ntp iso/iec 27001

7/31/2019 NTP ISO/IEC 27001

1/57

NORMA TCNICA NTP-ISO/IEC 27001PERUANA 2008

Comisin de Normalizacin y de Fiscalizacin de Barreras Comerciales No Arancelarias - INDECOPICalle De La Prosa 138, San Borja (Lima 41) Apartado 145 Lima, Per

EDI. Tecnologa de la informacin. Tcnicas de seguridad.Sistemas de gestin de seguridad de la informacin.Requisitos

EDI. Information technology. Security techniques. Information security management systems. Requirements

(EQV. ISO/IEC 27001:2005 Information technology -- Security techniques -- Information securitymanagement systems Requirements)

2008-12-121 Edicin

R.0042-2008/INDECOPI-CNB. Publicada el 2009-01-11 Precio basado en 49 pginasI.C.S: 35.040 ESTA NORMA ES RECOMENDABLE

Descriptores: Administracin de seguridad de la informacin, informacin.

PROHIBIDA LA REPRODUCCIN TOTAL O PARCIAL

7/31/2019 NTP ISO/IEC 27001

2/57

i

NDICE

pgina

NDICE i

PREFACIO ii

INTRODUCCIN iv

1. ALCANCE 1

2. REFERENCIAS NORMATIVAS 2

3. TRMINOS Y DEFINICIONES 3

4. SISTEMA DE GESTIN DE SEGURIDAD DE LA INFORMACIN 5

5. RESPONSABILIDAD DE LA GERENCIA 14

6. AUDITORAS INTERNAS DEL ISMS 16

7. REVISIN GERENCIAL DEL ISMS 17

8. MEJORA DEL ISMS 19

9. ANTECEDENTES 21

ANEXO

ANEXO A 22ANEXO B 43ANEXO C 45

BIBLIOGRAFA 49


7/31/2019 NTP ISO/IEC 27001

3/57

ii

PREFACIO

A. RESEA HISTRICA

A.1 La presente Norma Tcnica Peruana ha sido elaborada por el ComitTcnico Permanente de Codificacin e Intercambio Electrnico de Datos (EDI),mediante el Sistema 1 o Adopcin, durante los meses de mayo a octubre del 2008,utilizando como antecedente la ISO/IEC 27001:2005 Information technology Securitytechniques Information security management systems Requirements.

A.2 El Comit Tcnico de Normalizacin de Codificacin e IntercambioElectrnico de Datos EDI present a la Comisin de Normalizacin y de Fiscalizacinde Barreras Comerciales No Arancelarias -CNB-, con fecha 2008-10-22, el PNTP-ISO/IEC 27001:2008, para su revisin y aprobacin, siendo sometido a la etapa deDiscusin Pblica el 2008-11-13. No habindose presentado observaciones fueoficializado como Norma Tcnica Peruana PNTP-ISO/IEC 27001:2008 EDI.Tecnologa de la informacin. Tcnicas de seguridad. Sistemas de gestin de seguridadde la informacin. Requisitos, 1 Edicin, el 11 de enero de 2009.

A.3 Esta Norma Tcnica Peruana reemplaza a la NTP 821.101:2005 EDI.Sistemas de gestin de seguridad de la informacin. Especificaciones con gua de uso yes una adopcin de la ISO/IEC 27001:2005. La presente Norma Tcnica Peruana

presenta cambios editoriales referidos principalmente a terminologa empleada propiadel idioma espaol y ha sido estructurada de acuerdo a las Guas Peruanas GP 001:1995y GP 002:1995.

B. INSTITUCIONES QUE PARTICIPARON EN LA ELABORACINDE LA NORMA TCNICA PERUANA

Secretara EAN PERU

Presidente Marcos Surez

Secretaria Mary Wong


7/31/2019 NTP ISO/IEC 27001

4/57

iii

ENTIDAD REPRESENTANTE

DISTRIBUIDORA MAYORISTA SYMBOL S.A. Deyanira VillanuevaWalter Equizabel

DROKASA PERU S.A. Juan Cruz Valdez

E. WONG S.A. Marcela AparicioRolando Bartra

FOLIUM S.A.C. Roberto Huby

IBC SOLUTIONS PERU S.A.C. Oscar VelasquezDaniella Orellana

ITS CONSULTANTS S.A.C. Ricardo Dioses

OFICINA DE NORMALIZACION PREVISIONAL Roberto Puy

PONT. UNIV. CATOLICA DEL PERU Viktor KhlebnikovWilly Carrera

PRESIDENCIA DEL CONSEJO Max LazaroDE MINISTROS Cesar Vilchez

PROCTER & GAMBLE DEL PERU S.A. Javier Kameya

SUPERINTENDENCIA DE ADMINISTRACION Daniel LlanosTRIBUTARIA - SUNAT

TECNOLOGA FLEXOGRAFICA S.A. Luis Chvez Saavedra

TCI S.A. Renzo Alcntara

UNILEVER ANDINA PERU S.A. Rolando Rivadeneira

GS1 PERU Milagros DvilaTatiana Pea


7/31/2019 NTP ISO/IEC 27001

5/57

iv

INTRODUCCIN

0.1 Aspectos generales

Esta Norma Tcnica Peruana de Seguridad de la Informacin ha sido preparada con elfin de ofrecer un modelo para establecer, implementar, operar, monitorear, mantener ymejorar un efectivo Sistema de Gestin de Seguridad de la Informacin ISMS, por sussiglas en Ingls (Information Security Management System). La adopcin de un ISMSdebe ser una decisin estratgica para una organizacin. El diseo e implementacin delISMS de una organizacin est influenciado por las necesidades y objetivos del negocio,requisitos de seguridad, procesos, tamao y estructura de la organizacin. Se espera questos y sus sistemas de soporte cambien a lo largo del tiempo, as como que las

situaciones simples requieran soluciones ISMS simples.

Esta Norma Tcnica Peruana puede usarse en el mbito interno y externo de lasorganizaciones.

0.2 Enfoque de proceso

Esta Norma Tcnica Peruana promueve la adopcin de un enfoque del proceso para

establecer, implementar, operar, monitorear, mantener y mejorar la efectividad de unISMS en la organizacin.

Una organizacin debe identificar y administrar varias actividades con el fin defuncionar efectivamente. Cualquier actividad que administre y use recursos para lograrla transformacin de entradas en salidas, puede ser considerado un proceso. Confrecuencia la salida de un proceso se convierte en la entrada del proceso siguiente.

La aplicacin de un sistema de procesos dentro de una organizacin, junto con laidentificacin e interacciones de estos procesos y su administracin se define como unenfoque de proceso.

El enfoque de proceso alienta a sus usuarios a enfatizar la importancia de:

a) entender los requisitos de seguridad de informacin de negocios y lanecesidad de establecer polticas y objetivos para la seguridad de la informacin;


7/31/2019 NTP ISO/IEC 27001

6/57

v

b) implementar y operar controles en el contexto de administrar el riesgototal del negocio de una organizacin;

c) monitorear y revisar el desempeo y efectividad del ISMS; y

d) mejoramiento continuo basado en la medicin de objetivos.

El modelo conocido como Planear-Hacer-Verificar-Actuar - PDCA (Plan-Do-Check-Act), por sus siglas en ingls, puede aplicarse a todos los procesos ISMS. La Figura 1ilustra cmo un ISMS toma como entrada los requisitos y expectativas de seguridad dela informacin de las partes interesadas y a travs de las acciones y procesos necesariosgenera productos de seguridad de la informacin (es decir: gestin de la seguridad de lainformacin) que cumple estos requisitos y expectativas. La Figura 1 tambin ilustra los

enlaces en los procesos presentados en los captulos 4, 5, 6, 7 y 8.

La adopcin del modelo PDCA tambin reflejar los principios como se establecieronen la pautas de OECD (2002)1 para la gobernabilidad de los sistemas y redes de laseguridad de informacin. Esta Norma Tcnica Peruana provee un modelo paraimplementar los principios en las pautas que gobiernan la evaluacin del riesgo, eldiseo e implementacin de la seguridad, la gestin de seguridad y la reevaluacin.

EJEMPLO 1

Un requisito pudiera ser aquel que las brechas en la seguridad de la informacin nocausen serios daos financieros y/o daen la imagen de la organizacin.

EJEMPLO 2

Una expectativa podra ser que si ocurriera un incidente serio que afecte el web sitedel negocio de una organizacin debe existir personal capacitado en procedimientosadecuados para minimizar el impacto.

1

OECD Gua para la seguridad de los Sistemas de Informacin y Redes Hacia una cultura de seguridad.Paris: OECD, Julio 2002. www.oecd.org


7/31/2019 NTP ISO/IEC 27001

7/57

vi

PartesInteresadas

PartesInteresadas

Requisito yexpectativas de

seguridad deinformacin

Planear

Establecer elISMS

HacerImplementary Operar el

ISMS

Ciclo dedesarrollo,

mantenimientoy mejora

Mantener ymejorar el

ISMSActuar

Monitoreary revisar elISMS

Verificar

Gestin de laSeguridad de la

Informacin

FIGURA 1 Modelo PDCA aplicado al proceso ISMS

Planear (establecer elISMS)

Establecer las polticas, objetivos, procesos y procedimientosde seguridad relevantes para administrar el riesgo y mejorar la

seguridad de la informacin para obtener resultados deacuerdo con las polticas y objetivos de la organizacin.Hacer (implementar yoperar el ISMS)

Implementar y operar las polticas, controles, procesos yprocedimientos de seguridad.

Verificar (monitoreary revisar el ISMS)

Monitorear y evaluar el funcionamiento de los procesos conrespecto a las polticas, objetivos y experiencia prctica deseguridad, informando sobre los resultados obtenidos a lagerencia para su revisin.

Actuar (mantener ymejorar el ISMS)

Tomar acciones correctivas y preventivas basndose en losresultados de la revisin gerencial para alcanzar la mejoracontinua del ISMS.


7/31/2019 NTP ISO/IEC 27001

8/57

vii

0.3 Compatibilidad con otros sistemas de gestin

Esta Norma Tcnica Peruana est alineada con la ISO 9001:2000 y la ISO 14001:2004

con el fin de respaldar una implementacin y operacin consistente e integrada con lasnormas de gestin afines. Un sistema de gestin convenientemente diseado puedesatisfacer as los requisitos de todos estos estndares. Tabla C.1, ilustra la relacin entrelos captulos de esta norma, ISO 9001:2000 y la ISO 14001:2004.

Esta Norma Tcnica Peruana est diseada para hacer posible que una organizacin sealinee o integre su ISMS con los requisitos de los sistemas de gestin relacionados.

---oooOooo---


7/31/2019 NTP ISO/IEC 27001

9/57

NORMA TCNICA NTP-ISO/IEC 27001PERUANA 1 de 49

EDI. Tecnologa de la informacin. Tcnicas de seguridad.Sistemas de gestin de seguridad de la informacin.Requisitos

IMPORTANTE: Esta Norma Tcnica Peruana no pretende incluir todos los trminos necesarios para uncontrato. Los usuarios son responsables de su correcta aplicacin. Cumplir con una norma no confiere en s

mismo inmunidad de las obligaciones legales.

1. ALCANCE


Esta Norma Tcnica Peruana cubre todo los tipos de organizaciones (como por ejemplo:empresas comerciales, agencias de gobierno y organizaciones sin fines de lucro). Esta NTPespecifica los requisitos para establecer, implementar, operar, monitorear, revisar, mantenery mejorar un ISMS documentado dentro del contexto de los riesgos de negocio de laorganizacin. Especifica los requisitos para implementar los controles de seguridadadaptado a las necesidades individuales de las organizaciones o partes de las mismas.

El ISMS est diseado para garantizar y proporcionar controles de seguridad adecuadosque protejan los activos de informacin, brindando confianza a las partes interesadas.

NOTA 1: Las referencias de negocio en esta Norma Tcnica Peruana deben ser interpretadasampliamente para representar las actividades que son base para los propsitos de la existencia de laorganizacin.

NOTA 2: La ISO/IEC 17799 provee pautas de implementacin que pueden ser utilizadas cuando sedesignen controles.


7/31/2019 NTP ISO/IEC 27001

10/57


1.2 Aplicacin

Los requisitos establecidos en esta NTP son generales y tienen la intencin de aplicarse atodas las organizaciones, sin tomar en cuenta el tipo, tamao y naturaleza del negocio.Cuando una organizacin reclama conformidad con esta norma, no es aceptable excluircualquiera de los requisitos especificados en los captulos 4, 5, 6, 7 y 8.

Cualquier exclusin de los controles necesarios para satisfacer el criterio de aceptacin delos riesgos necesarios, debe justificarse y las necesidades de evidencias que debe ofrecerseen cuanto a que las personas responsables han aceptado adecuadamente los riesgosasociados. Cuando se realiza exclusiones de controles, los reclamos de conformidad de esta

NTP no son aceptables a menos que esas exclusiones no afecten la capacidad y/oresponsabilidad de la organizacin para ofrecer seguridad de la informacin que cumple losrequisitos de seguridad establecidos por la evaluacin de riesgo y requisitos reglamentariosaplicables.

NOTA: Si una organizacin ya posee un sistema operativo de gestin de procesos de negocio (por

ejemplo en relacin con la ISO 9001 o ISO 14001), es preferible, en la mayora de los casos, satisfacerlos requisitos de esta NTP dentro de los sistemas de gestin existentes.

2. REFERENCIAS NORMATIVAS

Las siguientes normas contienen disposiciones que al ser citadas en este texto, constituyenrequisitos de esta Norma Tcnica Peruana. Las ediciones indicadas estaban en vigencia enel momento de esta publicacin. Como toda Norma est sujeta a revisin, se recomienda a

aquellos que realicen acuerdos en base a ellas, que analicen la conveniencia de usar lasediciones recientes de las normas citadas seguidamente. El Organismo Peruano de

Normalizacin posee la informacin de las Normas Tcnicas Peruanas en vigencia en todomomento.


7/31/2019 NTP ISO/IEC 27001

11/57


2.1 Normas Tcnicas Internacionales

2.1.1 ISO/IEC 17799:2005 Information technology Security techniques -Code of practice for information securitymanagement

3. TRMINOS Y DEFINICIONES

Para los fines de esta Norma Tcnica Peruana, se aplican los siguientes trminos ydefiniciones:

3.1 activo: Algo que presenta valor para la organizacin.[ISO/IEC 13335-1:2004]

3.2 disponibilidad: Garantizar que los usuarios autorizados tengan acceso a lainformacin y activos asociados cuando sea necesario.[ISO/IEC 13335-1:2004]

3.3 confidencialidad: Garantizar que la informacin sea accesible nicamentepara quienes tengan acceso autorizado.[ISO/IEC 13335-1:2004]

3.4 seguridad de la informacin: Preservar la confidencialidad, integridad ydisponibilidad de la informacin; adems, tambin pueden ser involucradas otrascaractersticas como la autenticacin, responsabilidad, no-repudio y fiabilidad.[ISO/IEC 17799:2005]

3.5 evento de la seguridad de la informacin: Ocurrencia identificada en unsistema, servicio o red indicando una posible brecha de la poltica de seguridad de lainformacin o falla de las salvaguardas o una situacin desconocida previa que puede serrelevante.[ISO/IEC TR 18044:2004]


7/31/2019 NTP ISO/IEC 27001

12/57


3.6 incidente de la seguridad de la informacin: Una serie de eventos nodeseados que tienen una probabilidad significativa de comprometer operaciones delnegocio y amenazar la seguridad de la informacin.[ISO/IEC TR 18044:2004]

3.7 sistema de gestin de seguridad de la informacin ISMS: Es la partedel sistema integral de gestin, basado en un enfoque del riesgo del negocio paraestablecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de lainformacin.

NOTA: El sistema de gestin incluye la estructura organizacional, polticas, actividades deplanificacin, responsabilidades, prcticas, procedimientos, procesos y recursos.

3.8 integridad: Salvaguardar la exactitud e integridad de la informacin yactivos asociados.[ISO/IEC TR 13335-1:2004]

3.9 riesgo residual: Riesgo remanente despus de un tratamiento del riesgo.[ISO/IEC Guide 73:2002]

3.10 aceptacin del riesgo: Decisin de aceptar el riesgo.[ISO/IEC Guide 73:2002]

3.11 anlisis del riesgo: Uso sistemtico de informacin para identificaramenazas y estimar el riesgo.

[ISO/IEC Guide 73:2002]

3.12 estimacin del riesgo: Proceso total de anlisis y evaluacin del riesgo.[ISO/IEC Guide 73:2002]

3.13 evaluacin del riesgo: Proceso de comparacin del riesgo estimado frenteal criterio de riesgo para determinar el significado del riesgo.[ISO/IEC Guide 73:2002]


7/31/2019 NTP ISO/IEC 27001

13/57


3.14 gestin del riesgo: Actividades coordinadas para dirigir y controlar el riesgoen una organizacin.[ISO/IEC Guide 73:2002]

3.15 tratamiento del riesgo: Proceso de seleccin e implementacin decontroles para minimizar el riesgo.[ISO/IEC Guide 73:2002]

3.16 declaracin de aplicabilidad: Documento que describe los objetivos decontrol y los controles que son relevantes y aplicables al ISMS de la organizacin.

NOTA: los objetivos y controles estn basados en los resultados y conclusiones de los procesos deevaluacin del riesgo y tratamiento del riesgo, requisitos legales o regulatorios, obligacionescontractuales y los requisitos de negocio de la informacin de seguridad de la organizacin.

4. SISTEMA DE GESTIN DE SEGURIDAD DE LA INFORMACIN

4.1 Requisitos generales

La organizacin desarrollar, implementar, operar, monitorear, revisar, mantendr ycontinuar la mejora de un ISMS documentado dentro del contexto de las actividades yriesgos totales de la organizacin. Para los fines de esta NTP, el proceso usado se basa enel modelo PDCA mostrado en la Figura 1.


7/31/2019 NTP ISO/IEC 27001

14/57


4.2 Establecimiento y administracin del ISMS

4.2.1 Establecimiento del ISMS

La organizacin realizar lo siguiente:

a) Definir el alcance y lmites del ISMSen trminos de las caractersticas delnegocio, la organizacin, su localizacin, activos y tecnologa e incluyendo detallesy justificaciones para cualquier exclusin del alcance (vase 1.2).

b) Definir una poltica ISMS en trminos de las caractersticas del negocio, laorganizacin, su localizacin, activos y tecnologa que:

1) incluye un marco para establecer sus objetivos y establece un sentido totalde direccin y principios para accin con miras a la seguridad de la informacin;2) considera requisitos de negocios, legales o regulatorios y obligaciones deseguridad contractual;

3) establece el contexto estratgico organizacional y la gestin del riesgo en elcual tiene lugar el establecimiento y mantenimiento del ISMS;4) establece criterios frente a los cuales se evaluar el riesgo y se definir laestructura de evaluacin del riesgo [vase 4.2.1c)];5) ha sido aprobado por la gerencia.

NOTA: Para propsitos de esta Norma Tcnica Peruana, la poltica de ISMS es considerada como unconjunto de la poltica de la seguridad de informacin. Estas polticas pueden ser descritas en otrodocumento.

c) Definir un enfoque sistemtico para la evaluacin del riesgo en la

organizacin.

1) Identificar una metodologa de evaluacin del riesgo que se adecue al ISMSy a requisitos legales y regulatorios de la informacin de seguridad del negocioidentificada.2) Determinar criterios para aceptar e identificar los niveles aceptables delriesgo [vase 5.1f].

La metodologa de evaluacin de riesgos seleccionada debe asegurar que laevaluacin de riesgos produzca resultados comparables y reproducibles.


7/31/2019 NTP ISO/IEC 27001

15/57


NOTA: Existen diferentes metodologas para una evaluacin de riesgos. Los ejemplos demetodologas de evaluacin de riesgos son discutidas en la ISO/IEC TR 13335-3.

d) Identificar los riesgos.

1) Identificar los activos dentro del alcance del ISMS y los propietarios2 deestos activos.2) Identificar las amenazas a esos activos.3) Identificar las vulnerabilidades que podran explotarse mediante estasamenazas.

4) Identificar los impactos de prdidas de confidencialidad, integridad ydisponibilidad sobre los activos.

e) Analizar y Evaluar los riesgos.

1) Evaluar los daos comerciales que podran resultar de una falla deseguridad, considerando las consecuencias potenciales de una prdida deconfidencialidad, integridad o disponibilidad de los activos.2) Evaluar las posibilidades de falla de seguridad, teniendo en cuenta lasamenazas, vulnerabilidades e impactos asociados con estos activos y los controles

implementados actualmente.3) Estimar los niveles de los riesgos.4) Determinar si el riesgo es aceptable o requiere tratamiento usando el criterioestablecido en 4.2.1c)2).

f) Identificar y evaluar opciones para el tratamiento del riesgo.

Las posibles acciones incluyen:

1) aplicar los controles apropiados;2) aceptar riesgos conciente y objetivamente, siempre y cuando satisfagan

claramente la poltica de la organizacin y el criterio para la aceptacin del riesgo[vase 4.2.1c)2)];3) evitar riesgos; y4) transferir los riesgos de negocio asociados a otras partes, por ejemplo:aseguradores, proveedores.

g) Seleccionar objetivos de control y controles para el tratamiento del riesgo.

2 El termino propietario identifica a un individuo o entidad que aprueba la responsabilidad por la gestin

por controlar la produccin, desarrollo, mantenimiento, uso y seguridad de los activos. El trminopropietario no significa que la persona tiene algn derecho de propiedad realmente sobre el activo.


7/31/2019 NTP ISO/IEC 27001

16/57


Se seleccionar los objetivos de control y controles adecuados y se justificar en basea las conclusiones de la evaluacin y proceso de tratamiento de riesgo. Esta seleccindebe tomar en cuenta el criterio para aceptacin de riesgos [vase 4.2.1c)2)] as comolos requisitos legales, regulatorios y contractuales.

Los objetivos de control y controles del Anexo A deben ser seleccionados como partedel proceso as como adecuados para cubrir los requisitos identificados.

Los objetivos de control y los controles que figuran en el Anexo A no sonexhaustivos y tambin puede seleccionarse objetivos de control y controlesadicionales.

NOTA: El Anexo A contiene una lista comprensible de objetivos de control que han sido encontradoscomo relevantes para las organizaciones. Los usuarios de esta NTP son dirigidos a este Anexo A comoun punto de partida para la seleccin de controles con el fin de asegurar que no se hayan obviadoopciones de control importantes.

h) Obtener aprobacin por parte de la gerencia sobre los riesgos residualespropuestos.

i) Obtener autorizacin por parte de la gerencia para implementar y operar el

ISMS.

j) Prepara una declaracin de aplicabilidad.

Una declaracin de aplicabilidad debe ser preparada y debe incluir lo siguiente:

1) los objetivos de control y los controles seleccionados en 4.2.1g) y lasrazones para su seleccin;2) los objetivos de control y los controles implementados actualmente [vase4.2.1e)2)]; y

3) se registrar la exclusin de cualquier objetivo de control y controles quefiguran en el Anexo A as como su justificacin.

NOTA: La declaracin de aplicabilidad provee un resumen de decisiones concernientes a laevaluacin de riesgos. Las exclusiones justificadas proveen una verificacin cruzada de que ningncontrol se ha omitido inadvertidamente.


7/31/2019 NTP ISO/IEC 27001

17/57


4.2.2 Implementar y operar el ISMS

La organizacin debe hacer lo siguiente:

a) Formular un plan de tratamiento de riesgos que identifique la accinadministrativa adecuada, recursos, responsabilidades y prioridades para manejar losriesgos de seguridad de la informacin (vase el apartado 5).

b) Implementar el plan de tratamiento de riesgos con el fin de alcanzar losobjetivos de control identificados, que incluyen la consideracin de financiamiento yasignacin de roles y responsabilidades.

c) Implementar los controles seleccionados en 4.2.1g) para cumplir con losobjetivos de control.

d) Definir como medir la efectividad de los controles o grupos de controlseleccionados y especificar como estas medidas sern utilizadas para alcanzar laefectividad en el control con el fin de producir resultados comparables y

reproducibles [vase 4.2.3c)].

NOTA: Medir la efectividad de los controles permite a los gerentes y al personal determinar que tanbien los controles logran los objetivos de control planeados.

e) Implementar programas de capacitacin y concientizacin (vase 5.2.2).

f) Administrar las operaciones del ISMS.

g) Administrar los recursos para el ISMS (vase 5.2)

h) Implementar procedimientos y otros controles capaces de hacer posible lainmediata deteccin y respuesta a los incidentes de seguridad (vase 4.2.3a)).


7/31/2019 NTP ISO/IEC 27001

18/57


4.2.3 Monitorear y revisar el ISMS

La organizacin debe hacer lo siguiente:

a) Ejecutar procedimientos de monitoreo y otros controles para:

1) detectar inmediatamente errores en los resultados de procesamiento;2) identificar inmediatamente brechas de seguridad e incidentes;3) hacer posible que la gerencia determine si las actividades de seguridaddelegadas a personas o implementadas mediante el rea de tecnologa de lainformacin se realizan de acuerdo a lo planeado;4) ayudar a detectar eventos de seguridad y desde ah prevenir los incidentes deseguridad mediante el uso de indicadores; y5) determinar si las acciones realizadas para resolver una violacin deseguridad fueron efectivas.

b) Emprender revisiones regulares de la efectividad del ISMS (incluyendocumplir con la poltica de seguridad, objetivos y revisar los controles de seguridad)

considerando los resultados de auditoras de seguridad, incidentes, sugerencias yretroalimentacin de todas las partes interesadas.

c) Medir la efectividad de los controles para verificar que se tomaron en cuentalos requisitos de seguridad.

d) Revisar la evaluacin de riesgos en intervalos planificados y revisar el niveldel riesgo residual y riesgo aceptable, tomando en cuenta los cambios a:

1) la organizacin;2) la tecnologa;3) los objetivos y procesos del negocio;4) amenazas identificadas;5) efectividad de los controles implementados; y6) eventos externos, tales como cambios en el ambiente legal o regulatorio,cambios en obligaciones contractuales y en el clima social;


7/31/2019 NTP ISO/IEC 27001

19/57


e) Realizar auditoras internas de ISMS en intervalos planificados (vase elcaptulo 6).

NOTA: Las auditoras internas son conducidas por, o a favor de, la misma organizacin, parapropsitos internos.

f) Emprender un revisin administrativa del ISMS en una base para garantizarque el alcance siga siendo el adecuado y las mejoras al proceso ISMS seanidentificadas (Vase 7.1).

g) Actualizar los planes de seguridad para tomar en cuenta los resultadosencontrados del monitoreo y revisin de las actividades.

h) Registrar acciones y eventos que podran tener un impacto en la efectividado funcionamiento del ISMS (vase 4.3.3).

4.2.4 Mantener y mejorar el ISMS

La organizacin debe regularmente hacer lo siguiente:

a) Implementar en el ISMS las mejoras identificadas.

b) Tomar las acciones correctivas y preventivas adecuadas en conformidad con8.2 y 8.3. Aplicar las lecciones aprendidas de las experiencias de seguridad de otrasorganizaciones y las de la misma organizacin.

c) Comunicar las acciones y resultados a todas las partes interesadas con unnivel de detalle apropiado a las circunstancias y cuando sea relevante, acordar la

forma de cmo proceder.

d) Garantizar que las mejoras alcancen sus objetivos planificados.


7/31/2019 NTP ISO/IEC 27001

20/57


4.3 Requisitos de documentacin

4.3.1 Aspectos generales

La documentacin debe incluir registros de la decisiones gerenciales, asegurar que lasacciones sean trazables a estas decisiones y a las polticas y asegurar que los resultadosgrabados son reproducibles.

Es importante ser capaz de demostrar la relacin de los controles seleccionados con losresultados de la evaluacin de riesgos y el proceso de tratamiento de riesgos as comosubsecuentemente a las polticas y objetivos de ISMS.

La documentacin del ISMS deber incluir lo siguiente:

a) Declaraciones documentadas de la poltica de seguridad (vase 4.2.1b)) y

objetivos;

b) el alcance del ISMS (vase 4.2.1a));

c) los procedimientos y controles que soportan el ISMS;

d) una descripcin de la metodologa de evaluacin del riesgo (vase 4.2.1c));

e) informe de evaluacin del riesgo (vase 4.2.1c) a 4.2.1g));

f) plan de tratamiento del riesgo (vase 4.2.2b));

g) procedimientos documentados necesarios en la organizacin para garantizarla planificacin efectiva, funcionamiento y control de sus procesos de seguridad de lainformacin y describir como medir la efectividad de los controles (vase 4.2.3c));

h) registros exigidos por esta NTP (vase 4.3.3); y

i) declaracin de aplicabilidad.


7/31/2019 NTP ISO/IEC 27001

21/57


NOTA 1: Cuando aparece el trmino procedimiento documentado dentro de esta norma, significaque el procedimiento est establecido, documentado, implementado y mantenido.

NOTA 2: La extensin de la documentacin del ISMS puede diferir de una organizacin a otradependiendo de:

- El tamao de la organizacin y el tipo de actividades; y- El alcance y complejidad de los requisitos de seguridad y del sistema a ser administrado.

NOTA 3: Los documentos y registros pueden tener cualquier forma y tipo de medio.

4.3.2 Control de documentos

Los documentos exigidos por el ISMS estarn protegidos y controlados. Se establecer unprocedimiento documentado para definir las acciones administrativas necesarias para:

a) aprobar documentos para su adecuacin antes de la emisin;

b) revisar y actualizar los documentos que sean necesarios y reaprobar

documentos;

c) asegurar que los cambios y el estado de la versin actual de los documentossean identificados;

d) asegurar que las versiones ms recientes de los documentos pertinentes estndisponibles en los puntos de uso;

e) asegurar que los documentos sean legibles y fcilmente identificables;

f) asegurar que los documentos se encuentren disponibles para quienes los

necesiten y sean transferidos, almacenados y dispuestos en concordancia con losprocedimientos aplicables a su clasificacin;

g) asegurar que los documentos de origen externo sean identificados;

h) asegurar que la distribucin de documentos sea controlada;

i) prevenir el uso no intencional de documentos obsoletos; y

j) aplicar la identificacin adecuada de estos si se guardan para algn

propsito.


7/31/2019 NTP ISO/IEC 27001

22/57


4.3.3 Control de registros

Se establecern y mantendrn registros para ofrecer evidencia de conformidad con losrequisitos y el funcionamiento efectivo del ISMS. Estos registros debern ser controlados.El ISMS tomar en cuenta cualquier requisito legal pertinente. Los registros deben serlegibles, fcilmente identificables y accesibles. Los controles necesarios para laidentificacin, almacenamiento, proteccin, acceso, tiempo de retencin y disposicin deregistros debern ser implementados y documentados.

Se mantendrn los registros del rendimiento del proceso como se seala en 4.2 y de todoslos incidentes de seguridad relacionados con el ISMS.

EJEMPLO:

Ejemplos de registros son los libros de visitantes, reportes de auditora y autorizacin deacceso.

5. RESPONSABILIDAD DE LA GERENCIA

5.1 Compromiso de la gerencia

La gerencia entregar evidencia de su compromiso con el establecimiento, implementacin,operacin, monitoreo, revisin, mantenimiento y mejora del ISMS mediante:

a) estableciendo una poltica del ISMS;

b) asegurando que los objetivos y planes del ISMS sean establecidos;

c) estableciendo los roles y responsabilidades para la seguridad de lainformacin;


7/31/2019 NTP ISO/IEC 27001

23/57

7/31/2019 NTP ISO/IEC 27001

24/57


5.2.2 Capacitacin, concientizacin y competencia

La organizacin deber asegurar que todo el personal al cual se le asigna responsabilidadesdefinidas en el ISMS sea competente para realizar las tareas requeridas mediante:

a) determinando las aptitudes necesarias del personal que lleva a cabo laboresvinculadas al ISMS;

b) ofreciendo capacitacin o tomando otras acciones (por ejemplo empleandopersonal idneo) para satisfacer estas necesidades;

c) evaluando la efectividad de la capacitacin ofrecida y las accionesejecutadas; y

d) manteniendo registros de educacin, capacitacin, habilidades, experiencia ycalificaciones (vase 4.3.3).

La organizacin tambin debe garantizar que todo el personal pertinente tome concienciade la relevancia e importancia de las actividades de seguridad de la informacin y cmoestas contribuyen al logro de los objetivos del ISMS.

6. AUDITORAS INTERNAS DEL ISMS

La organizacin conducir auditoras internas del ISMS a intervalos peridicos paradeterminar si los objetivos de control, controles, procesos y procedimientos identificadosde su ISMS:

a) estn conformes a los requisitos de esta NTPy legislacin o reglamentosrelevantes;

b) estn conformes con los requisitos de seguridad de la informacinidentificados;


7/31/2019 NTP ISO/IEC 27001

25/57


c) se han implementado y mantenido efectivamente; y

d) funcionan como se espera.

Un programa de auditora debe planificarse tomando en consideracin la condicin eimportancia de los procesos y reas a auditarse, as como los resultados de auditoras

previas. Deber definirse los criterios, alcance, frecuencia y mtodos de las auditoras. Laseleccin de auditores y conduccin de auditoras deben garantizar objetividad eimparcialidad en el proceso de auditora. Los auditores no deben auditar su propio trabajo.Las responsabilidades y requisitos para la planificacin y conduccin de auditoras y lainformacin de los resultados y mantenimiento de registros (vase 4.3.3) debern definirseen un procedimiento documentado.

La gerencia responsable del rea que est bajo auditora garantizar que las acciones seejecuten sin retrasos indebidos, con el fin de eliminar las no conformidades detectadas ysus causas. Las actividades de mejora incluyen la verificacin de las acciones tomadas y elreporte de los resultados de verificacin (vase captulo 8).

NOTA: ISO 19011:2002, Gua para la calidad y/o gestin de sistemas de auditora del medioambiente, pueden proveer una gua til para llevar a cabo una auditora ISMS interna.

7. REVISIN GERENCIAL DEL ISMS


La gerencia revisar el ISMS de la organizacin a intervalos planificados (al menos unavez por ao) para garantizar su idoneidad continua, adecuacin y efectividad. Esta revisindebe incluir las oportunidades de evaluacin para mejora y la necesidad de cambios alISMS incluyendo la poltica y los objetivos de seguridad de la informacin. Los resultadosde las revisiones deben documentarse claramente y se mantendrn registros sobre lasmismas (vase el apartado 4.3.3).


7/31/2019 NTP ISO/IEC 27001

26/57


7.2 Revisin: entradas

La revisin gerencial deber incluir la informacin de entrada siguiente:

a) resultados de las auditoras y revisiones del ISMS;

b) retroalimentacin de las partes interesadas;

c) tcnicas, productos o procedimientos que podran usarse en la organizacinpara mejorar el funcionamiento y efectividad del ISMS;

d) situacin de las acciones preventivas y correctivas;

e) vulnerabilidad o amenazas no atendidas adecuadamente en la evaluacinprevia del riesgo;

f) resultados de las medidas efectivas;

g) acciones de seguimiento de las revisiones gerenciales previas;

h) cualquier cambio que podra afectar el ISMS; y

i) recomendaciones para mejoras.

7.3 Revisin: salidas

La revisin gerencial incluir cualquier decisin y accin relacionada con lo siguiente:

a) Mejora de la efectividad del ISMS.

b) Actualizaciones de la evaluacin de riesgos y del plan de tratamiento deriesgo.


7/31/2019 NTP ISO/IEC 27001

27/57


c) Modificacin de los procedimientos y controles vinculados con la seguridadde la informacin, segn sea necesario para responder a los eventos internos yexternos que pueden impactar en el ISMS, incluyendo cambios a:

1) requisitos de negocio;2) requisitos de seguridad;3) procesos de negocio que afectan los requisitos de negocio existentes;4) marco regulatorio o legal;5) obligaciones contractuales; y6) niveles de riesgo y/o criterios de aceptacin de riesgos.

d) Necesidades de recursos.

e) Mejoras en como se mide la efectividad de los controles;

8. MEJORA DEL ISMS

8.1 Mejora continua

La organizacin mejorar continuamente la efectividad de los ISMS a travs del uso de lapoltica de seguridad de la informacin, objetivos de seguridad, resultados de auditoras,anlisis de eventos monitoreados, acciones correctivas y preventivas, y revisin gerencial(vase capitulo 7).

8.2 Acciones correctivas

La organizacin tomar acciones para eliminar la causa de las no conformidades asociadascon la implementacin y operacin del ISMS con el fin de prevenir recurrencias. Los

procedimientos documentados para las acciones correctivas se definirn como requisitospara:

a) identificacin de las no conformidades;

b) determinar las causas de las no conformidades;


7/31/2019 NTP ISO/IEC 27001

28/57


c) evaluar la necesidad de acciones para asegurar que las no conformidades novuelvan a producirse;

d) determinar e implementar la accin correctiva necesaria;

e) registrar los resultados de las acciones tomadas (vase 4.3.3); y

f) revisar las acciones correctivas tomadas.

8.3 Acciones preventivas

La organizacin determinar las acciones para eliminar las causas potenciales noconformidades con los requisitos de ISMS con el fin de prevenir su ocurrencia. Lasacciones preventivas debern ser adecuadas al impacto de los problemas potenciales. El

procedimiento documentado para las acciones preventivas definir los requisitos para:

a) identificar las no conformidades potenciales y sus causas;

b) evaluar la necesidad de una accin con el fin de prevenir ocurrencias de noconformidades;

c) determinar e implementar las acciones preventivas necesarias;

d) registrar los resultados de las acciones tomadas (vase 4.3.3) y

e) revisar las acciones preventivas tomadas;

La organizacin debe identificar los riesgos alterados e identificar los requisitos deacciones preventivas centrndose en aquellos significativamente alterados.

La prioridad de las acciones preventivas se determinar en base a los resultados de laevaluacin del riesgo.

NOTA: Las acciones para prevenir no conformidades con frecuencia son ms econmicas que lasacciones correctivas.


7/31/2019 NTP ISO/IEC 27001

29/57


9. ANTECEDENTES

9.1. ISO/IEC 27001:2005 Information technology Security techniques Information security management systems Requirements

9.2. NTP 821.101: 2005 EDI. Sistemas de gestin de seguridad de lainformacin Especificaciones con gua de uso


7/31/2019 NTP ISO/IEC 27001

30/57


ANEXO A(NORMATIVO)

OBJETIVOS DE CONTROL Y CONTROLES

Los objetivos de control y los controles que figuran en la tabla A.1 se derivan y alineandirectamente con los que figuran en NTP-ISO/IEC 17799:2007, captulos 5 a 15. Las listasen estas tablas no son exhaustivas y la organizacin puede considerar que son necesariosobjetivos de control y controles adicionales. Los objetivos de control y los controles deestas tablas deben seleccionarse como parte del proceso ISMS especificado en 4.2.1.

La NTP-ISO/IEC 17799:2006, captulos 5 a 15 ofrecen asesora de implementacin ypautas sobre las mejores prcticas en apoyo de los controles especificados de A.5 a A.15.

TABLA A.1 Objetivos de control y controles

A.5 Poltica de seguridad

A.5.1 Poltica de seguridad de la informacinObjetivo de control: Dirigir y dar soporte a la gestin de la seguridad de la informacin enconcordancia con los requisitos del negocio, las leyes y las regulaciones.

A.5.1.1 Documentos de polticade seguridad de lainformacin

Control

La gerencia deber aprobar, publicar y comunicar a todoslos empleados y terceras partes que lo requieran.

A.5.1.2 Revisin de la polticade seguridad deinformacin

Control

La poltica ser revisada en intervalos planificados, y encaso de cambios que la afecten, asegurar que siga siendoapropiada, conveniente y efectiva.


7/31/2019 NTP ISO/IEC 27001

31/57


A.6 Seguridad organizacional

A.6.1 Organizacin internaObjetivo de control: Gestionar la seguridad de la informacin dentro de la organizacin.A.6.1.1 Comit de Gestin de

seguridad de lainformacin

ControlLa gerencia debe respaldar activamente la seguridad dentro dela organizacin a travs de una direccin clara, uncompromiso apropiado, recursos adecuados y conocimientode responsabilidades de la seguridad de informacin.

A.6.1.2 Coordinacin de laseguridad de lainformacin

Control

Las actividades en la seguridad de informacin deben sercoordinados por representantes de diferentes partes de laorganizacin que tengan roles relevantes y funciones detrabajo.

A.6.1.3 Asignacin deresponsabilidades

sobre seguridad de lainformacin

Control

Todas las responsabilidades sobre la seguridad deinformacin deben ser claramente definidas.

A.6.1.4 Proceso deautorizacin para lasnuevas instalaciones

de procesamiento deinformacin

Control

Debe establecerse y definirse un proceso de gestin de

autorizacin para facilitar los nuevos procesamientosinformacin.A.6.1.5 Acuerdos de

confidencialidadControl

Se debe identificar y revisar regularmente los requisitos deconfidencialidad o acuerdos de no divulgacin que reflejenlas necesidades de la organizacin para la proteccin deinformacin.

A.6.1.6 Contacto conautoridades

Control

Se debe mantener contactos apropiados con las autorizacionesrelevantes.

A.6.1.7 Contacto con gruposde inters especial

Control

Se debe mantener contactos con grupos de inters especial uotros foros de especialistas en seguridad as como deasociaciones profesionales.

A.6.1.8 Revisinindependiente de

seguridad de lainformacin

ControlEl alcance de la organizacin para manejar la seguridad deinformacin, as como su implementacin (como por ejemplo:los objetivos de control, los controles, las polticas, procesos y

procedimientos) deben ser revisados independientementedurante intervalos planificados o cuando ocurran cambios

significativos en la implementacin.


7/31/2019 NTP ISO/IEC 27001

32/57


A.6.2 Seguridad del acceso a terceras partesObjetivo de control: Mantener la seguridad de las instalaciones de procesamiento de lainformacin organizacional que acceden, procesan, comunican o gestionan terceros.A.6.2.1 Identificacin de

riesgos por el accesode terceros

Control

Se evaluar los riesgos asociados con el acceso a lasinstalaciones de procesamiento de la informacinorganizacional por parte de terceros, y se implementarncontroles de seguridad adecuados antes de permitir su acceso.

A.6.2.2 Requisitos de

seguridad cuando setrata con clientes

Control

Se deben identificar todos los requisitos de seguridad antes dedar acceso a clientes a los activos o a la informacin de laorganizacin.

A.6.2.3 Requisitos deseguridad encontratos con terceros

Control

Los acuerdos que involucran el acceso, procesamiento,comunicacin o manejo de terceros de las instalaciones de

procesamiento de informacin organizacional o la adicin deproductos o servicios a dichas instalaciones deben cubrir todoslos requisitos de seguridad necesarios.

A.7 Gestin de activos

A.7.1 Responsabilidad por los activosObjetivo de control: Mantener la proteccin apropiada de los activos de la organizacin.A.7.1.1 Inventario de activos Control

Se elaborar y mantendr un inventario de todos los activosimportantes que sean claramente identificados.

A.7.1.2 Propiedad de los activos Control

Toda la informacin y los activos asociados con las

instalaciones de procesamiento de informacin deben serpropiedad3 de una parte designada de la organizacin.

A.7.1.3 Uso aceptable de losactivos

Control

Se deben de identificar, documentar e implementar lasreglas para el uso aceptable de los activos de informacinasociados con las instalaciones de procesamiento deinformacin.

3 El termino propietario identifica a un individuo o entidad que aprueba la responsabilidad por la gestin

por controlar la produccin, desarrollo, mantenimiento, uso y seguridad de los activos. El trminopropietario no significa que la persona tiene algn derecho de propiedad realmente sobre el activo.


7/31/2019 NTP ISO/IEC 27001

33/57


A.7.2 Clasificacin de la informacinObjetivo de control: Asegurar que los activos de informacin reciban un nivel de proteccinadecuado.A.7.2.1 Guas de clasificacin Control

La informacin debe ser clasificada en trminos de suvalor, requisitos legales, sensibilidad y criticidad para laorganizacin.

A.7.2.2 Etiquetado y tratamientode la informacin

Control

Se definir e implementar un conjunto de procedimientosapropiados para etiquetar y manejar informacin deconformidad con el esquema de clasificacin adoptado porla organizacin.

A.8 Seguridad en recursos humanos

A.8.1 Previo al empleo4Objetivo de control: Asegurar que los empleados, contratistas y usuarios externos entiendan susresponsabilidades y que estos sean adecuados a los roles para los cuales han sido considerados yreducir as el riesgo de estafa, fraude o mal uso de las instalaciones.

A.8.1.1Roles yresponsabilidades

Control

Se definirn y documentarn los roles de seguridad y lasresponsabilidades de los empleados, contratistas y usuariosexternos en concordancia con la poltica de seguridad de lainformacin de la organizacin.

A.8.1.2 Investigacin Control

Se debe hacer un chequeo y verificacin de informacionesanteriores de todos los candidatos para empleos,contratistas y personal externo, en concordancia con lasleyes, regulaciones y tica; y proporcional a los requisitos

del negocio, la clasificacin de la informacin a seraccedida y a los riesgos percibidos.

A.8.1.3 Trminos y condicionesde la relacin laboral

Control

Los empleados, contratistas y terceros suscribirn unacuerdo de confidencialidad como parte de los trminos ycondiciones iniciales de su empleo en donde se sealar laresponsabilidad del empleado en cuanto a la seguridad dela informacin.

4 Explicacin: la palabra empleo se utiliza aqu para cubrir las siguientes situaciones diferentes: empleo de

las personas (temporalmente o durante largo tiempo), designando roles de trabajo, cambiando roles detrabajo, asignando contratos, y la terminacin de cualquiera de estos arreglos.


7/31/2019 NTP ISO/IEC 27001

34/57


A.8.2 Durante el empleoObjetivo de control: Asegurar que todos los empleados, contratistas y usuarios externos seanconscientes de las amenazas y riesgos en el mbito de la seguridad de la informacin, y que estn

preparados para aplicar la poltica de seguridad de la organizacin en el curso de trabajo normal yreducir el riesgo de error humano.A.8.2.1 Gestin de

responsabilidadesControl

La gerencia debe requerir a los empleados, contratistas y alos usuarios externos aplicar la seguridad en concordanciacon las polticas y procedimientos de la organizacin.

A.8.2.2 Concientizacin,educacin yentrenamiento en la


ControlTodos los empleados de la organizacin y, donde searelevante, contratistas y usuarios externos deben recibiruna adecuada concientizacin, entrenamiento yactualizaciones regulares en los procesos y polticasorganizacionales, como acciones relevantes de su funcinlaboral.

A.8.2.3 Proceso disciplinario Control

Debe existir un proceso disciplinario para los empleadosque hayan cometido una violacin de seguridad.

A.8.3 Finalizacin o cambio de empleoObjetivo de control: Asegurar que los empleados, contratistas y usuarios externos dejen ocambien de organizacin de una forma ordenada.A.8.3.1 Responsabilidades de

finalizacinControl

Debe informarse sobre los incidentes de seguridad a travsde canales administrativos adecuados tan pronto como sea

posible.A.8.3.2 Devolucin de activos Control

Todos los empleados, contratistas y usuarios externos

deben realizar la devolucin de los activos de laorganizacin que estn en su posesin cuando termine suempleo, contrato o acuerdo.

A.8.3.3 Retiro de los derechosde acceso

Control

El derecho de acceso a la informacin y a las instalacionesde procesamiento de informacin, que se le otorga a losempleados, contratistas y usuarios externos, debe serremovido cuando termine su empleo, contrato o acuerdo; omodificado ante cambios.


7/31/2019 NTP ISO/IEC 27001

35/57


A.9 Seguridad fsica y del entorno

A.9.1 reas segurasObjetivo de control: Prevenir accesos no autorizados, daos e interferencias contra los locales y lainformacin de la organizacin.A.9.1.1 Seguridad fsica

perimetralControl

Las organizaciones usarn permetros de seguridad(barreras como paredes, puertas con control de entrada portarjeta o recepciones) para proteger reas que contienen

informacin e instalaciones de procesamiento deinformacin.

A.9.1.2 Controles fsicos deentradas

Control

Las reas seguras estarn protegidas mediante controles deacceso adecuados para garantizar que nicamente personalautorizado pueda ingresar.

A.9.1.3 Seguridad de oficinas,despachos y recursos

Control

Se deben designar y mantener reas seguras con el fin deproteger las oficinas, despachos e instalaciones.

A.9.1.4 Proteccin contraamenazas externas yambientales

Control

Se deben designar y mantener proteccin fsica contradaos por fuego, inundacin, terremoto, explosin,manifestacin civil y otras formas de desastre natural orealizado por el hombre.

A.9.1.5 El trabajo en las reasseguras

Control

Se debe designar y mantener proteccin fsica y pautaspara trabajar en reas seguras.

A.9.1.6 reas de carga,descarga y acceso

pblico

Control

Las reas de carga, descarga y acceso pblico y otras reasdonde las personas tengan acceso deben controlarse y,cuando sea posible, aislarse de las instalaciones de

procesamiento de informacin para evitar un acceso noautorizado.


7/31/2019 NTP ISO/IEC 27001

36/57


A.9.2 Seguridad de los equiposObjetivo de control: Prevenir prdidas, daos o comprometer los activos as como la interrupcinde las actividades de la organizacin.A.9.2.1 Ubicacin y proteccin

de equiposControlEl equipamiento ser ubicado o protegido para reducir losriesgos de amenazas, peligros ambientales y oportunidadesde acceso no autorizado.

A.9.2.2 Suministro elctrico Control

El equipamiento se proteger de fallas de energa y otrasanomalas elctricas causadas por fallo en el suministroelctrico.

A.9.2.3 Seguridad del cableado Control

Se proteger el cableado de energa y telecomunicacionesque transportan datos o respaldan servicios de informacinfrente a interceptaciones o daos.

A.9.2.4 Mantenimiento deequipos

Control

El equipamiento recibir un adecuado mantenimiento paragarantizar su continua disponibilidad e integridad.

A.9.2.5 Seguridad de equiposfuera de los locales dela organizacin

Control

Se debe aplicar seguridad al utilizar equipamiento paraprocesar informacin fuera de los locales de la organizacintomando en cuenta los diferentes riesgos en los que seincurre.

A.9.2.6 Seguridad en el re-uso

o eliminacin deequipos

Control

Todos los equipos que contienen almacenamiento de datosdeben ser revisados con el fin de asegurar que los datossensibles y los software con licencia han sido removidos osobrescritos antes de desecharlos o reutilizarlos.

A.9.2.7 Retiro de propiedad Control

Los equipos, informacin y software no deben ser retiradosfuera de la organizacin sin una autorizacin previa.


7/31/2019 NTP ISO/IEC 27001

37/57


A.10 Gestin de comunicaciones y operaciones

A.10.1 Procedimientos y responsabilidades de operacinObjetivo de control: Asegurar la operacin correcta y segura de los recursos de procesamiento deinformacin.A.10.1.1 Documentacin de

procedimientosoperativos

Control

Los procedimientos operativos debern estardocumentados, mantenidos y estar disponibles a todos losusuarios que lo requieran.

A.10.1.2 Gestin de cambios Control

Se controlarn los cambios en las instalaciones y sistemasde procesamiento de la informacin.

A.10.1.3 Segregacin de tareas Control

Se segregarn las obligaciones y las reas deresponsabilidad con el fin de reducir las oportunidades demodificaciones no autorizadas o mal uso de los activos dela organizacin.

A.10.1.4 Separacin de lasinstalaciones dedesarrollo, prueba yoperacin

Control

Se separarn las instalaciones de desarrollo, prueba yoperacin con el fin de reducir el riesgo de acceso noautorizado o cambios en el sistema operacional.

A.10.2 Gestin de entrega de servicios externosObjetivo de control: Implementar y mantener un nivel apropiado de seguridad de informacin yservicios de entrega en concordancia con los acuerdos de servicios de entrega por parte deterceros.

A.10.2.1 Entrega de servicios Control

Debemos asegurarnos que los controles de seguridad, lasdefiniciones de servicio y los niveles de entrega incluidosen el acuerdo de servicios externos sean implementados,estn operativos y sean mantenidos por el personal externo.

A.10.2.2 Monitoreo y revisin delos servicios externos

Control

Los servicios, reportes, y registros provistos por terceraspartes deben ser monitoreados y revisados regularmente.Igualmente, se deben de llevar a cabo auditoras con

regularidad.


7/31/2019 NTP ISO/IEC 27001

38/57


A.10.2.3 Gestin de cambios delos servicios externos

Control

Se debe manejar los cambios en la provisin de servicios,incluyendo el mantenimiento y mejora de la poltica deseguridad de informacin, procedimientos y controles,tomando en cuenta la criticidad de los sistemas de negocioy procesos envueltos en la reevaluacin de riesgos.

A.10.3 Planificacin y aceptacin del sistemaObjetivo de control: Minimizar el riesgo de fallas de los sistemas.

A.10.3.1 Gestin de la capacidad ControlSe monitorearn las demandas de capacidad y se harn las

proyecciones de futuros requisitos de capacidad paraasegurar el desarrollo requerido por el sistema.

A.10.3.2 Aceptacin del sistema ControlSe establecern los criterios de aceptacin para nuevossistemas de informacin, actualizaciones y nuevasversiones y se llevarn a cabo pruebas adecuadas delsistema antes de la aceptacin.

A.10.4 Proteccin contra software maliciosoObjetivo de control: Proteger la integridad del software y de la informacin.A.10.4.1 Controles contra

software maliciosoControl

Para ofrecer proteccin frente a software malicioso, seimplementarn controles de deteccin, prevencin y

procedimientos adecuados de toma de conciencia con losusuarios.

A.10.4.2 Controles contrasoftware mvil

Control

Donde sea autorizado el uso de software mvil, la

configuracin debe asegurar que este opere de acuerdo auna poltica de seguridad clara y definida. Igualmente, sedebe prevenir la ejecucin de cdigo mvil no autorizado.

A.10.5 Gestin interna de respaldo y recuperacinObjetivo de control: Mantener la integridad y disponibilidad del procesamiento de informacin yservicios de comunicacin.

A.10.5.1 Recuperacin de lainformacin

Control

Se obtendrn y probarn las copias de recuperacin yrespaldo de informacin y software regularmente enconcordancia con la poltica acordada.


7/31/2019 NTP ISO/IEC 27001

39/57


A.10.6 Gestin de seguridad de redesObjetivo de control: Asegurar la salvaguarda de informacin en las redes y la proteccin de lainfraestructura de soporte.

A.10.6.1 Controles de red Control

Se implementar un conjunto de controles para lograr ymantener la seguridad en las redes, y mantener la seguridadde los sistemas y aplicaciones usuarios de la red, incluyendola informacin en trnsito.

A.10.6.2 Seguridad de losservicios de red

Control

Se deben identificar e incluir en cualquier acuerdo deservicio de red los aspectos de seguridad, niveles de servicioy requisitos de gestin, as estos servicios sean provistosinterna o externamente.

A.10.7 Utilizacin y seguridad de los medios de informacinObjetivo de control: Prevenir daos, modificaciones o destrucciones a los activos e interrupcionesde las actividades del negocio.

A.10.7.1 Gestin de mediosremovibles

Control

Deben de existir procedimientos para la gestin de mediosremovibles.

A.10.7.2 Eliminacin de medios Control

Se eliminarn los medios de forma segura cuando ya no senecesiten, utilizando procedimientos formales.

A.10.7.3 Procedimientos de

manipulacin de lainformacin

Control

Se establecern procedimientos para el manejo yalmacenamiento de la informacin con el fin de protegerdicha informacin de divulgaciones no autorizadas o su maluso.

A.10.7.4 Seguridad de ladocumentacin de

sistemas

Control

La documentacin de los sistemas se proteger de accesos noautorizados.


7/31/2019 NTP ISO/IEC 27001

40/57


A.10.8 Intercambio de informacinObjetivo de control: Mantener la seguridad de informacin y el intercambio de software dentro dela organizacin y con entidades externas.

A.10.8.1 Polticas yprocedimientos para elintercambio deinformacin

Control

Se deben establecer polticas, procedimientos y controlespara proteger el intercambio de informacin durante el uso detodo tipo de recursos de comunicacin.

A.10.8.2 Acuerdos de

intercambio

Control

Se deben de establecer acuerdos para el intercambio deinformacin y software entre la organizacin y entidadesexternas.

A.10.8.3 Seguridad de mediosfsicos en trnsito

Control

Los medios a ser transportados debern ser protegidos deacceso no autorizado, mal uso o corrupcin durante sutransporte fuera de los lmites fsicos de la organizacin.

A.10.8.4 Seguridad del correoelectrnico

Control

La informacin contenida en correos electrnicos debe ser

protegida apropiadamente.A.10.8.5 Seguridad en los

sistemas deinformacin denegocio

Control

Se deben desarrollar e implementar polticas yprocedimientos para proteger la informacin asociada con lainterconexin de los sistemas de informacin del negocio.

A.10.9 Servicios de comercio electrnicoObjetivo de control: Mantener la seguridad en los servicios de comercio electrnico y laseguridad en su uso.

A.10.9.1 Seguridad en comercio

electrnico

Control

El comercio electrnico ser protegido frente a actividadesfraudulentas, controversias contractuales y divulgacin omodificacin de informacin.

A.10.9.2 Seguridad en lastransacciones en lnea

Control

La informacin contenida en las transacciones en lnea debeser protegida para prevenir transmisiones incompletas, rutasincorrectas, alteracin no autorizada de mensajes, oduplicacin no autorizada de mensajes.

A.10.9.3 Informacindisponible

pblicamente

ControlSe proteger la integridad de la informacin pblicamentedisponible para prevenir modificaciones no autorizadas.


7/31/2019 NTP ISO/IEC 27001

41/57


A.10.10 MonitoreoObjetivo de control: Detectar actividades de procesamiento de informacin no autorizadas.A.10.10.1 Registro de auditora Control

Se deben producir y guardar, por un periodo acordado, losregistros de auditora que registran las actividades de losusuarios, excepciones y eventos de seguridad, con el fin deasistir a investigaciones futuras y al monitoreo del control deacceso.

A.10.10.2 Uso del sistema demonitoreo ControlSe deben establecer procedimientos para monitorear lasinstalaciones de procesamiento de informacin y losresultados del monitoreo de actividades deben ser revisadosregularmente.

A.10.10.3 Proteccin de lainformacin deregistro

Control

Las instalaciones e informacin de registro debe serprotegido contra acceso forzado y no autorizado.

A.10.10.4 Registros deadministrador yoperador

Control

Las actividades del administrador y operadores deben serregistradas.

A.10.10.5 Registros con faltas ControlLas faltas deben ser registradas, analizadas y se deben tomaracciones apropiadas.

A.10.10.6 Sincronizacin dereloj

ControlLos relojes de todos los sistemas relevantes de procesamiento

de informacin dentro de la organizacin deben estarsincronizados con una fuente de tiempo actual acordado.

A.11 Control de accesos

A.11.1 Requisitos de negocio para el control de accesosObjetivo de control: Controlar los accesos a la informacin.A.11.1.1 Poltica de control de

accesosControlSe debe establecer, documentar y revisar una poltica decontrol de accesos, basado en requisitos de acceso de

seguridad y del negocio.


7/31/2019 NTP ISO/IEC 27001

42/57


A.11.2 Gestin de acceso de usuariosObjetivo de control: Asegurar que el acceso de usuarios es autorizado y prevenir el acceso noautorizado a los sistemas de informacin.A.11.2.1 Registro de usuarios Control

Habr un procedimiento de registro y anulacin formal deusuarios para otorgar y eliminar el acceso a todos losservicios y sistemas de informacin.

A.11.2.2 Gestin de privilegios Control

Se restringir y controlar la asignacin y uso deprivilegios.A.11.2.3 Gestin de contraseas

de usuarioControl

Se controlar la asignacin de contraseas a travs de unproceso de gestin formal.

A.11.2.4 Revisin de los derechosde acceso de losusuarios

Control

La gerencia conducir un proceso formal y de maneraperidica para revisar los derechos de acceso del usuario.

A.11.3 Responsabilidades de los usuariosObjetivo de control: Prevenir el acceso no autorizado de usuarios y el compromiso o robo de la

informacin o de las instalaciones de procesamiento.A.11.3.1 Uso de contraseas Control

Los usuarios deben seguir buenas prcticas de seguridad enla seleccin y uso de contraseas.

A.11.3.2 Equipo informtico deusuario desatendido

Control

Se exige al usuario que asegure proteccin adecuada a unequipo desatendido.

A.11.3.3 Poltica de pantalla yescritorio limpio

ControlSe debe adoptar una poltica de escritorio limpio para

papeles y dispositivos de almacenamiento removibles.Igualmente, se debe adoptar una poltica para lasinstalaciones de procesamiento de informacin.

A.11.4 Control de acceso a la redObjetivo de control: Prevenir el acceso no autorizado a los servicios de red.A.11.4.1 Poltica de uso de los

servicios de la redControl

Los usuarios deben tener acceso directo nicamente a losservicios cuyo uso est especficamente autorizado.

A.11.4.2 Autenticacin deusuarios para

conexiones externas

Control

Deben usarse apropiados mtodos de autenticacin paracontrolar el acceso de usuarios remotos.


7/31/2019 NTP ISO/IEC 27001

43/57


A.11.4.3 Autenticacin deequipos en la red

Control

Se debera considerar equipos con identificacinautomtica para autentificar conexiones desde ubicacionesy equipos especficos.

A.11.4.4 Proteccin para laconfiguracin de

puertos y diagnsticoremoto

Control

Debe controlarse la seguridad en el acceso lgico y fsicopara el diagnstico y configuracin de puertos.

A.11.4.5 Segregacin en las

redes

Control

Los grupos de servicios, usuarios y sistemas deinformacin deben ser segregados en las redes.

A.11.4.6 Control de conexin alas redes

Control

La capacidad de conexin de los usuarios de redescompartidas, especialmente aquellas que se extienden fuerade las fronteras de la organizacin, debe restringirse deconformidad con la poltica de control de acceso y losrequisitos de las aplicaciones de negocio (vase 11.1).

A.11.4.7 Control de enrutamientoen la red

ControlSe deben implementar controles de ruteo para asegurar que

las conexiones de computadora y los flujos de informacinno violen la poltica de control de acceso de lasaplicaciones de negocios.

A.11.5 Control de acceso al sistema operativoObjetivo de control: Prevenir accesos no autorizados a los sistemas operativos.A.11.5.1 Procedimientos seguros

de conexinControl

Se usar un proceso de registro de conexin (login) seguropara acceder a los servicios de informacin.

A.11.5.2 Identificacin yautenticacin del

usuario

ControlTodos los usuarios tienen un identificador nico para su

uso propio y exclusivo para sus actividades y debe elegirseuna tcnica de autenticacin adecuada para sustentar laidentidad del usuario.

A.11.5.3 Sistema de gestin decontraseas

Control

Sistemas de gestin de contraseas proveern mediosefectivos e interactivos, cuyo objetivo es asegurarcontraseas de calidad.

A.11.5.4 Uso de los programasutilitarios del sistema

Control

Se debe registrar y controlar firmemente el uso deprogramas utilitarios que puedan ser capaces de forzar elsistema y los controles de aplicacin.


7/31/2019 NTP ISO/IEC 27001

44/57


A.11.5.5 Desconexin automticade terminales

Control

Las sesiones inactivas deben cerrarse luego de un periododefinido de inactividad.

A.11.5.6 Limitacin del tiempo deconexin

Control

Se usar restricciones de tiempos de conexin para ofrecerseguridad adicional para las aplicaciones de alto riesgo.

A.11.6 Control de acceso a las aplicaciones e informacinObjetivo de control: Evitar el acceso no autorizado a la informacin contenida en los sistemas.

A.11.6.1 Restriccin de acceso ala informacin

Control

El acceso a las funciones de informacin y de aplicacinpor usuarios y personal de soporte sern restringidos con lapoltica de control de acceso.

A.11.6.2 Aislamiento de sistemassensibles

Control

Los sistemas sensibles tendrn un ambiente de computodedicado (aislado).

A.11.7 Informtica mvil y teletrabajoObjetivo de control: Garantizar la seguridad de la informacin cuando se usan dispositivos de

informtica mvil y facilidades de teletrabajo.

A.11.7.1 Informtica ycomunicaciones mviles

Control

Se pondr en prctica una poltica formal y se adoptarn loscontroles adecuados para protegerse frente a los riesgos detrabajar con puntos de computadores mviles y medios decomunicacin.

A.11.7.2 Teletrabajo Control

Se desarrollarn e implementaran polticas, procedimientos

y estndares para las actividades de teletrabajo.

A.12 Adquisicin de sistemas de informacin, desarrollo y mantenimiento

A.12.1 Requisitos de seguridad de los sistemas de informacinObjetivo de seguridad: Garantizar que la seguridad est incluida dentro de los sistemas deinformacin.

A.12.1.1 Anlisis yespecificacin de losrequisitos de seguridad

ControlLos requisitos de negocios para nuevos sistemas, oampliaciones de los sistemas existentes, especificarn losrequisitos de control.


7/31/2019 NTP ISO/IEC 27001

45/57


A.12.2 Proceso correcto en aplicacionesObjetivo de control: Prevenir errores, prdidas, modificaciones no autorizadas o mal uso de losdatos del usuario en las aplicaciones.

A.12.2.1 Validacin de los datosde entrada

Control

Se validar el ingreso de datos a los sistemas de aplicacinpara asegurar que sean correctos y adecuados.

A.12.2.2 Control del procesointerno

Control

Se incorporarn verificaciones y validaciones para detectarcualquier corrupcin de los datos procesados.A.12.2.3 Integridad de mensajes Control

Se deben identificar requisitos para la autenticacin yproteccin de la integridad de mensajes. Igualmente, sedeben implementar e identificar controles apropiados.

A.12.2.4 Validacin de los datosde salida

Control

Los datos de salida de una aplicacin se validarn paragarantizar que el procesamiento de la informacinalmacenada sea correcto y adecuado a las circunstancias.

A.12.3 Controles criptogrficosObjetivo de control: Proteger la confidencialidad, autenticidad o integridad a travs de medioscriptogrficos.

A.12.3.1 Poltica de uso de loscontroles criptogrficos

ControlDebe desarrollarse e implementarse una poltica sobre eluso de controles criptogrficos para proteger lainformacin.

A.12.3.2 Gestin de claves ControlSe usar un sistema de gestin de claves con el fin deapoyar el uso de tcnica criptogrficas dentro de la

organizacin.A.12.4 Seguridad de los archivos del sistemaObjetivo de control: Asegurar la seguridad de los archivos del sistema.

A.12.4.1 Control del software enproduccin

Control

Se pondr en prctica procedimientos para controlar laimplementacin del software en sistemas operacionales.

A.12.4.2 Proteccin de los datosde prueba del sistema

Control

Se protegern y controlarn los datos de prueba los cualesdeben ser seleccionados cuidadosamente.


7/31/2019 NTP ISO/IEC 27001

46/57


A.12.4.3 Control de acceso a lalibrera de programas

fuente

Control

El acceso a las libreras de programas fuente debe serrestringido.

A.12.5 Seguridad en los procesos de desarrollo y soporteObjetivo de control: Mantener la seguridad del software de aplicacin y la informacin.

A.12.5.1 Procedimientos decontrol de cambios

Control

La implementacin de cambios se controlar estrictamentemediante el uso de procedimientos formales de control decambios.

A.12.5.2 Revisin tcnica de loscambios en el sistemaoperativo

Control

Cuando los sistemas operativos son cambiados, se debende revisar y probar las aplicaciones criticas de negocio conel fin de asegurar que no existan impactos adversos en lasoperaciones o seguridad de la organizacin.

A.12.5.3 Restricciones en loscambios a los paquetesde software

Control

No se debe fomentar las modificaciones en los paquetes.

Se debe limitar a cambios necesarios y todos estos cambiosdeben ser estrictamente controlados.

A.12.5.4 Fuga de informacin Control

Se deben de prevenir las oportunidades de fuga deinformacin.

A.12.5.5 Desarrollo externo delsoftware

Control

La organizacin debe supervisar y monitorear el desarrolloexterno de software.

A.12.6 Gestin de vulnerabilidades tcnicas

Objetivo de control: Reducir los riesgos que son el resultado de la explotacin devulnerabilidades tcnicas publicadas.A.12.6.1 Control de

vulnerabilidadestcnicas

Control

Se debe obtener informacin a tiempo sobre lasvulnerabilidades tcnicas de los sistemas de informacinque se utilizan. La exposicin de la organizacin a talesvulnerabilidades debe ser evaluada y se debe tomarmedidas apropiadas asociadas al riesgo.


7/31/2019 NTP ISO/IEC 27001

47/57


A.13 Gestin de incidentes en la seguridad de informacin

A.13.1 Reportando eventos y debilidades en la seguridad de informacinObjetivo de control: Asegurar que los eventos y debilidades en la seguridad de informacinasociados con los sistemas de informacin sean comunicados de manera tal que permitan tomaruna accin correctiva a tiempo.A.13.1.1 Reportando eventos de

la seguridad deinformacin

Control

Los eventos en la seguridad de informacin deben serreportados lo mas rpido posible a travs de canales

apropiados.A.13.1.2 Reportando debilidadesde seguridad

Control

Todos los empleados, contratistas o personal externousuario de los sistemas y servicios de informacin, debenestar obligados de notar y reportar cualquier debilidad enla seguridad de los sistemas y servicios.

A.13.2 Gestin de los incidentes y mejoras en la seguridad de informacinObjetivo de control: Asegurar que un alcance consistente y efectivo sea aplicado en la gestinde incidentes de la seguridad de informacin.A.13.2.1 Responsabilidades y

procedimientosControl.

Se deben de establecer procedimientos y responsabili-dades de gestin con el fin de asegurar una respuestarpida, efectiva y ordenada ante incidentes en laseguridad de informacin.

A.13.2.2 Aprendiendo de losincidentes en la


Control

Deben existir mecanismos que habiliten que los tipos,volmenes y costos de los incidentes en la seguridad deinformacin sean cuantificados y monitoreados.

A.13.2.3 Recoleccin deevidencia

ControlCuando exista una accin de seguimiento contra una

persona u organizacin, luego de que un incidente en elsistema de informacin involucre una accin legal (civil ocriminal), se debe de recolectar, retener y presentarevidencia conforme con las reglas dentro de la

jurisdiccin.


7/31/2019 NTP ISO/IEC 27001

48/57


A.14 Gestin de la continuidad del negocio

A.14.1 Aspectos de la gestin de continuidad del negocio en la seguridad de informacinObjetivo de control: Neutralizar las interrupciones a las actividades del negocio y proteger los

procesos crticos del negocio de los efectos de fallas mayores o desastres en los sistemas deinformacin y asegurar su reanudacin oportuna.

A.14.1.1 Incluyendo la seguridadde la informacin en la

gestin de la

continuidad del negocio

Control

Se deben de establecer procedimientos y

responsabilidades de gestin con el fin de asegurar unarespuesta rpida, efectiva y ordenada ante incidentes en laseguridad de la informacin.

A.14.1.2 Continuidad del negocioy evaluacin de riesgos

Control

Los eventos que pueden causar interrupciones en losprocesos del negocio deben ser identificados as como lasprobabilidades e impacto de dichas interrupciones y susconsecuencias para la seguridad de la informacin.

A.14.1.3 Desarrollando eimplementando planesde continuidad queincluyen la seguridad dela informacin

Control

Se deben desarrollar e implementar planes para mantenero reparar operaciones y asegurar la disponibilidad deinformacin al nivel y tiempo requerido, siguiendo lasinterrupciones o fallas a los procesos crticos del negocio.

A.14.1.4 Marco de planificacinde la continuidad delnegocio

Control

Un simple marco de los planes de continuidad delnegocio debe ser mantenido para asegurar que todos los

planes sean consistentes, que anexen consistentementelos requisitos de seguridad de la informacin, paraidentificar prioridades de prueba y mantenimiento.

A.14.1.5 Probando, manteniendo

y reevaluando los planesde continuidad delnegocio

Control

Los planes de continuidad del negocio deben serprobados y actualizados regularmente con el fin deasegurar que se encuentren actuales y que sean efectivos.


7/31/2019 NTP ISO/IEC 27001

49/57


A.15 Cumplimiento

A.15.1 Cumplimiento de los requisitos legalesObjetivo de control: Evitar los incumplimientos de cualquier ley civil o penal, requisitoreglamentario, regulacin u obligacin contractual, y de cualquier requisito de seguridad.

A.15.1.1 Identificacin de lalegislacin aplicable

Control

Se definirn y documentarn explcitamente todos losrequisitos legales, regulatorios y contractuales relevantes y se

deben mantener actualizados cada sistema de informacin y laorganizacin.

A.15.1.2 Derechos depropiedad intelectual(DPI)

Control

Se implementarn procedimientos adecuados para garantizar elcumplimiento de las restricciones legales en el uso de materialcon respecto a derechos de propiedad intelectual y uso de

productos de software propietario.

A.15.1.3 Salvaguarda de losregistros de laorganizacin

Control

Se protegern los registros importantes de la organizacinfrente a prdidas, destruccin y falsificacin en concordanciacon los requisitos regulatorios, contractuales y de negocio.

A.15.1.4 Proteccin de losdatos y privacidad dela informacin

personal

Control

Se aplicarn controles para proteger informacin personal enconformidad con la legislacin correspondiente y si esaplicable, con las clusulas contractuales.

A.15.1.5 Prevencin en el mal

uso de lasinstalaciones de

procesamiento de lainformacin

Control

Los usuarios deben ser disuadidos de utilizar las instalacionesdel procesamiento de informacin para propsitos noautorizados.

A.15.1.6 Regulacin de loscontrolescriptogrficos

Control

Se implementarn controles para permitir el cumplimiento delos acuerdos nacionales, leyes y reglamentos.


7/31/2019 NTP ISO/IEC 27001

50/57


A.15.2 Cumplimiento con las polticas y estndares de seguridad y del cumplimiento tcnicoObjetivo de control: Asegurar el cumplimiento de los sistemas con las polticas y normas deseguridad organizacionales.

A.15.2.1 Cumplimiento con losestndares y la

poltica de seguridad

Control

Los gerentes deben tomar acciones para garantizar que todoslos procedimientos de seguridad dentro de sus reas deresponsabilidad se lleven a cabo correctamente con el fin degarantizar el cumplimiento de las polticas y estndares de

seguridad.A.15.2.2 Comprobacin delcumplimiento tcnico

Control

Debe verificarse regularmente el cumplimiento de laimplementacin de normas de seguridad en los sistemas deinformacin.

A.15.3 Consideraciones sobre la auditora de sistemasObjetivo de control: Maximizar la efectividad y minimizar las interferencias en el proceso deauditora del sistema.

A.15.3.1 Controles deauditora de sistemas

Control

Se planificarn cuidadosamente las auditoras de los sistemasoperacionales a fin de minimizar el riesgo de interrupciones alos procesos de negocio.

A.15.3.2 Proteccin de lasherramientas deauditora de sistemas

Control

Se proteger el acceso a las herramientas de auditora delsistema para prevenir cualquier posible mal uso o dao.


7/31/2019 NTP ISO/IEC 27001

51/57


ANEXO B(INFORMATIVO)

PRINCIPIOS OECD Y ESTA NORMA

Los principios dados en las Pautas OECD para la Seguridad de los Sistemas y Redes deInformacin se aplican a todos los niveles polticos y operativos que rigen la seguridad delos sistemas de informacin y redes. Esta NTP ofrece un marco para el sistema de gestinde la seguridad de la informacin para implementar algunos de los principios OECDusando el modelo PDCA y los procesos descritos en los captulos 4, 5, 6, y 8 como seindica en la Tabla B.1

TABLA B.1 - Principios OECD y modelo PDCA

Principio OECD Proceso ISMS y fase PDCA correspondiente

ConocimientoLos participantes deben estar concientes de lanecesidad de seguridad de los sistemas y redesde informacin y lo que pueden hacer paramejorar la seguridad.

Esta actividad es parte de la fase Hacer (vase4.2.2 y 5.2.2).

ResponsabilidadTodos los participantes son responsables por laseguridad de los sistemas y redes deinformacin.

Esta actividad es parte de la fase Hacer (vase4.2.2 y 5.1).

RespuestaLos participantes deben actuar de manera

puntual y cooperativa para prevenir, detectar yresponder a los incidentes de seguridad.

Esto es parte de la actividad de monitoreo de lafase Verificar (vase 4.2.3 y 6 a 7.3) y unaactividad de respuesta de la fase Actuar (vase4.2.4 y 8.1 a 8.3). Tambin puede cubrirse convarios aspectos de las fases Planear yVerificar.

Evaluacin del riesgoLos participantes deben conducir evaluacionesdel riesgo.

Esta actividad es parte de la fase Planear(vase 4.2.1) y evaluacin de riesgo es parte dela fase Verificar (vase 4.2.3 y 6 a 7.3).


7/31/2019 NTP ISO/IEC 27001

52/57


TABLA B.1 - Principios OECD y modelo PDCA (Fin)

Principio OECD Proceso ISMS y fase PDCA correspondiente

Diseo e implementacin de seguridadLos participantes deben incorporar la

seguridad como un elemento esencial de

los sistemas y redes de informacin.

Una vez que se ha completado la evaluacindel riesgo, se ha seleccionado controles para eltratamiento de riesgos como parte de la fasePlanear (vase 4.2.1). La fase Hacer (vase4.2.2 y 5.2) entonces cubre la implementacin

y uso operacional de estos controles.Gestin de seguridadLos participantes deben adoptar un enfoquecomprensivo de la gestin de seguridad.

La gestin del riesgo es un proceso queincluye la prevencin, deteccin y respuestafrente a incidentes, mantenimiento en curso,revisin y auditora. Todos estos aspectosestn incluidos en las fases Planear, Hacer,Verificar y Actuar.

ReevaluacinLos participantes deben revisar y reevaluar laseguridad de los sistemas y redes deinformacin y hacer modificaciones adecuadasa las polticas, prcticas, medidas y

procedimientos de seguridad

Reevaluacin de la seguridad de lainformacin es parte de la fase Verificacin(vase 4.2.3 y 6 a 7.3) donde debe realizarserevisiones regulares para verificar laefectividad de los sistemas de gestin de

seguridad de la informacin y mejorar laseguridad es parte de la fase Actuar (vase4.2.4 y 8.1 a 8.3)


7/31/2019 NTP ISO/IEC 27001

53/57


ANEXO C(INFORMATIVO)

CORRESPONDENCIA ENTRE LA NORMA ISO9001:2000, ISO 14001:2004 Y ESTA NORMA

La tabla C.1 muestra la correspondencia entre la norma ISO 9001:2000, ISO 14001:2004 yesta NTPperuana

TABLA C.1 Correspondencia entre ISO 9001:2000, ISO 14001:2004 y esta Norma

Norma Peruana ISO 9001:2000 ISO 14001:2004

0 Introduccin

0.1 Aspectos Generales

0.2 Enfoque de proceso

0.3 Compatibilidad con otrossistemas de gestin

0 Introduccin


0.1Alcance del proceso0.2Relaciones con ISO 90040.3Compatibilidad con otrossistemas de gestin

Introduccin

1 Alcance


1.2 Aplicacin

1 Alcance


1.2 Aplicaciones

1 Alcance

2 Referencias normativas 2 Referencias normativas 2 Referencias normativas

3 Trminos y definiciones 3 Trminos y definiciones 3 Trminos y definiciones


7/31/2019 NTP ISO/IEC 27001

54/57



4 Sistema de gestin deseguridad de la informacin


4.2 Establecimiento yadministracin de ISMS

4.2.1 Establecimiento de ISMS

4.2.2 Implementar y operar elISMS

4.2.3 Monitorear y revisar elISMS

4.2.4 Mantener y mejorar el ISMS

4 Sistema de gestin decalidad


8.2.3 Monitoreo y medicinde los procesos

8.2.4 Monitoreo y medicindel producto

4 Requisitos del sistema degestin ambiental


4.4 Implementacin yoperacin

4.5.1 Monitoreo y medicin

4.3 Requisitos de documentacin

4.3.1 Aspectos Generales



4.2 Requisitos de

documentacin

4.2.1 Aspectos Generales

4.2.2 Manual de calidad



4.4.5 Control de ladocumentacin4.5.4 Control de registros

5 Responsabilidad de la

gerencia5.1 Compromiso de la gerencia

5 Responsabilidad de la

gerencia5.1 Compromiso de lagerencia

5.2 Enfoque de los clientes

5.3 Poltica de calidad

5.4 Planeamiento

5.5 Responsabilidad,

autoridad y comunicacin

4.2 Poltica ambiental

4.3 Planeamiento


7/31/2019 NTP ISO/IEC 27001

55/57



5.2 Administracin de recursos

5.2.1 Provisin de recursos

5.2.2 Capacitacin,concientizacin y competencia

6 Gestin de recursos

6.1 Provisin de recursos

6.2 Recursos humanos

6.2.2 Competencia, concienti-zacin y capacitacin

6.3 Infraestructura

6.4 Ambiente de trabajo

4.4.2 Competencia,concientizacin y capacitacin

6 Auditoras internas del ISMS 8.2.2 Auditora interna 4.5.5 Auditora interna

7 Revisin gerencial del ISMS


7.2 Revisin: entradas

7.3 Revisin: salidas

5.6 Revisin gerencial

5.6.1

ntp iso/iec 27001

Documents