iso-iec ntc 27001 spanish resaltdo

8/4/2019 ISO-IEC NTC 27001 Spanish Resaltdo

1/46

ICONTEC

NORMA TCNICACOLOMBIANA

TECNOLOGIA d~ LA INFORMACINTCNICAS BE SEGURIDAD. SISTEMASGESTI~NDE LA SEGURIDAD DEINFORMACI~NSGSI). REQUISITOS

INFORMATION TECHNOLOGY. SECURITY TECHNIQUES.INFORMATION SECURITY MANAGEMENT SYSTEMS.REQUl REMENTS

CORRESPONDENCIA: esta norma es una adopcin iddntica(IDT) por traduccibn, respecto a sudocumento de referencia, la normaISOIIEC 27001.DESCRIPTORES:

I.C.S.:35.040.00

sistemas de gesbn - seguridad de lainforrnacibn; seguridad de lainformacibn- reauisitos.

Editada por el lnstltuto Colombiano de Normas Tdenicas y Cdficacibn (ICON-TEC)Apartado 14237 Bogoth, D.C. - Tel. 607- - Fax 2221435

Pmhibida su repmtuccibn Editada 20064443


2/46

NORMA TCNICA NTC-ISOIIECCOLOMBIANA 27001

m:

g i ? i : r : , . TECNOLOGCADE LA IMFORMACIN., . TECNICAS DE SEGURIDAD. SISTEMAS DE

**.h +

9 , .. G E S ~ O N DE LA SEGURIDAD' DE LA" INFORMACldN (SGSi). REQUISITOS

E: WF ~ RM A T I O N ECHNOLOGY. SECURITY TECHNIQUES.INFORMATION SECURITY MANAGEMENT SYSTEMS.- , REQUtREMEMTS' A ' 1 ' . J .

kg.. ! . ,: , ts " ' CORRESPONDENCIA:. . ,., - . : I , , esta norma es una adopcin identica(1DT) por Waduccibn, respecto a su&: : ;

, .documento de referencia, la nwma

- I i r . .. ,a#,.:,'-; ;

ISOllEC 27001,8 ' / * - ' . DESCRIPTORES: sistemas de gestin - seguridad de la

informacibn: seguridad de lair?'?- i : :, y . . - . . ,. , ._ . . ..- ' . in?ormacibn- requlsltos.br: . e . . . ;- . _ -

l .! - . .' F . , - y% > j ;


3/46

El Instituto Colombiano de Normas Tcnicas y Certificacibn, ICONTEC, es el organismonacional de normalizacin, segn el Decreto 2269 de 1993.ICONTEC es una entidad de caracter privado, sin nimo de lucro, cuya Misin es fundamentalpara brindar soporte y desarrollo al productor y proteccibn al consumidor. Colabora con elsector gubernamentaly apoya al sector privado dei pals, para lograr ventajas competitvas en, , d 5 ' -11. ' ... .. .os mercados internoy externo,La representacien de todos los sectores involucrados en el proceso de Normalizacidn fecnicaesta garantizada por los Comites Tcnicos y el perlodo de Consulta Pblica, este Qttimocaracterizadopor la participacin del pblico en general.La NTC-ISOIIEC 27001 fue ratificada por el Consejo Directivo del 2006-03-22. \Esta norma esta sujeta a ser actualizada permanentementecon el objeto de que responda entodo momento a las necesidadesy exigencias actuales.A continuacin se relacionan las empresas que colaboraron en el estudia de esta norma atraves de su participacidnen el Comitg Tenico 181 Tknicas de seguridad de la informacibn.AV VILLASASOCIACIN BANCARIA DE COLOMBIABANCO CAJA SO ClAU COLMENA BCSCBANCO GRANAHORRARBANCO DE LA REPUBLICABANISTMOCOLSUBSlDlOD.S. SISTEMAS LTDA.ETBS.A. ESP

FLUlDSlGNAL GROUP S.A.IQ CONSULTORESIQ OUTSOURCING S.A.MEGABANCONEW NET S.A.SOCIEDAD COLOMBIANA DEARCHIVISTASUNIVERSIDAD NACIONAL DE COLOMBIA

Ademss de las anteriores, en Consulta Pblica el Proyecto se puso a consideracidn de lassiguientes empresas:ABN AMRO BANKAGENDA DE CONECTIVIDADAGP COLOMBIAALPINA S.A,ASESORIAS EN SISTEMATIZACIN DEDATOS S.A.ASOCIACIM LATINOAMERICANA DEPROFESlONALES DE SEGURIDADINFORMARCA COLOMBIAATHBANCAFEBANCOAGRARIO DE COLOMBIABANCO COLPATRIA RED MULTlaANCACOCPAlRIA

BANCO OAVlVlENDABANCO DE BOGOTABANCODE COLOMBIABANCO DE CREDITOBANCO DE CREDITO HELM FINAFJC1ALSERWCESBANCO DE OCCIDENTEBANCO MERCANTIL DE COLOMBIABANCO POPULARBANCO SANTANDER COLOMBIABANCOSTANDARD CHARTERED COLOMBIABANCO SUDAMERlSCOLOMBIABANCO SUPERIORBANCO TEQUENDAMA


4/46

BANCO UNIN COLOMBIANOBANK BOSTONBANK OF AMERICA COLOMBIABBVA BANCO GANADEROBFR S.A.CENTRO DE APOYO A LA TECNOLOGIAINFORMATICA -CATI-CITIBANKCOlNFlN LTDA.COLGRABAR LTDa)r+;=;;2.3 t ,,, ? q ; 2 ~ ~; , ,COMPAN~A GRICOLA DE SEGUROS DEVIDACONSTRUYECOOPCORPOWCION FINANCIERA COLOMBIANACORPORACION FINANCIERA CORFINSURACORPORACIN FINANCIERA DEL VALLECREDIBANCO VISACYBERlA S.A.ESCUELA DE ADMINISTRACION DENEGOCIOS -EAN-FEDERACION COLOMBIANA DE LAINDUSTRIA DELSOFTWARE - FEDESOFT-

DEFENSORIA DEL CLIENTE FINANCIEROFIMAMRICA S. A.FUNDACIN SOCIALINCOCREDITOINDUSTRIAS ALIADAS S.A.INTERBANCOMINISTERIO DE COMERCIO, INDUSTRIA YTURISMOMINISTERIO DE DEFENSA

VNTEC cuenta con un Centro de Inforrnacidn que pone a disposicidn de los interesadosnormas Internacionales, regionalesy nacionales y otros documentos relacionados.< .-

;:$c:, p?;y . - - a Q i ;?b- 4-a5- ;&qlot y *- ';k. DIRECCI~NDE NORMALIZACION- .' 1 ._ , , + :',=:e.-., * . :;,y s .

N.C.R.NEXOSSOFTWARE LTDA.""REOEBAMMULTICOLORSECRETARIA DE HACIENDA DlSTRlTALSERVIBANCASUPERINTENDENCIA DE INDUSTRIA YCOMERCIOTMC & CIAUNIDAD DES R V K : ETECNOLGm LTDAUNIVERSIDAD DE LOS ANDESUNIVERSIDAD JAVERIANAWORLDCAD ETDA.


5/46

0. i m R o o u w ..................................................................................................0.1 QEII#RALdDAES ................................................................................................ I0.2 E N F W E BASADO EN PROCESOS..................................................................0.3 COMPATlBlLlDAO CONOTROS SISTEMAS DE GESllN ..................................111. OBJETO .................................................................................................................... 1

.....................................................................................................1 GENERALIDADES 11.2 MUCACK)W ................................. ........................................................................2. REFERENCIA NORMATIVA ..................................................................................... 2

...................................................................................RMINOS Y DEFIYICIOES 24. SISTEMAMGESMN DE LA SEGRiDADDf LA IMFORMACCN.....................4.1 REQHISITOS GENERALES................................................................................... 44.2 ESTABLECIMIENTOY GESTINDEL SGSI............................................................ 44.3 REQUIS~TOS E DOCUMENTACIN....................................................................... 9

RESPONSABILIDAD DE LA DIRECCIN.............................................................. 10COMPROIIIIISO DE LA WRECC16N.................................................................... 10AUWTORCAS INTERNAS M L SGSl .................................................................2


6/46

HL. Paginam *m . . . .-*.A7. REVIS~~AIELSGSI POR LA DIRECCIN ....................................................... 12

7.1 GENERALIDADES............................................................................................ 1 2......................................................................2 INFORMACIN PARA LA REVISION 12

7.3 RESULTAMIS DE LA REVISIN ........................................................................ 13. U. MElORA DELSGSl........................... .............................................................. 13

8.1 MEJORA CONTINUA........................................................................................... 138.2 ACCWNCORRECTIVA........................................................................................... 14

............................................................................................3 ACCIN PREVEAmVA 14ANEXO AOBJETlVOSDE CONTROL Y COMTROLES ..................................................................... 15ANEXOSPRINCIPIOSDE LAOCDE Y DEESTANORMA .......................................................... 33A ~ X OCORRESPONDENCIA ENTRE LA NTC-ISO 9001 2000. LA NTC-ISO 14001 2004.Y LA PRESENTENORMA....................................................................................4


7/46

1 NORMA TECMCA COLOMBIANA NTC-IYUIEC11001

/ 0.1 GENERAUDADESEsta norma ha sido elaborada para brindar unmodelo para el establecimiento, irnplemeritacin,

. operacin, seguimiento, revisin, mantenimientoy mejora de un sistema de gestidn de lasegurida de la informacin (SGSI). La adopcin de un SGSl deberfa ser una decisidnestratgica para una organizacin. Eldiseno e lrnplementacin del SGSl de una organizacionestan influenciados por las necesMades y objetlvos, los requisltos de seguridad, los procesosi empleados y el tamailo y estructura de la organizacin. Se espera que estos aspectos y sussistemas de apoyo camMen con el tiempo. Se espera que la implernentacibn de un SGSl seajuste de acuerdo con las necesidades de la organizacin, por ejemplo, una situacin simplerequiere una soluclnde SGSl simple.

Esta norma se puede usar para evaluar la confwmidad, por las partes interesadas, tantointernas como externas.

0.2 ENFOQUE BASADO EN PROCESOSEsta norma promuwe la adopcidn de un enfoque basado en procesos, para establecer, .1 irnplementar, operar, hacer seguimiento, mantener y mejorar el SGCI de una organizacibn.

j Para funcionar eficazmente, una organizacidndebe identificar y gestionar muchas actividades.Se puede considerar como un proceso cualquier actividad que use recursos y cuya gestidnpermita la transformacin de entradas en salidas. Con frecuencia, el resultadode un procesoestituye directamente la entrada del proceso siguiente.- -.La aptlcaclnde un sistema de procesos dentrode una organizacibn, junto con la identificacidne interacciwies entre estos procesos, y su gestin, se puede denominar como un "enfquebasado en procesos".El enfoque basado en procesos para la gestidn de la seguridad de la informacibn, presentado! en esta norma, estimula a sus usuarios a hacer enfasls en la importanciade:

cc#nprender los requisitos de seguridad de la informacibn del negocio, y lamesida d de esta- b poltica y oQJetivos en reiacksn con la seguridad de lahiformacin:irnpkmentar y operar controles para manejar los riesgos de seguridad de lainfmacidn de una wganizacion en el contexto de los riesgos giobales delnegocio de la organizacibn;

c) ' el seguimiento y revisin del desernpeAoy eficacia del SGSI, yla mejora continua basada en la medicinde objetivoc.


8/46

Esta norma adopta el modelo de procesos "Planificar-Hacer-Verificar-Actuar"PHVA), que seaplica para estructurar todos los procesos del SGSI. La Figura 1 ilustra cmo el SGSi tornacomo elementos de entrada los requisitos de seguridad de la informaciny las expectativas de/ las partes interesadas,y a traves de las acciones y procesas necesarios produce resultados deseguridad de la Informacin que cumplen estos requisitos y expectativas. La Figura 1 tambienIlustra los vfnculos en los procesosespeclfkados en los numerales 4, 5, 6, 7 y 8.La adopcin del modelo PHVA tambin reflejar8 los principios establecidos en las DirectricesOCDE (2002)' que controlan la seguridad de sistemas y redes de informacin. Esta normabrinda un modelo robusto para implementar los principios en aquellas directrices que controlanla watuacibn de riesgos, diseo e irnplementacidn de la seguridad, gestin y reevaluacin de faseguridad.

el SGStIJEMPLO 1 Un requisito -18 ser que las vWaclones ei la segurldad de la infwmaci6n no causen danonnanclero severa a una organizacion,nisean motivo de premupaci&I para esta.EJEMPLO 2 Una expeaadva podrla ser que SIa u r e wi Incidente serio, como pw ejemplo el Hacklng del sitioweb de una organtzodbn, haya personas con capacitaci* suficiente en los pmcedimientos apropiarloc, paraminhnlzar el impacto.Partes~ n t e m d a sR e q r i k l t w ~expectativasde '. / Seguridaa*

de ' VerHbr M, L9kAwmackki-. *-la kifwmach ------ geionada-__- -__- - - - -~

W r e m k e s OCDE para le wgwtdad de slsiemas y re& de krfomiaelm.Hadawta eu9uira de la seguridad.Parfs:OCDE, Julio ck 2002.winw,&.org.II

__-e----_-*- --__,dd %,-.,y0 xlanW r/'

%\

1' Cii ""\\\ \,' \1 1t 11 1

I IqI--!\\ 1\ t

Panes~~~~S

\\\\ , /,

/

'x revisard SGSl


9/46

hw k a f (establecer el SGSI)

.Ibm Impdemeniar y operar el SGSI)+

b m r mantener y rn-r ei SGSI)

Esta- la poltica, los objeths, m e s o s yp"edhnientos de w d W- para ge9-rel riesgo y +ar la seguridadck la Infwmadbn,conelfin de emregar resultados aeardes cwr las polticas yo W h s qlobles de una aqsnlzacln.I m p l e m r y operer a poiltb, bsconaoles, p e s o s7elSGSI.Evaiwr, y, en dmuk sea ap#eable, meti& eld e l ~ c o n t r a l a p o l f t b y i o s ~ d e s e g u l d a dy la przlcth, y r e p t a r los msultadw a laa d b n , para w mi?Wn.E ~ ~ ~ s y ~ s cen im res&&m de a kaerna del SGSI y larwlslbn pw b f#red&& para lograr la *a cwianuadel SGSI.

i COMPATislllDAD CON OTROS SISTEMASDE GEctamma e- alineada con la NTC-ISO 9001:2000 y la NTC-ISO 14001:2004, con el fin ded p y a r la hnplememadh y operacibn, consistentes e integradas con sistemas de gestidnrebchados. Un sistema de gestldn diseado adecuadamente puede entonces satisfacer losfequ+sbsde odas estas m s . a Tabla C.1 taistra la rehcibn entre los numerabs de estam,am TC-tSO9001 2000 y la NTC-ISO 14001:2004.Esta norma esta disenada para'perrnitlr que una organizaclon alinee o integre su SGSl con los-8- de los sistemas de gestin relacionados.


10/46

TECNOLOGIA DELA INFORMACIN.SCMCAS DESEGURtDAD.SlSTEMAS DEGESTINMLASEGURiDADDE LA INFORMACION(SGSI). REQUISITOS-ANTE esta puWm&n m Mulr e s s dlspwidones mmsmbs*de un m a t o . Lwt i i i S r t s i s w ~ ~ p l e % u ~ a p l i E e e ( a n . E l ~ e ~ i r i n a ~ e n ~ m i t w n adem-wa-.

. OBJETOk ammna cubse todo tlpo de organlackmes (por ejemplo: empresas comerciales, agencias-les, apanizacbms sl nimode 1. Esta mxma especifica los requisitos perambker, implementar, operar, hacer seguimiento, revisar, mantener y m r n SGS1d w mmm c b dentro dd contexto de los riesgos glabales del nqmb de la organizacbn.

s los requis#os para la implementacbn de controles de seguridad adaptados a las&dd&s de!asorganizeicbes individuaboa partesde ellas.B5GSIa isettado para asegurar c m m k de sqwidad w k h t e s y pqmcionales que-Jan losacvosde informaciny brindenconfianza a las partes interesadas.WTA 1 Las qw se hacen en estam 'negado" se deberran Hqxe t a r a-merirs comoacavldadesgue~%senelalcrspambexl~&Laarganltaei0n.

La ITC-1SMEC ,7799 twh& mMn sohe la impkmentarbn. que se pede usar ruar& r

idos en esta mmna son genricos y estnprwkms para ser aptimblesa todaslas organizaciones, de su tipo, tamano y nalwaleza. No es acepable laeitckision de cuakpma& b s requMm especiCicados en los numerales 4, 5, 6, 7 y 8 cuando unaaganlzadndedar8confomiidadconbmm.Cualquier exclusin de controles, cmslderada necesaria para satisfacer los criterios deaceptacin de rlesgos, necesitaJustificarse y debe suministrarse evidencia de que los riesgosasociados han sido aceptados apropiadamente por las personas responsables, En donde seexchya cualquier control, las declaracionesde conformidad con esta norma no son aceptablesa menos que dichas exclusbnes rm afecten la capacidad de la wganizaci6n y10 laresponsabilidad para ofrecer seguridad de la informacin que satisfaga los requisitos desegwkiaddeterminados por la valoracidn de riesgos y los requisitos reglamentariosaplicables,MITA SI una organlzacldnya tiene en ~ ~ m l e n t on s i m a de gestkln de los v e s o s de sunegmlo (por-0 : en relaclncan aNTC-ISO9001o NTC-ISO 14001),en amaywla de bscasoses p enk satisfacer losreqisitosde a presentem e entrodeeste sistemadeges th exlaente.

1


11/46

S4;lguiented o c u ~eferenciada es indispensable para la aplicacidn de esta nwrna. ParaMkwencias fechadas, solo se aplica la edicln citada. Para referencias no fechadas. se aplica@ Otrna edicim del documento referenciado (incluida cualquter correccin).1

' YTC-ISO/IEC 17799.2006. Teadqf a de a infamcxii.Twnlces de seguridad.Ckkp de practicar f -pa ta~de lasecf l i r idadde la in fc )mia~.

, h a os propositosde esta norma, se aplican los Siguientes trminos y definiciones:

CWriesgode asumir un riesgo.ri

1 ~ s d l k r h q pb usosistemdtico de a Infwmacidn para identifm las fuentesy estimarel riesgo... ,>:.-.. < .-- ;

3 .. T . . . , ' I

midadmi edad que determina que la infomiacrn no este disponible ni sea revelada a individuos,b c i e s procesos no autorizados.!N-5411-1:2006] . t . .m m - , .: L J p I r , - > - 1 .,,. .. ,.:;*34 , -..: L.:. dm ip4icabilSdad@xummtoque describe los objetivos de control y b s controles pertinentesy aplicables para el%SI deb organizaclbn,. , . . . , - . , , . y : l . : 3 f1 ., . L . .., . ,. . ., * ' . . , . .. .. ,# ~ T A Loa obyetivos de m d los ctmtmles se basan en los resultados y cwclusonss de los procesos de-clbn y tratamiento de riesgos, requlsltos legaleso reglamentarios,obligacionescontractuales y los requlsltoc$Mm w o de la organizaciW enUt8tUO a la -dad de a infwmecln.


12/46

3*7waluacibndel riesgopmeso de comparar el riesgo estimado contra criterios de riesgo dados, para determinar laimportancia del riesgo.

3.8ifentode seguridadde Irt Informacidn' presencia WentMcada de una candicln de un slstema, servlclo a red, que Indica una posiblevblacidn de la polRlca de seguridad de la informacion o la falla de las salvaguardas, o unasituacidndesconocida previamenteque puede ser pertinentea la seguridad.

C TR 18044:2004]

t dn ciei riesgocoordinadaspara dirigir y controlar una organizacinen relacin con el riesgo.1 8.10

hcidmte de seguridad de s lnformacidnun evento o serie de eventos de seguridad de la informacinno deseados o inesperados,quetknen una probabilidad significativa de comprometer las operaciones del negocio y amenazarr la seguridad de la informacin. . '

' 1 > 3b [ISOHEC TR 18044:2004). '?. k , , . . -: & r nT , - c , , i, L . ' y *

3.31Lh fes rw : . , ,:


13/46

D M ATCNICA COLOMBIANA NTC-ISOIIEC27001OTA El sistema de gestibn Incluye la estructura organizacional, pollticas, actividades de planlficacibn,!sponsabllldades,practicas,procedimientos, procesos y recursos.

'atamientodel riesgo V b ' -#m ., ,roceso de seleccin e implementacion de medidas para modificar el riesgo., : , : 'OTA En la presentenwma el trmino "conaor"se usa como sinonirno de "medida".

.10 4,In del riesgoglobal de analisis y evaluaclOn del riesgo,

. . ... SISTEMA DEGESTldNDE LA SEGURIDADDE LA INFORMACION* , " . : f . , ' - ' ,; , - r' REQUISITOSGENERALES.aorganizacin debe establecer, irnplementar, operar, hacer seguimiento, revisar, mantener ynejwar un SGSl documentado, en el contexto de las actividades globales del negocio de lairganizacin y de los rlesgos que enfrenta. Para los propsitos de esta norma, el procesotsado se basa en el modelo PHVA que se ilustra en la Figura l .

ESTABLECIMENTOY GESTldNDEL SGSl .Establecimientodel SGSl

I . I

irganizacindebe:

a) Definir el alcance y ltmites del SGSl en trminos de las caracterlsticas delnegocio, la organizacin, su ubicacin, sus activos, tecnologra, e incluir losdetallesy justificacin de cualquier exclusidn del alcance (vease el numeral 1,2).Definir una polftica de SGSl en terminos de las caracterlsticas del negocio, laorganlracibn, su ubfcactbn, sus acttvos y tecnologfa, que:

incluya un marco de referencia para fijar objetivos y establezca un sendogeneral de dlreccldn y principios para la accin con relacin a la seguridadde la infwmacln;2 ) tenga en cuenta los requisttosdel negoclo, los legalesa reglamentarios, ylas obligaciones de seguridad contractuales;. . .. .3) este alineada con el contexto organizacional estrategiro de gestfon delrlesgoen el cual tendra lugar el establecimientoy mantenimiento del SGSI;4) establezca los criterios contra los cuales se evaluar el riesgo. (Vease elnumpr l 4 2 1 literalc) y;

-. .J . L f , . &, < * i < 1 ' Ir. -u-**-*:...'- -b .> -- . y&arry-m . . ' . r rQ Wrtq :' - '4 . '.f

f.-


14/46

5 ) haya sido aprobada por la direccibn.c) Definir el enfque organizacknal para la valwocibndel riesgo.

1) Identificar una metodologia de valoracidn del riesgo que sea adecuada alSGSl y a los requisitos reglamentarlos, legales y de seguridad de laInformacl6ndel negocio, identificados.2) Desamollar criterios para la aceptacidnde riesgos, e identificar los nivelesde riesgo aceptables. (Vase el numeral 5.1, llteral f).La metodologra seleccionada para valoracidn de riesgos debe asegurar quedichas valoraciones producen resultadoscomparablesy reproducibles.NOTA Enlsien dlferentes metodologlas para la valoracidn de riesgos, En el documentoISOIIEC TR 13335-3, Informatlon iechno/ogy.Gulddlnes for tite Management of IT Securlty -Techniques for t h e Management of IT Securltyse presentan algunos ejemplos.Identi f~aros riesgos1) identificar los activos dentro del alcance del SGSl y los propietarlos2deestos activos,2 ) identificar las amenazas a estos activos.3) identificar las vulnerabilidades que podrran ser aprovechadas por lasamenazas.4) Identificar los impactos que la p&dida de confidencialidad, integridad ydisponibilidad puede tener sobre estos activos.

e) Analizar y evaluar los riesgos.1) valwar el impacto de negocios que podra causar una falla en la

seguridad, sobre la organizacin, teniendo en cuenta las consecuenciasde la p&dlda de confidencialidad, integridad o disponibilidad de losac ths .2) vahar la posibilidad realista de que ocurra una falla en la seguridad,consldersndo las amenazas, las vulnerabilidades, los impactos asociadoscon estos activos, y los controles imptementa#os actualmente.3) estimar los niveles de los riesgos.4) determinar la aceptacidn del riesgo o la necesidad de su tratamiento a

partir de los crlterlosestablecidos en el numeral 4,2.1, literal c),Identificary evaluar las opciones para el tratamiento de los riesgos.Las poslbles acciones Incluyen:

El Wrnlmi Ident#fePj a un lnivldw o entidad que me la responsablkkd, &SQmda p agerencia, de eonrrolsr#afxouccm,dewrrollo, mantenlmlento,usa y seguddad de tos xvus, El #r-"progleterkr"rmqulemdecir lap m ealmente tenga aQUn derechodepropklad sakeel actka5


15/46

IORMA SCNICA COLOMBIANA1) aplicar los controles apropiados.2) aceptar los riesgos con conmlmlento y objetMdad, siempre y cuandosatisfagan claramente la polrca y b s criterios de la wganizacidn para laaceptaclnde riesgos (vdeise el numeral 4,2,1, literal c));3) evitar riesgos, y4) transferir a otras partes los riesgos asociados con el negocio, porejemplo: aseguradoras, proveedores, etc.SeOecclanar los obJetivos de control 'y los controtes para el tratamiento de losdesgos.Los obpttvos de control y los controles se deben seleccionar e implementar demanera que cumplan los requisitos IdeMicados en el proceso de vabacibn ytrata- de riesgos. Esta se!eccMn debe tener en cuenta os criterios para laaceptaclm de riesgos (vase el numeral 4.2.1. literal c)), al igual que los requisitoslegales, reglamentariosy contractuales.Los objetivos de control y los controles del Anexo A se deben seleccionar comoparte de este proceso, en tanto sean adecuados para cubrir estos requisitos,Los objetivos de control y los controles presentados en el Anexo A no sonexhaustivos, por lo que puede ser necesario seleccionar objetivos de control ycontroles adicionales.NOTA El Anexo A m e n e una lista ampia de objetivos de control y controlesque comnmentese han encontrada pertinentes en las wganlmciwies. Se sugiere a los usuarios de esta normaconsultar el Anexo A como punto de partida para la selecclon de controles, con el fin deasegurarse de que no se pasan por alto opciones de contrd Importantes.Obtener la aprobacin de la direccin sobre los riesgos residuales propuestos.Obtener autorizacin de la direccidn para implementar y operar el SGSI,

j) Eiabwar una declaracibn de aplicaMIWad.Sedebe elabwar una ddaraclbn de apkabWad que kicluya:

Laexckisindecualquier~decantrolycwitrdesenumeradosmelAhexo A y l a j u W k a c i m para suex-.

NOTA La declsraclOnda a p k a H W proporcloaa un wwrnen de las ckckbnes concwnlentesa l ~ & w ~ b ~ ~ l a s ~seamka-


16/46

iorganizacin debe:a) formular un plan para el tratamiento de riesgos que identifique la accidn degestin apropiada, los recursos, responsabilidades y prioridades para manejarlos riesgosde seguridad de la informacin (vease el numeral 5);) implementar el plan de tratamiento de riesgos para lograr los objetivos de controlidentificados, que incluye considerar la financiacfn y la asignacidn de funcionesy respnsabitidades;c) i m p l m t a r los controles seteccionados en el numeral 4.2.1, literal g) para- cumplir los objetivos de control;

/'d d) definir cbmo medi la eficacia de los controles o grupos de controlesseleccionaclos, y especMcar cmo se van a usar estas medkiones con el fin devabrar la eficacia de los controles para producir resultados comparables yreproducibles (vease el numeral 4.2.3 literal c));NOTA La rwdicldn de la Mcacia de oscontroks permitea losgermes y al personal determinarla medida en que secumplen losobjevosde cont~d laniffcadoC.

e) implementar programas de f0~1ack)n y de toma de conciencia, (vease elnumeral 5.2.2);fl gestionar la operaciondel SGSI;g) gestionar los recursoseiSGSI (v8ase el numeral 5.21:h) Hnplementar procedimientos y otros controles para detectar y dar respuestawibi.tuna a los kldentes de seawldad (-se el numeral 4.2.31.

-.

23 Seguknisntoy rwisiandel SGSia mganizacidndebe:

Ejecubr f.wocedIMieriAOs de seguimientoy rwlsidn y otros controles para:1) w r apidamente eme s en los resultadosdel pmcesamiento;2) identificar con p n t h d los incidentes e intentos de vioiacbn a laseguridad,Unta los que twleron exito como los que fracasaron:3) posibilitar que la dkeccidn determine si las actividades de seguridaddeBegadas a las personas o irnplementadas mediante tecnolqra de la

informacinse estsn ejecutando en la forma esperada:4) ayudar a d e t w r eventos de seguridad, y de esta manera impedirincidentesde seguridad mediante el uso de indicadores,y5) determinar si ias accfones tomadas para solucionar un probbma deviolacitlii a la seguridad fueron eflcaces.


17/46

Emprender revisiones regulares de la eficacia del SGSl (que incluyen elcumplimientode la poltica y obmvos del SGSI, y la revisin de los conboles deseguridad) teniendo en cuenta los resultados de las auditwias de seguridad,incidentes,medlcldn de la eficacia sugerencias y retroalimentacidnde todas laspartes interesadas.FL( c) Medir fa efikacia de los controles para verificar que se han curnplkh losre$uIsbs de seguridad.

L

d) Rwisar las valoraciones de los riesgos a Intervalosplanif~ados, revisar el nivelde riesgo residual y riesgo aceptable identificado, teniendo en cuenta loscambios en:

3) los objetivosy procesosdel negocio,1) las amenazas identlflcadas,2) b eficacia de los controles tmplementados,y3) eventos extanos, tales como cambios m el entorno legal o

reglamentario,en lasobiigacbnescontractuaks, y enelclima social.e) Realizar a w f a s kitemasdelSGSl a m a l o s pbnificados(-se el nwnerat 6).

MOTA Las audltw(as Internas, dm l n a d a s atgunas veces auc?imlasde prlmera parte, las. * realiza la propia organlzacldnu oaa organlzaclbnen su nombre. para prop&sltoshiternos..8 Em pm k r una revlsi6n del SGSI, realizada pw la direa%n, en fwma regular para'' a w a r que el abnce siga sk& suficiente y cp se Idena#iquen -as al

procecodeSGSl [v&sednwnsral7.1).g) Actualizar los planes de seguridad para tener en cuenta las conciuslones de lasaahridedesd@ seguimiento y revisiOn,h) Rqistrar acciones y eventos que podrran tener impacto en la eficacia o eldesempenodel SGSl (vaseel numeral 4.3.3) .

4 Mantenimientoy mejora dei SGSl!A wganizaci6n debe, regularmente:

) tmplementar las mejrwas ldentlflcadasen el SGSI;b) Emprender las acciones correctivasy preventivasadecuadas de acuerdo con losnumerales 8.2 y 8.3. Aplicar las lecciones aprendidas de las experiencias de

seguridad de otras organizaciones y las de la propia organlzscln;c) Comunicar las acciones y mejoras a todas las partes interesadas, con un nivelde detalle apropiado a las circunstancias, y en donde sea pertinente, llegar aacuerdos sobre cmo proceder;


18/46

1 ~ R M ALCNICA COLOMBIANA NTC-ISOIIEC27MHd) Asegurar que las mejoras logran los objetivos previstos.

3 REQUISITOS DEDOCUMEMTACION. T

ntacidn del SGSl debe incluir registros de las decisiones de la direccion, asegurariones sean trazabtes a las decisiones y poltticas de la gerencia, y que los resultados

S del proceso de valoracidn y tratamiento de riesgos, y seguidamente, con laetivos del SGSI. . - l

.

4 q docwimentacindel SGSI debe ncluir:a) declaraciones documentadas de la poltica y objetivos del SGSl (vease elnumeral 4.2.1, literal b));b) el alcance del SGSl (vease el numeral4.2.1, literala))

. --,

e) el informe de valoracidn de riesgos (vease el numeral 4.2.1, literales c) a g));el plan de tratamiento de riesgos {veaseel numeral4.2.2, literal b));

g) Los procedimientos documentados que necesita la organizacin para asegurar laeficacia de la planificacin, operacidn y control de sus procesos de seguridad dela informacin, y para describir como medir la eficacia de los controles (vease el,numeral 4.2.3, literalc));

h) Losregls~osexigidosporestanorma(vaseelnumerai4.3.3),y' :,- - , . , ..

La declaracidn de aplicabilidad.A 1 En esta m a , l temiino 'pmcedirnknto documentado" slgnlfka que el procedlmlento esta estabecklo,

do, irnplememadoy mantenido.TA 2 Elakance de h docurnentaclmciei SGSl puede ser diferente de unawganizacibn a otra debido a:

. . . Eltamam de la wganizacibn y el Elpo desus aabidades, y5 El alcancey complejidadde losrequlsltos de seguridad y del sistema que se est gestionando.1 NOTA 3 Lo5 documentos y registrospueOen tener cuslqWer forma a estar en cualquier tlpo de medio.

- l , {4.3.2 Controlde documentos . . ..1 Los documentos exigidos par el SGSI se deben proteger y controlar. Se debe establecer un

edimiento documentado para definir las acciones de gestin necesarias para:dw~s>z


19/46

a) aprobar los documentos en cuanto a su suficiencia antes de su publicack5n;. b) revisar y actualizar losWumentos segian sea necesarioy reapbarlos:

d] asegwar que las versiones ms rechtes de os documentos pmnentes estndisponibles en b s puntos de uso;e) asegurar que los documentos permanezcan leg-S y fdcilmente Wentlficabk;

que se apliquen los procedimientospertinentes,de acuerdo con su clasificaci6n,-- para su transferencia, almacenamientoy disposkibn Rnal.

g) asegurar que losdocumentos de wigen extemo estn identificados;h) asegurar que la distrihcion de documentos este controlada;

impedird uso no previstode osdacurnentos obsoietos, yaplicar Ia identifmcibn adecuada a los documentos obsdetos, si se retienenpara cualquier propsito.

.3 Controidemgistnis

ebe tener en cuenta cualquier requisito legal o reglamentario y las obligaciones

deben llevar registros del desem- del proceso, como se esboza en el numeral 4.2, y delos casos de incidentesde seguridad significativos relacionadoscon el %SI.

PLO Aigumrc ejemplos de registros son: un libro de vlsltantes, informes de auditwlas y lwmatos dezacldn de acceso diligenciados.

i COMPROMISOM A MRECCW , f . '

t..::,.',.. ..-c +a) mediante el estabiecirniento de una polltica del SGS1;

2 -4

b) asegurando que se establezcan b s objetivos y planes del SGSI; i; rtai.di4jri;paxc) estableciendo funciones y respwisabilidadesde seguridad de la infwmackn;

10


20/46

e) brindando lcrs recursos suficientes para establecer, mplementar, operar, hacermdmlento,revisar,mantenery mejwarun SGSI ( a s e el numwai 5.2.1);

asegurandoque se ~ H r a nud#aras internasdelSGSl (-se d numeral6), yefectuandobs revisionespor la dkeccicki, del SGSl (aase elnumeral7).

G&ON DERECURSOS

wganizacibn debe determinar y suministrar los recursos necesarios para:a) establecer, irnplementar, operar, hacer seguimiento, revisar,mantener y mejorar. . un SGSI; - . .

..' ' 1 .: . . .13) asegurar que tos procedimientos de seguridad de la informacfin brindan apoyo alos requisitosdel negocio; , . b:. , ,c) identificar y atender los requisitos legales y reglamentarios, asl como lasobligaciones de seguridad contractuales;

1 'd) mantener la seguridad suficiente mediante la aplkacibn correcta de todos los+ e) llevar a c a b revisiones cuando sea,necesario, y reaccionar apropiadamente alos resultadosde estas revisiones; y'.' .

f) en donde se requiera, rnejmar la eficacia del SGSI.l ; - , , . '.. ... ' . , . - , . ' - " ' ' L . ": - * - ' : -.

2 Fomiacian, toma deconciencia y -a% , :----.4 :.1 -.-

organizacin debe asegurar que todo el personal al que se asigne responsabilidadesMdas en el SGSl sea competente para realizar las tareas exigidas, mediante:a) La determlnacimde tas competencias necesarias para el personalqueWute el

. trabajo que afecta elSGSI;, , 4 ., .., . .. ! , i r...+-- . - 1 , , ..; - . * m .-r7vc\: 4 . .:b) el suministro de formacin o realizacin de otras acciones (por ejemplo, la! f i contratacin de persond competente) para satisfacer estas necesidades;

i1 c) la evatuacibn de la eftcacia de las accionesemprendidas, yd) el mantenimiento de rtqistros de la educacMn, fwmacibn, habilidaes,experiencla y califtcaciones (vease el numeral 4.3.3).

- ; . , > m , ,. ' , T . ?N -':e.-a v*.:t. . b>+2:L: -,


21/46

e importancia de sus acvMades de seguridad de la informacidn y como ellasal logro de losobjetivos del SGSI.

a) cumplen los requisitos de la presente mwma y de la legislacidn dreglamentacionespertinentes;cumplen los requisitos Identificadosde seguridadde la informacin;

) estn implementadosy semantienen eficaxmente, y

as areas que se van a auditar, ast como los resultadosde las auditorlas previas. SeIr (OS criterios, el alcance, la frecuencia y los metodos de la auditorla. seieccion

uditaresy la realizacin de lasauditorrasdeben asegurar la objetividad e imparcialidadeso de auditorla. Los auditoresm, deben auditar su propio trabajo.finir en un procedimiento documentado las responsabilidades y requisitos para lay reallzacbn de as auditorras, para Infamar los resultados, y para mantener los

(*ase elnumeral4.3.3).

dos de a verifkaci0n. , . . , . - :. - 4 ..Mmtar orientsdn PU para la rwltzziclbnde audkmas ht rnasdelSGSI.

.;, . .REWSION DELSGSI POR LA MRECCIONGENERALIDADESci6n debe revisar el SGSl de la ohganizacidn a intervalos planificados(pw lo menos unaM), ara asegurar su conveniencia, suficiencia y eficacia continuas. Esta revlsion debeevaluaclm de las oportunidades de mejora y la necesidad de cambios del %S!,la polltica de seguridad y los objetivos de seguridad. Los resultados de las revisionesdmumentar claramente y se deben Hevar registros (vease el numeral 4.3.3).

tAIFORMACIHPARA LA REVISIONentradas para la rwisibn por la direccion deben incluir: ' : ! ~ : ? ! l . L ? :., l&, m i . . :,m . . - ! f . . , ,

- - . h . ,: . :j.,ra) resultados de las auditorlas y revisionesdel SGSI; .-::i3. .. tgg a ~ . w i a s


22/46

NTC-ISOIIEC 27001

c) tcnicas, productos o procedimientos que se pueden usar en la organiracidn1 para mejorar el desernpeno y eficacia del SGSI;'*.,E:;4 estado de las acciones correctivas y preventivas;1 e) vulnerabilidades o amenazas no tratadas adecuadamente en la valwacidn prwisi, de los riesgos; I .k$ fi resultados de as mediciones de eficacia;& g> accbnes de seguimiento resultantes de revisiones anteriores por la direccibn;6Y

, h cualquier cambio que p u d a afectar el SGSI; yrecomendaciones para mejoras.

d .

$m~uitados de la revisi& por la direccidn deben incluir cualquier decisidn y accidnsklonada con:a) lamejora de a er~acia el SGSI;

la actualiracion de la evaluacin de riesgosy del plan de tratamientode iesgos.c) La modificacibn de los procedimientosy controles que afectan la seguridad de lainformacin, segQn sea necesario, para responder a wentos internos o externosque pueden tener impactoen el SGSI, incluidos cambios a:

1) los requisitos del negocio,2) los requisitos de seguridad,3) los procesos del negocioque afectan los requisitosdel negocioexistentes,

1

4) lo s requisitos reglamentarioso legales,5) las obligaciones contractuales, y6) los niveles de riesgo ylo niveles de aceptacidn de riesgos.los recursosnecesarios.

=, la mejora a la manera en que se mlde la eficacla de los controles.b j MEJORADELSGSlC' MEJORA CONTINUA1

nizacindebe mejorar continuamente la eficacia del SGSl mediante el uso de la polticaridad de la informacibn, los objetiwos de seguridad de la informacin, los resultados derla, el andlisis de los wentos a los que se les ha hecho seguimiento, las accionesvasy preventivas y la revisidn por !a direccin.


23/46

SCMCA COLONlBiANA NTC-ISOIIEC 27001ACCCCY CORRECTWA ,# -L.organizacin debe emprender acciones para eliminar la causa de no conformidadesLiadas con los requisitos del SGSI. con el fin de prevenir que ocurran nuevamente. El

@miento documentadopara la accin correctivadebe definir requisitos para:a identificar las noconformidades;

determinar las causasde las rmconformidades;evaluar la necesidad de acciones que a w e n que las m, confamidades rmvuelven a mr r i r ;darmmar e ~ ~ ra acci6nCOrrecWamcewrle;

. -~ b ~ d e r C ~ ~wmwd4.3.3); y

. - -.

w l # u @ r b - w * ~ ~ ~ ~ b n a - - .1 -

c e t@mm&w b accinpreventivam-;4 ~ ~ t r s r ~ r e s u ~ ~ ~ a d a \ t o m a d e ( & s e * - ~ ~ ~ 3 . 3 1 , y3- .&m&&. . 4 -:., ;* ' < *47La oignizacidndebeidentificar los cambios en los riesgos e identificar los requisitosencuanto acciones preventivas, concentrando la atencin en los riesgos que hancambiadosignificativamente.

prioridad de las acciones preventivasse debe determinar con base en los resuitadosde lahaclbn de los rlesgos.b Las acciones para prevenir m confaimldadescon frecuencia sonmasrentabiesque la accldn correctlva.


24/46

ANEXO A(Mwrnativo)

08JEtWOS DE CONTROLY CONTROLES

1mmDWCK)N

S de apoyo a los comoles especiflcadwwi d kmlA.5 a A.15.a b h A . l . ~ d i l e m t m i y ~

b direccin debe aprgbar un documentla depsllctca de seguridad de. la kaopmactbn y lo

L a p d f a c a d e ~ d e t a l r d a m a c l d n ~

-slgn#icaplvos,sigue siendo adecuada,sufic

claro, ui comprom(ca - una

seguridaddela infamacin. Se asben defwr c b m m a w ta&s bs


25/46


26/46


27/46

TCNICA COLOMBIANA NTC-ISOIIEC27001Tabla A.1. (Cmnuae-n)

A8SEGURIDADDELOSRECURSOSHMANOSA8.1.2 Seieccion ., . . , ControlSe deben realizar revidones para laverincacin de antecedentes de loscandidatos a ser empleadas, coniraristasousuarios de erceras partes,de acuwdoconlos regiamemoc, la etka y las leyespertinentes, y deben cer proporcionales alos requisitosdel negoclo. la ciasitcacita dela i n fmdbn a la cual se va a teneraccesoy los riesgos percibklos

3.8.1.3 T&nnlnos y condiciones Control . .?, .:i ,4 ,

Como parte de su obligacibn contractual,los empleados, contratistas y usuarlos deterceras partes deben estar de acuerdo yflrmar los trminos y condiciones de sucontrato laboral, el cual debe establecersus respmsabllldades y las de laorganizaclbn con relacidn a la seguridadde a Inforrnacirin.

AA2 k m % a vigencia de la iaboral., ObJetlvo:asegurarque todos os empleados, contratistas y usuarlosde erceras partes&en conscientes de las amenazas y preocupaciunesrespecto a la seguridad de lainkrrnaclbn,sus ecponsabllldadesy sus deberes. y que esten equipados para apoyar

usuarios de terceras partes deben recibirfwmacbn adecuada en conclentlzact6n y

o ,:; ; 4.; Ir...' ."-j -.. , * - 7 .- .p-w:

* . A>:y. . . a - .-- -'


28/46


29/46


30/46

A TECNICA COLOMBIANA NTC-ISOIIEC27001

A.10 GESTldNDE COMUNICACIONES Y OPERACIONESA. 10.1.3 1 Diciribucibn de 1 Confrol1 b s unc1ones y Las areas de responsabYdad se 1

deben dlctiibulr para reduclr las opmtunldades dernodificacibnno autorlrada o w intencional, o el usoinadecuadode losactivos de la organizacin.A.f0,1.4 SeparaciOn de las Control

Instalaciones dedesarrollo, ensayo y b s Instalaciones de desarmllo, ensayo yoperaclbn. operacion deben estar separadas para reducir los

1 . riesgos de acceso o cambios no autorizados en elsistema operativo.A.10.2 Geistiande a prestacindel sewico por ierceras parLes-L~bj~bjetivo:rnplementar y mantener un grado adecuado e leseguridad de la Inforrnacl6n y de la prestacion d d l

&vicio, de conformidad con los acuerdos de prestacrbndel servicio por terceras partes.A 10.2.1 Prestaclbndel servicio Conud+. .. 1

w y m i * d e I wservidos pa -Sw

se detsen garantizar que los conbolesde seguridad,las definlclones del servklo y los niveles deprestaciondelswvklo Incluldoc en el acuerdo,seanIrnplementados, mantenidos y operados por lasterceras partes.C ~ O ILos swvkios, reportesy reglcmis suministrados portarceras partes se deben wntrolar y revisar conregularidady las audkoriasse deben llevar a calm a

Los cambios en la prestacldn de los servicios,incluyendomantenimiento y rnejwa de las pdlticasexistentes de qur ldad de la inforrnacion, en losprocedlmlentos y los controles se deben gestionartenimdo en cuenta la lmportancla de los sisternasy procesos del negmio Involucrados,as1 como larewaluacldn de os riesgos.

1-10.3 Planmwc& y aceptacm del sistema1 I

Objetivo: minlmlzar el riesqo de a'A.10.3.1 Gestbn de la1 1 apacidad.+ . ' .A.10 3.2 Aceptacbndel sistema.

. . .. ,-. ,:1c

r

i s de los sistemas.ControlSe debe hacer seguimiento y adaptacidn dd wo delos recursos, asf como proyecciones de los 1requisitos de la capacidad futura para asegurar eldesempeAo requeridodel sistema.c a m iSe deben estabimer criterios de aceptacidn parasistemas de inbrmacin nuevo!%, ctualizaciones ym a s v e r s i e s y llevar a cabo los ensayosadecuados dei sistema durante el desarrolloy antesde ia aceptacion.

?, . . ,. , ., - > ' , . ,.?, ; >, . e , , -* : i', . - . a ~ ~ , r , . - ~ , -.. ',: ' - ,8 . ,> A :. a + c

0 , -. . - - 2 * j 4


31/46


32/46


33/46


34/46


35/46

NORMA TCNICA COLOMBlANA

Para redes compartidas, especialmente aquellasque se extienden m8s alla de las fronteras de la

El acceso a los sistemas operatlvos se debe, ?: . ' .

ones en los tiempos de


36/46


37/46

R2.3 integridad de l mensaje. Controll l IVaiidacion de los datosde sallda.

Se deben Identlflcar los requisitos para asegurar laautenticidad y pmteger la Integridad dei mensaje enlas aplkaciwies, as1 como dienancar e I m p l m t a rIwm decuados.ControlSedebenvalldar losdatosde ~ N d ae una aplkacionpara asegurar que el pracesamientode la Informacinalmacmda es correcto y adecuado a lascircunstancias

1 - ,

b:roteger la confktemialkiad, autenticidad o integridad de la inforrnacln, por 1glos cripwrkos.R3,I Poirtlca sobra ei uso ck Conwol

cmrotes crlgtogr8ficos.. l.. ,.._ Se debe desarrollar e lmplementaruna polftlca S O W ~

el uso de controles criptogr&flcospara la proteccl&nde a lnformacian.-12.3.2 Gestian de llaves, Control1 1 Se debe lmplementar un stcterna de gestin de 1. . . . . -. llaves para apoyar el uso de las tcnicas

crlptcqrficaspr partede a orc)antzacidn.1.4 Segrsidsddo 10sarchivos del sistemi ._,;, ., ; . .-..v ,. . , ,..,garantizar la sequridad de tos archivos del sistema.C m d del software Control . - .F .- , - . .operativo.,.. . = ..: Se deben imptmentar procedlmtentos paracontrolar la instalacldn de sodtware en sistemas1o9eratlvoc. IProteccin de los datos 1 control - -.de prueba dd sistema.Control de acceso alcdigo Fuente de losprogramas

- .

Los dams de prueba deben seiecclonarseculdadosarnente, aslcomo prot-se y controlarseContrd .. r A. . .

' . ' +. ,, ! , . < ,-: .,. , -Se debe restrlnglr el accesa al cddlgo fuente de los I1 programas.m d loa dedesarrollo yMiw: mantener la segwldadkaciones.

comol decarnblos.

apiicaclones despus desistema operativo.-- v. - , .

le1 -are y de la InformaciOn dei sistema deControl

Se deben controlar la impkrnentaclbn de cambiosutilizanda procedlmtentoc fwmales de cwmol de

Cuando se cambian los cist~naasoperattvos, lasapilcaclms aRicas parael negacio se deben revlcsry someier a prueba para asegurar qqu no hayImpacto adverso en las operdones nl en la ""-"-"'-'sewidad de la organizaciCm.


38/46

DESARROLLOY MANTENlMlETODESISTEMASM IYFOWIIIACIO5 3 Restrkclones en los 1 Control 1carnblos a los paquetesde suftware.

Fuga de Informacin

Se debe desalentarb reallzacldnde -lones alos paquetes de software, fknitarlas a los cambiosnecesarios, y todos 105 C B ~ M O Sse ckk?ncanrolar-mente.Control ,Se deben evitar las oportunkiack para que seproair- fuqa de Irirormaciki.t U . 5 Desarrollo de software C m 0 4 - ,-,..t I > * - , . . .

- l contratado externamente I$eimeducir Iw riesgos rewltai12,6.1(Contrd de es de la exploiacinde las vuinerabilidades tcnicas publtcadas.c m 1

Se debem ifrxmaclon opwaina coke lasnilnerabilkiades mnlcas de los slstemas delnlamacedn gue estan en uso, evaluar la exposlclnde la qafilzaddn a d c h s vulnerabilidades y m a rlas amimes apropiadas para iratar los riwgw

13GES- DE LOS IWC#)ENTESW LA SEGWIIDADDE LA WFORMACaM13.1 ~ ~ l o s ~ y l a s d a # l k l s d e s d @ b ~ a d d u b i n f ~ i a nacegurar que loseventos!

m Mwmacin semun l c a nde fmwentos de seguridad dela inlomiaddn

las ckbilldadesde la segwldad de la Infwrnaclbnasal a tal quepermitentomar las acclonesccmxtlvas apcccfmoi .+ " . , a, .A*. . .

ladoscon los sistemasmnamente.

Loseveiaos ck -&id de la i&madbn se debwiinfonnar a mvs de los canales de gestina m a d o s an prwito como sea -Me.Coarol

I Se debe exlgir a taios !os empleados. ctmtraHstas ylusuarios de m a s partes de los sistemas yservidos de iraomiacibn que observen y reportentodas las debM&&s observadas o sospechadas enlosCIstemaso s?wkKis.

i i a s i r i . J w w m b ~ d a l a i ~ i o r r

Reporte sobre lasdebildadec de la-F"Yad . m

Wvo: asegurar que se aplica unenfoquecmlstentey eficaz para la gestlbn deIw ncidentesde seguridad de 1

Se deben establecer las respwisaMlldadeC y losprocedsmisntos de gestin para aseguar unaPespuecia dplda, dicaz y wdenada a los Incidentesde- ldad de ia Inwmaclon.

Aprendizaje debido a 105Imldentes de segwidadde la IriTorrnaclbn Deben existir mecanismos que pemdtan cuankar ymwiltmear mos los t)pos, voiornenes y costosde los~ d e s e g u l d a d d e l a ~ .


39/46

TablaAl. (Cmnmclbn)

L13.2.3 1R w + q l ~ idencia-, ( Control ICuando una accln e seguimiento contra unapersona u wganlzacin desp&s de un lncldentedeseguridadde la lnbrmackla Implicaacciones legales(cMles o penales), la evidmcla se debe recolectar,retener y presentar para cumplk con las regias parala wldewia estabiddas en la JurisdlcclOn

L14GES l l 6N DELACONTIMUDADDELWEGOCiOL1$1 AW-- CI la k - - a delnsgocb#@va ewitrarrectar las interrupclonesen asoctivkiades del negmlo y protegersuk procesoscrticos contra lostiectos fallas knpwtantes en los sistemas de inlormaclbn o coma desastres, y asegurar su recuperaclcin1h.li.1.1 lincluslbn de la seguridad 1Como! , , 1

de la inlorrnactm- en el . -proceso de gestm de la Se debe desarrollar y rna- un proceso decontinuidaddel iiegocio gestldn para la continuidad del n e g m en t d a laorganlzacibn e! cual trate bs requisitosde segurldadde la irmmaclbn necesarios para la cominuldad del1 ) rw&o de laoi?qanizaclbn.u I4.14.1.2 1 continuidad del negocb 1 Cwwoll waluacldn de riesgos IDesatrdio elrnplementacidn deplanes de m lnu i dadque incluyen la seguridadde a infomiacl~

Estructura para laplardflcaciCa de bconUnuldaddelnegocro

y reevaluactbn de losplanesde continuidad del

ocasroMr Intenupcionesen os procesosdel negociojunto con la probabilidad y el impacto de dichasinterrupclones, ast como sus consecuencias para la-dad de b infamacin.ControlSe deben Uesarrollar e lmptementar planes paramantener o v a r as operaciones y asegumr laUiyionlbiHdad de la infamiacin en el grado y laescala de tiempo requeridos, despu& de la ,h-itemipdno la falla de os procesos altrcos para el

Se debe mantener una cola esbuctura de los planesde cor~irwideid elnegodo, para asegurar que iodoslos planes son condstemes, y mslderar losrequlcltnsde a segurkiadde la irif0m7aclbn cte fwmamlstente, as1m densificar las prior&&s parapruebasy rnantenimlentoControtLos planes de continuidad del rmgoclo se debensomaer a pniebas y misiones perldkas paraa-ar suackmlzaelbny su eftcPida. - ,


40/46


41/46


42/46

ANEXO B(1nformativo)I PRlNCIPIOS DELA OCDE Y DE ESTA NORMAprincipios presentados en la Directrices de la OCDE para la Seguridad de Sistemas yde lnformacibn se apllcan a todos los niveles de polftica y operaciwiales que controlanad de los sistemas y redes de informacin. Esta norma imernacionai brinda unadel sistema de gestin de la seguridad de la informacin para implementar algunosipios de la OCDE usando el modelo PHVA y los procesos descritos en los numerales 4, 5,,como se indica en la Tabla 6.1.fr Tabla B.1. Pmipbsd i aOCOE y el modeloPHVA

Pr de SGSl eorrsspondbm y fawa HVAEsta actividad es parte de la fa* Hacer ( v e m e losnumerales4.2.2 y 5.2.2)ipantes deben estar conscientes de lade segurldad de los slstemasy redes de lan y de lo que pueden hacer para mejorar la

I e s p a n iM IWadTodw los prtktpantes son responsables p a-dad de losslctemas y redes de Infamacin.clpeims deberlan actuar de una manera

llos participantes deberlan realizar valoraciones de

Esta actividad e5 parte de la fase Hacer (vanse losnwnwates 4.2.2 y 5.1)

Esta es en parte una actividad de seguimiento de la faseV ~ B Tveanse los numerales 4.2.3 y 6 a 7.3 y unaamldad de respuesta de la fase bar ( ~ a n s eosnumerales 4.2.4 y 8.1 s 8.3). Esto tarnblm se puede cuklrpor aQunos aspectos de las fases mni f iw y Verlkar.Esta actividad es parte de la fase flanifmr (vease elnumeral 4.2.1) y la rewaluaclbn del rlesgo es parte de lafase Verificar (&ame los nurneales 4.2.3 y 6 7.3).

rtlclpantes deberran adoptar unenfoque amplloa gestlbn de la seguridad.

partklpantes deberlan rwlsar y reevaluar la

FT'Implen#ntleldn de Ir regurid.dS deberan incwporar la seguridadun alemento esenctal de los slsternas y redesabndoI8-f-

Mad de los sistemas y redes de InFmnacif?,yer las mdificaclones apropiadas a las polltlcas,

Una vez que se ha reallzodo la evaluacinde los riesgos, seseleccionan conwoles para el tratamiento de los riesgoscomo pane cie la fase RaniWar (vgace el numeral 4.2.1). Lafase Hacer (veanse los numerales 4.2.2 y 5.2) cubre laImplementaclony el usa operachal de estos m o l e s .La gestibn de riesgos es un proceso que incluye lap;evencion, deteccidn y respuesta a incidenies,

Wcticas, medidas y procedimientos de seguridad.

mantenimiento, auditorlas y reviskkicontinuos. Todos estoraspectos estan cobijados en las fases de Phnlficar,Hacer,VwiRary Actuar.La reevaluacldn de la seguridad de la InfwmaclOn es unapnede la fase V&kx(v~ance osnumerales4.2.3 y 6 a 7.3),en donde se deberlan realirar revtdmm regulares panvwMcar la dicada delsktema de gestin de la seguridad de kinomiackin; y la mejora de la seguridad es parte de fa facfAc~iarv&mse!osw a i e s .2.4 y 8.1a 8.3).


43/46

MoRmA TCMA COL-ANA NTC-ISOnEC27001ANEXOC

. -- . ., . . .. .. (Informativo) . . .. .- --CORRESPONDENCfAEMTRELAm - [ S O 9001:2800, lA NTC-ISO14001:2W4,Y LA PRESEMTENORMA

presentemxma intsmacional.

0.1 Generalidades0.2 Enfaquebasadoen p e s o s 0.2 Enfoquebasadoen procesos

0.3 Relacibnc m a norma Im9004

1.1 Generalidades 1.1 Generaldades

, . . . -4.1 Requisitosgenwaks 4.1 Requlsltosgenerales

. -y -+. ... .-

. + j - ;

:. , . : .. I .. + 1 . . . * -... .

,, . - . . ~ ' - x w ~ - % ~ . ~ . . . . . - .- . - * - - , . - ,. -


44/46

N l G S U E C 2 ~

.2.1Gemralkhks

4.3.2 Conaddedoewfientos 4.2.3 Cwitroi iosdowmmms

Isode la dlreccbn 5.1 h p m m b e b dlreccln5.2 Eritoqueai clieme5.3 PdWcede la calWd 4.2 PolW arn-l

4.3 b n i k a c l a nWlbdad, autoridad y

5.2.1 Prwisbn de rensos 6.1Prov l s h de recursos6.2 Recusas hwnami~

6.3 Infraeskructwa

7.1GmmMades 5.6.1hmakiades5.6.2 I n f o m i dpera le rdcibn

35


45/46

-A T~CMGAC O L ~ M A N A N TC - t w ~ c7001,',,VI& :- BIBLIOGRAF~A

., ' : . P * , ,, : 1 I111 NTC-tSO9001 2000, Sistemasde gestinde la calidad. Requisitos.[21 NTC-ISO14001M04.Sistemasdegestidnambiental. Requisitosm rientacidn parasu usa,[3] NTC-ISO19011 2002,Directrices para la auditwia de los sistemas de gestinde la calidad

36 Requlsrtos generales para organismos que realizan evaluacidn ycaciddregistro de sistemas de calidad. (ISOIIEC Guide 62)NTC 5411-1Tecmiogra de a informacibn.T-nicos de seguridad,Gestionde la segffidad dela tecndogla de la informaciony las comunicaciones, Parte 1: Conceptos y rmdelos para lagesn de latecmiograde la informackny las comunicaciones( ISOllEC 13335-1 2004).

[6] ISOIIEC TR 13335-3:1998, lnformation Technology, Guidelines for the Management ofIT Security. Part 3: Technlques fw the Management of IT Security.171 ISOIIEC TR 13335-4:2000, lnformation Technology. Guidellnes for the Management ofIT Security. Part 4: Seiectionof Safeguards.[8] ISOllEC TR 18044:2004, lnforrnation Technology. Security Techniques. lnformationSecurity lncidentManagement.191 ISOAECGuide 73:2002,RiskManagement.Vocabulary.Guidelinesfor use in Standards.

Otras publicac~ones- OECD. Guidelines for the Security of lnforrnation Systems and Networks. Twards aCukureof Security,Paris: OECD, July 2002. www.oecd.org.[2 ] NlST SP800-30, Risk Management Guide for lnformationTechnology Systems.

.,Out of the Crisis, Cambridge, Mass:MIT, Center for Advanced Engineerig

- *


46/46

NORMA TeCNlCA COLOMBIANADOCUMENTODE REFERENCIA

INTERNATIONAL ORGANIZAT1ON FOR STANDARDIZATION. InforrnationTechnolqy. SecurityTechniques. lnfwmatbn Security Management Systems. Requirements. Geneva, !SO. p 34(ISOIIEC 27001 : 2005)

iso-iec ntc 27001 spanish resaltdo

Documents