO / IEC 27002 proporciona orientación sobre la aplicación de los controles de seguridad de la información. Speci•ically• las cláusulas de
5 a 18 proporcionan asesoramiento sobre la ejecución speci•ic y orientación sobre las mejores prácticas en apoyo de los controles speci•ied en la norma ISO /
IEC 27001: 2013• A.5 a A.18.
Alcance: Alcance: Th es el documento ofrece explicaciones y orientación en la norma ISO / IEC 27001: 2013.
Propósito: Propósito: ISO / IEC 27003 proporciona un fondo para la implementación exitosa del SGSI según ISO / IEC 27001.
Tecnología de la información - Técnicas de seguridad - gestión de seguridad de la información - Seguimiento, medición, análisis y evaluación
Alcance: Alcance: Este documento proporciona directrices destinadas a ayudar a las organizaciones a evaluar el rendimiento de la seguridad de la
información y la efectividad del SGSI con el fin de ful•il los requisitos de la norma ISO / IEC 27001: 2013• 9.1. Se dirige a:
b) el seguimiento y medición de la eficacia de un sistema de gestión de seguridad de la información (ISMS) incluyendo sus procesos y controles;
Propósito: Propósito: ISO / IEC 27004 proporciona un marco que permite una evaluación de ISMS eficacia que se mide y se evalúa de acuerdo
con ISO / IEC 27001.
Alcance: Alcance: Este documento proporciona directrices para la gestión de riesgos de seguridad de la información. El enfoque descrito en este
documento es compatible con los conceptos generales speci•ied en ISO / IEC 27001.
Propósito: Propósito: ISO / IEC 27005 proporciona orientación sobre la aplicación de un enfoque de gestión de riesgos orientado a los procesos para
ayudar en la implementación satisfactoria y ful•illing los requisitos de gestión de riesgos de seguridad de la información de la norma ISO / IEC
27001.
Tecnología de la información - Técnicas de seguridad - Directrices para los sistemas de gestión de seguridad de la información de auditoría
Alcance: Alcance: Este documento proporciona orientación sobre la realización de auditorías de SGSI, así como orientación sobre la competencia de los
auditores de sistemas de gestión de seguridad de la información, además de la orientación contenida en la norma ISO 19011, que es aplicable a los
sistemas de gestión en general.
Propósito: Propósito: ISO / IEC 27007 proporcionará orientación a las organizaciones que tienen que realizar auditorías internas o externas de un
SGSI o para gestionar un programa de auditoría ISMS en contra de los requisitos speci•ied
Tecnología de la información - Técnicas de seguridad - Directrices para los auditores sobre los controles de seguridad de la información
Alcance: Alcance: Este documento proporciona una guía sobre la revisión de la implementación y operación de los controles, incluyendo la
comprobación de la conformidad técnica de los controles del sistema de información, de conformidad con las normas establecidas de seguridad de
información de una organización.
Propósito: Propósito: Thi s documento proporciona un enfoque en la revisión de los controles de seguridad de la información• incluyendo la comprobación del
cumplimiento técnico• frente a un patrón de implementación de seguridad de la información• que es establecido por la organización. No tiene la intención de
proporcionar alguna orientación speci•ic en la comprobación del cumplimiento con respecto a la medición• evaluación de riesgos o auditoría de un SGSI como
en speci•ied ISO / IEC 27004, ISO / IEC 27005 o
ISO / IEC 27007, respectivamente. Esto no pretende documentis para las auditorías de sistemas de gestión.
Alcance: Alcance: Este documento proporciona orientación sobre la aplicación integrada de la norma ISO / IEC 27001 e ISO / IEC 20000-1 para las
organizaciones que tienen la intención de cualquiera:
a) aplicar ISO / IEC 27001 cuando ISO / IEC 20000-1 ya está implementado, o viceversa;
do) integrar los sistemas de gestión existentes basados en la norma ISO / IEC 27001 e ISO / IEC 20000-1.
Este documento se centra exclusivamente en la aplicación integrada de un sistema de gestión de seguridad de la información (SGSI) como
speci•ied en la norma ISO / IEC 27001 y un sistema de gestión de servicios (SMS) como speci•ied en la norma ISO / IEC 20000•1.
En la práctica, la norma ISO / IEC 27001 e ISO / IEC 20000-1 también se pueden integrar con otras normas de sistemas de gestión, tales como
ISO 9001 e ISO 14001.
Propósito: Propósito: Para proporcionar a las organizaciones una mejor comprensión de las características, similitudes y diferencias de la norma
ISO / IEC 27001 e ISO / IEC 20000-1 para ayudar en la planificación de un sistema de gestión integrado que se ajusta a las Normas
Internacionales de ambos.
Alcance: Alcance: En este documento se proporcionará orientación sobre los principios y procesos para la gestión de la seguridad de la
información, mediante el cual las organizaciones pueden evaluar, dirigir y supervisar la gestión de la seguridad de la información.
Propósito: Propósito: seguridad de la información se ha convertido en una cuestión clave para las organizaciones. No sólo hay aumento de los
requisitos normativos, sino también a la falta de medidas de seguridad de la información de una organización puede tener un impacto directo en la
reputación de una organización. Por lo tanto, los órganos de gobierno, como parte de sus responsabilidades de gobierno, se necesitan cada vez más
tener la supervisión de seguridad de la información para asegurar el logro de los objetivos de la organización.
Tecnología de la información - Técnicas de seguridad - gestión de la seguridad de la información - Economía de las Organizaciones
Alcance: Alcance: Este documento proporciona una metodología que permite a las organizaciones a comprender mejor cómo valorar
económicamente con mayor precisión sus activos de información identi•ied• el valor de los posibles riesgos para los activos de información•
apreciar el valor que los controles de protección de la información a entregar
estos activos de información, y determinar el nivel óptimo de los recursos que han de aplicarse en la obtención de estos activos de información.
Propósito: Propósito: Este documento complementa la familia SGSI de las normas mediante la superposición de una perspectiva económica en la
protección de los activos de información de una organización en el contexto del entorno social más amplio en el que opera una organización y
proporcionar orientación sobre cómo aplicar economía de las organizaciones de seguridad de la información mediante el uso de modelos y
ejemplos.
Alcance: Alcance: Este documento speci•ies los requisitos de competencia para los profesionales de ISMS principales o involucrados en
establecer• implementar• mantener y mejorar continuamente uno o más procesos del sistema de información de gestión de seguridad que cumple
con la norma ISO / IEC 27001: 2013.
a) las personas que desean demostrar su competencia como la información del sistema de gestión de la seguridad) profesionales (ISMS, o que
desean entender y llevar a cabo las competencias necesarias para trabajar en esta área, así como el deseo de ampliar sus conocimientos,
b) Las organizaciones profesionales que buscan candidatos potenciales a ISMS de•ine la competencia requerida para las posiciones en papeles
relacionados ISMS•
c) los organismos que desarrollan certi•ication para los profesionales del SGSI que necesitan un cuerpo de conocimiento (BOK) para fuentes de examen• y
d) las organizaciones de educación y formación, como las universidades y las instituciones de formación profesional, para alinear sus programas y
cursos a los requisitos de competencia para los profesionales del SGSI.
5.5 Normas
normas que describen
describiendo sector•speci•ic directrices
directrices para el sector•speci•ic
Tecnología de la información - Técnicas de seguridad - gestión de seguridad de la información para las comunicaciones inter-sectoriales e
inter-organizacionales
Alcance: Alcance: Este documento proporciona directrices, además de orientación que figuran en la norma ISO / IEC 27000 familia de estándares para la
implementación de la gestión de seguridad de la información dentro de intercambio de información
comunidades.
Este documento proporciona controles y orientación speci•ically relativas a iniciar• implementar• mantener y mejorar la seguridad de la información
en las comunicaciones inter•organizacionales e inter•sectoriales.
Propósito: Propósito: Este documento es aplicable a todas las formas de intercambio y el intercambio de información sensible, tanto públicas como
privadas, a nivel nacional e internacional, dentro del mismo sector de la industria o mercado o entre sectores. En particular, puede ser aplicable a
los intercambios de información y el intercambio relacionados con el suministro, mantenimiento y protección de la infraestructura crítica de un
estado de organización o de.
Tecnología de la información - Técnicas de seguridad - Código de prácticas para los controles de seguridad de información basada
en ISO / IEC 27002 los organismos de telecomunicaciones
Alcance: Alcance: Este documento proporciona directrices que fomenten la aplicación de los controles de seguridad de la información en las
organizaciones de telecomunicaciones.
Propósito: Propósito: ISO / IEC 27011 permite a las empresas de telecomunicaciones para satisfacer las necesidades de gestión de seguridad de la
información de línea de base de con•identiality• integridad• disponibilidad y cualquier otra propiedad de seguridad pertinentes.
Tecnología de la información - Técnicas de seguridad - Código de prácticas para los controles de seguridad de información basada
en ISO / IEC 27002 para servicios en la nube
Alcance: Alcance: ISO / IEC 27017 proporciona directrices para los controles de seguridad de información aplicables a la prestación y utilización de servicios en la
nube, proporcionando:
- una guía de implementación adicional para los controles pertinentes speci•ied en la norma ISO / IEC 27002;
- controles adicionales con una guía de implementación que speci•ically se relacionan con los servicios de nube.
Propósito: Propósito: Este documento proporciona controles y orientaciones para la aplicación tanto para los proveedores de servicios en la nube y los
clientes de servicios de nube.
Tecnología de la información • Técnicas de seguridad • Código de prácticas para la protección del personal identi•iable
información (PII) en nubes públicas actúan como procesadores PII
Alcance: Alcance: ISO / IEC 27018 establece comúnmente aceptado los objetivos de control• controles y directrices para la implementación de
medidas para proteger la información identi•iable (PII) personalmente de acuerdo con los principios de privacidad en la norma ISO / IEC 29100
para el entorno informático de nube pública.
Propósito: Propósito: Este documento es aplicable a las organizaciones• incluidas las empresas públicas y privadas• entidades gubernamentales y
organizaciones sin fines de pro•it• que proporcionan servicios de procesamiento de información como procesadores PII a través de la computación en
nube bajo contrato con otras organizaciones. Las directrices de este documento también pueden ser relevantes para las organizaciones que actúan
como controladores de PII. Sin embargo• es posible que los controladores PII estar sujetos a la legislación de protección PII adicional• regulaciones y
obligaciones• no se aplica a los procesadores PII• y estos no están cubiertos en este documento.
Tecnología de la información - Técnicas de seguridad - controles de seguridad de la información para la industria de servicios de energía
Alcance: Alcance: Este documento proporciona orientación basado en ISO / IEC 27002: 2013 aplica para procesar sistemas de control utilizados
por la industria de servicios de energía para controlar y supervisar la producción o generación,
transmisión, almacenamiento y distribución de energía eléctrica, gas, aceite y al calor, y para el control de procesos de apoyo asociados. Esto
incluye, en particular, los siguientes:
- sistemas centrales y distribuidos de control de proceso, de control y de tecnología de automatización, así como de información utilizados
para su funcionamiento, tales como dispositivos de programación y de parametrización;
- controladores y componentes de automatización tales como dispositivos de control y •ield o controladores lógicos programables (PLCs)•
incluyendo los elementos sensores y actuadores digitales digital;
- todo más el apoyo a sistemas de información utilizados en el dominio de control de procesos, por ejemplo para la visualización de datos
suplementaria t pregunta y para controlar, anillo monito, archivo de datos, hist tala Orian, con fines de documentación de informes y;
- tecnología de comunicación utilizado en el dominio de control de procesos, por ejemplo, redes, telemetría, aplicaciones de telecontrol y
tecnología de control remoto;
- sistemas digitales de protección y seguridad, relés de protección, por ejemplo, los PLC de seguridad, mecanismos de gobernador de emergencia;
- sistemas de gestión de energía, por ejemplo, de los recursos energéticos distribuidos (DER), infraestructuras de recarga eléctrica, en las
casas privadas, edificios de viviendas o instalaciones de clientes industriales;
- componentes distribuidos de entornos de redes inteligentes, por ejemplo, en las redes de energía, en hogares privados, edificios de viviendas o
instalaciones de clientes industriales;
- Todo el software• •irmware y aplicaciones instaladas en los sistemas anteriormente •mentioned• por ejemplo DMS (sistema de gestión de distribución)
aplicaciones o OMS (sistema de gestión de interrupciones);
Este documento no se aplica al dominio de control de procesos de las instalaciones nucleares. Este dominio está cubierto por la norma IEC 62645.
Este documento también incluye un requisito para adaptar los procesos de evaluación y tratamiento de riesgos descritos en la norma ISO / IEC 27001: 2013
para la orientación del sector•speci•ic industria de servicios públicos de energía previsto en el
este documento.
Propósito: Propósito: Además de los objetivos y medidas de seguridad que se establecen en la norma ISO / IEC 27002, este documento proporciona
directrices para los sistemas utilizados por los servicios públicos de energía y proveedores de energía en los controles de seguridad de la información que
abordan más, requisitos especiales.
informática de la salud - gestión de la seguridad de la información en salud utilizando ISO / IEC 27002
Alcance: Alcance: Este documento da directrices para las normas de seguridad de la información de la organización y las prácticas de gestión de
seguridad de la información, incluida la selección, implementación y gestión de los controles, teniendo en cuenta el medio ambiente riesgo
seguridad de la información de la organización (s).
Este documento proporciona una guía para la aplicación de los controles que se describen en la norma ISO / IEC 27002 y los complementa en caso
necesario, de modo que puedan ser utilizados eficazmente para la gestión de seguridad de la información de salud.
Propósito: Propósito: ISO 27799 proporciona a las organizaciones de salud con una adaptación de la norma ISO / IEC 27002 pautas únicas para
su sector de la industria que son adicionales a la orientación proporcionada hacia ful•illing los requisitos de la norma ISO / IEC 27001: 2013•
Anexo A.
bibliografía
[2] ISO / IEC / IEEE 15939: 2017, Sistemas e ingeniería de software - Proceso de medición
[3] ISO / IEC 17021, evaluación de la conformidad • Requisitos para los organismos que realizan la auditoría y certi•ication
de sistemas de gestión
[5] ISO / IEC 20000-1: 2011, Tecnología de la información - Gestión de servicios - Parte 1: Servicio
requisitos del sistema de gestión
[6] ISO / IEC 27001, Tecnología de la información - Técnicas de seguridad - Sistemas de gestión de seguridad de la información - Requisitos
[7] ISO / IEC 27002, Tecnología de la información - Técnicas de seguridad - Código de prácticas para la información
controles de seguridad
[8] ISO / IEC 27003, Tecnología de la información - Técnicas de seguridad - gestión de seguridad de la información
- Dirección
[9] ISO / IEC 27004, Tecnología de la información - Técnicas de seguridad - gestión de seguridad de la información - Seguimiento,
medición, análisis y evaluación
[10] ISO / IEC 27005, Tecnología de la información - Técnicas de seguridad - riesgo para la seguridad de información
administración
[11] ISO / IEC 27006, Tecnología de la información - Técnicas de seguridad - Requisitos para los organismos
proporcionando auditoría y certi•ication de sistemas de gestión de seguridad de la información
[12] ISO / IEC 27007, Tecnología de la información - Técnicas de seguridad - Directrices para los sistemas de gestión de seguridad de la
información de auditoría
[13] ISO / IEC TR 27008, Tecnología de la información - Técnicas de seguridad - Directrices para los auditores sobre los controles de seguridad de la
información
[14] ISO / IEC 27009, Tecnología de la información • Técnicas de seguridad • Sector•speci•ic de la norma ISO / IEC 27001 • Requisitos
[15] ISO / IEC 27010, Tecnología de la información - Técnicas de seguridad - gestión de seguridad de la información para las comunicaciones
inter-sectoriales e inter-organizacionales
[dieciséis] ISO / IEC 27011, Tecnología de la información - Técnicas de seguridad - Código de prácticas para los controles de seguridad de la información en base a la
norma ISO / IEC 27002 para las organizaciones de telecomunicaciones
[17] ISO / IEC 27013, Tecnología de la información - Técnicas de seguridad - Guía para la integral
aplicación de la norma ISO / IEC 27001 e ISO / IEC 20000-1
[18] ISO / IEC 27014, Tecnología de la información - Técnicas de seguridad - Gobierno de seguridad de la información
[19] ISO / IEC TR 27016, Tecnología de la información - Técnicas de seguridad - gestión de la seguridad de la información - Economía de
las Organizaciones
[20] ISO / IEC 27017, Tecnología de la información - Técnicas de seguridad - Código de prácticas para los controles de seguridad de la información en base a la norma
ISO / IEC 27002 para los servicios en la nube
[21] ISO / IEC 27018, Tecnología de la información • Técnicas de seguridad • Código de prácticas para la protección de la información personal
identi•iable (PII) en nubes públicas actúan como procesadores PII
[22] ISO / IEC 27019, Tecnología de la información - Técnicas de seguridad - controles de seguridad de información para la industria de servicios de
energía
[23] ISO / IEC 27021, Tecnología de la información - Técnicas de seguridad - Requisitos de competencia para
profesionales de los sistemas de gestión de seguridad de la información
[24] ISO 27799, informática de la salud - gestión de la seguridad de la información en salud usando la norma ISO / IEC 27002
ICS 01.040.35;
01.040.35; 03.100.70;
03.100.70; 35.030
35.030
Precio basado en 27 páginas