ISO.

ORG--

An Introduction To ISO 27001 (ISO27001)

The ISO 27001 standard was published in October 2005, essentially replacing the old
BS7799-2 standard. It is the specification for an ISMS, an Information Security
Management System. BS7799 itself was a long standing standard, first published in the
nineties as a code of practice. As this matured, a second part emerged to cover management
systems. It is this against which certification is granted. Today in excess of a thousand
certificates are in place, across the world.
On publication, ISO 27001 enhanced the content of BS7799-2 and harmonized it with other
standards. A scheme was been introduced by various certification bodies for conversion
from BS7799 certification to ISO27001 certification.
The objective of the standard itself is to "provide requirements for establishing,
implementing, maintaining and continuously improving an Information Security
Management System (ISMS)". Regarding its adoption, this should be a strategic decision.
Further, "The design and implementation of an organization's information security
management system is influenced by the organization's needs and objectives, security
requirements, the organizational processes used and the size and structure of the
organization".
The 2005 version of the standard heavily employed the PDCA, Plan-Do-Check-Act model
to structure the processes, and reflect the principles set out in the OECG guidelines (see
oecd.org). However, the latest, 2013 version, places more emphasis on measuring and
evaluating how well an organisation's ISMS is performing. A section on outsourcing was
also added with this release, and additional attention was paid to the organisational context
of information security.

The ISO27001 Certification Process

Some of the most common questions pertaining to the 27000 series of standards relate to
the certification process for ISO27001. This page is intended to help address some of these.
In a nutshell, the following diagram explains the logical flow of the process itself:

The process starts when the organization makes the decision to embark upon the exercise.
Clearly, at this point, it is also important to ensure management commitment and then
assign responsibilities for the project itself.
An organizational top level policy can then be developed and published. This can, and will
normally, be supported by subordinate policies. The next stage is particularly critical:
scoping. This will define which part(s) of the organization will be covered by the ISMS.
Typically, it will define the location, assets and technology to be included.
At this stage a risk assessment will be undertaken, to determine the organization's risk
exposure/profile, and identify the best route to address this. The document produced will be
the basis for the next stage, which will be the management of those risks. A part of this
process will be selection of appropriate controls with respect to those outlined in the
standard (and ISO27002), with the justification for each decision recorded in a Statement of
Applicability (SOA). The controls themselves should then be implemented as appropriate.
The certification process itself can then be embarked upon via a suitable accredited third
party.
It is important to understand that certification is not a one-off exercise. To maintain the
certificate the organization will need to both review and monitor the information security
management system on an on-going basis.
ISO/IEC 27001 - Information security management

The ISO 27000 family of standards helps organizations keep information assets
secure.
Using this family of standards will help your organization manage the security of
assets such as financial information, intellectual property, employee details or
information entrusted to you by third parties.
ISO/IEC 27001 is the best-known standard in the family providing requirements for
an information security management system (ISMS).
What is an ISMS?

An ISMS is a systematic approach to managing sensitive company information so

that it remains secure. It includes people, processes and IT systems by applying a
risk management process.

It can help small, medium and large businesses in any sector keep information
assets secure.
0 Introduction
0.1 Overview
International Standards for management systems provide a model to follow in setting up and
operating a management system. This model incorporates the features on which experts in the field
have reached a consensus as being the international state of the art. ISO/IEC JTC 1/SC 27
maintains an expert committee dedicated to the development of international management systems
standards for information security, otherwise known as the Information Security Management
System (ISMS) family of standards.
Through the use of the ISMS family of standards, organizations can develop and implement a
framework for managing the security of their information assets including financial information,
intellectual property, and employee details, or information entrusted to them by customers or third
parties. These standards can also be used to prepare for an independent assessment of their ISMS
applied to the protection of information.

0.2 ISMS family of standards

The ISMS family of standards (see Clause 4) is intended to assist organizations of all types and
sizes to implement and operate an ISMS and consists of the following International Standards,
under the general title Information technology Security techniques (given below in numerical
order):

ISO/IEC 27000, Information security management systems Overview and vocabulary

ISO/IEC 27001, Information security management systems Requirements

ISO/IEC 27002, Code of practice for information security controls

ISO/IEC 27003, Information security management system implementation guidance

ISO/IEC 27004, Information security management Measurement

ISO/IEC 27005, Information security risk management

ISO/IEC 27006, Requirements for bodies providing audit and certification of information
security management systems

ISO/IEC 27007, Guidelines for information security management systems auditing

ISO/IEC TR 27008, Guidelines for auditors on information security controls

ISO/IEC 27009, Sector-specific application of ISO/IEC 27001 Requirements

ISO/IEC 27010, Information security management for inter-sector and interorganizational communications

ISO/IEC 27011, Information security management guidelines for telecommunications

organizations based on ISO/IEC 27002

ISO/IEC 27013, Guidance on the integrated implementation of ISO/IEC 27001 and

ISO/IEC 20000- 1

ISO/IEC 27014, Governance of information security

ISO/IEC TR 27015, Information security management guidelines for financial services

ISO/IEC TR 27016, Information security management Organizational economics

ISO/IEC 27017, Code of practice for information security controls based on

ISO/IEC 27002 for cloud services

ISO/IEC 27018, Code of practice for protection of personally identifiable information (PII)
in public clouds acting as PII processors

ISO/IEC 27019, Information security management guidelines based on ISO/IEC 27002

for process control systems specific to the energy utility industry

NOTE The general title Information technology Security techniques indicates that these
International Standards were prepared by Joint Technical Committee ISO/IEC JTC 1, Information
technology, Subcommittee SC 27, IT Security techniques.
International Standards not under the same general title that are also part of the ISMS family of
standards are as follows:

ISO 27799, Health informatics Information security management in health using

ISO/IEC 27002

0.3 Purpose of this International Standard

This International Standard provides an overview of information security management systems and
defines related terms.
NOTE Annex A provides clarification on how verbal forms are used to express requirements and/or
guidance in the ISMS family of standards.

The ISMS family of standards includes standards that

a) define requirements for an ISMS and for those certifying such systems,

b) provide direct support, detailed guidance and/or interpretation for the overall process to
establish, implement, maintain, and improve an ISMS,

c) address sector-specific guidelines for ISMS, and

d) address conformity assessment for ISMS.

The terms and definitions provided in this International Standard

cover commonly used terms and definitions in the ISMS family of standards,

do not cover all terms and definitions applied within the ISMS family of standards, and

do not limit the ISMS family of standards in defining new terms for use.

1 Scope
This International Standard provides the overview of information security management systems, and
terms and definitions commonly used in the ISMS family of standards. This International Standard is
applicable to all types and sizes of organization (e.g. commercial enterprises, government agencies,
not-for-profit organizations).

2 Terms and definitions

For the purposes of this document, the following terms and definitions apply.
2.1
access control
means to ensure that access to assets is authorized and restricted based on business and security
requirements (2.63)
2.2
analytical model
algorithm or calculation combining one or more base measures (2.10) and/or derived measures
(2.22) with associated decision criteria (2.21)
2.3
attack
attempt to destroy, expose, alter, disable, steal or gain unauthorized access to or make
unauthorized use of an asset
2.4
attribute

property or characteristic of an object (2.55) that can be distinguished quantitatively or qualitatively

by human or automated means
[SOURCE: ISO/IEC 15939:2007, 2.2, modified entity has been replaced by object in the
definition.]
2.5
audit
systematic, independent and documented process (2.61) for obtaining audit evidence and
evaluating it objectively to determine the extent to which the audit criteria are fulfilled
Note 1 to entry: An audit can be an internal audit (first party) or an external audit (second party or
third party), and it can be a combined audit (combining two or more disciplines).
Note 2 to entry: Audit evidence and audit criteria are defined in ISO 19011.
2.6
audit scope
extent and boundaries of an audit (2.5)
[SOURCE: ISO 19011:2011, 3.14, modified Note 1 to entry has been deleted.]
2.7
authentication
provision of assurance that a claimed characteristic of an entity is correct
2.8
authenticity
property that an entity is what it claims to be
2.9
availability
property of being accessible and usable upon demand by an authorized entity
2.10
base measure
measure (2.47) defined in terms of an attribute (2.4) and the method for quantifying it
[SOURCE: ISO/IEC 15939:2007, 2.3, modified Note 2 to entry has been deleted.]
Note 1 to entry: A base measure is functionally independent of other measures (2.47).
2.11
competence
ability to apply knowledge and skills to achieve intended results
2.12
confidentiality
property that information is not made available or disclosed to unauthorized individuals, entities, or
processes (2.61)
2.13
conformity
fulfilment of a requirement (2.63)
Note 1 to entry: The term conformance is synonymous but deprecated.
2.14
consequence
outcome of an event (2.25) affecting objectives (2.56)

Libros ----https://books.google.com.mx/books?id=PVgAgAAQBAJ&printsec=frontcover&dq=iso+27001&hl=es419&sa=X&ved=0ahUKEwj33uv7urnLAhWKu4MKHZEBBOoQ6AEIPDAD#v=one
page&q=iso%2027001&f=false Pagina 83 casos de xito
ISO27001 Pasado presente y futuro. ----ISO27001 fue publicado originalmente en BS 7799, el cual fue el resultado de
una iniciativa conjunta entre el DTI (hoy Departamento de Negocios,
Innovacin y Competencias, BIS por sus siglas en ingls) en el Reino Unido y
los lderes de los negocios del sector privado. El equipo de trabajo, el cual inici
labores en 1992, produjo la primera versin del BS 7799 en febrero de 1995.
sta versin fue originalmente un Cdigo de buenas prcticas para el manejo
de la seguridad de las tecnologas de informacin. Las organizaciones que
desarrollaron Sistemas de administracin de la seguridad informtica (ISMS por
sus siglas en ingles) que cumplan con ste cdigo fueron capaces de
inspeccionarlas independientemente, pero no haba un
https://books.google.com.mx/books?
id=uFObBAAAQBAJ&pg=PA17&dq=iso+27001&hl=es419&sa=X&ved=0ahUKEwj33uv7urnLAhWKu4MKHZEBBOoQ6AEISDAF#v=onep
age&q=iso%2027001&f=false - revisin del iso 27001:2005 e ISO
27001:2013
ISO27001, el Estndar internacional para el manejo de la seguridad de la
informacin fue publicado en 2005 y actualizado en el 2013. Se est volviendo
ampliamente conocido y aplicado.
Es ahora parte de una familia mucho ms grande, del cual el ISO/IEC 2700 es la
raz de una serie numerada de estndares internacionales para el manejo de la
seguridad de la informacin.
Desarrolla por un subcomit de una comisin tcnica conjunta (ISO/IEC JTC
SC27) entre la Organizacin Internacional de Estndares (ISO) en Ginebra y la
Comisin Electrotcnica Internacional (IEC), stos estndares ahora proveen un
marco reconocido globalmente para mejorar la prctica de la seguridad de la
informacin.

La designacin correcta para la mayora de stos estndares incluye el prefijo

ISO/IEC y todos ellos deberan incluir como sufijo la fecha de publicacin.
Muchos de stos estndares, sin embargo, tienden a abreviar. ISO/IEC
27001:2013 es muchas veces referido simplemente como ISO27001.
El primer estndar de seguridad de la informacin de la serie ISO27000 ha sido
ya publicado.
La familia ISO/IEC 27000
ISO/IEC 27001:2013 (ISO27001) sta es la versin actual de la especificacin
del estndar internacional para un Sistema de Manejo de la Seguridad de la
Informacin. Es para todos los vendedores e independiente de la tecnologa.
sta pensado para ser aplicable a todas las organizaciones sin importar su tipo,
tamao o naturaleza y en todos los sectores, en cualquier parte del mundo. Es
un sistema de administracin, no una especificacin tecnolgica, con el ttulo
formal de: Informacin Tecnolgica Tcnicas de seguridad Sistemas de
manejo de la seguridad de la informacin Requerimientos
ISO/IEC 27002:2013 (ISO27002)
ste estndar titulado Informacin tecnolgica Tcnicas de seguridad

https://books.google.com.mx/books?
id=9eRgAgAAQBAJ&printsec=frontcover&dq=iso+27001&hl=es419&sa=X&ved=0ahUKEwj33uv7urnLAhWKu4MKHZEBBOoQ6AEIUzAH#v=one
page&q&f=false -9 pasos apra la plciacion del iso 27001 e iso 27002

https://books.google.com.mx/books?
id=OSvJBAAAQBAJ&printsec=frontcover&dq=iso+27001&hl=es419&sa=X&ved=0ahUKEwj33uv7urnLAhWKu4MKHZEBBOoQ6AEIQjAE#v=onep
age&q=iso%2027001&f=false -- intoreducci{on al iso 27001

https://books.google.com.mx/books?id=PmcOKclsKQC&pg=PA512&dq=iso+27001+espa%C3%B1ol&hl=es419&sa=X&ved=0ahUKEwiq87aWxLnLAhWHuoMKHWEFCcMQ6AEIKDAA#v=on
epage&q=iso%2027001%20espa%C3%B1ol&f=false ---seguridad por niveles

https://books.google.com.mx/books?
id=c8kni5g2Yv8C&pg=PA19&dq=iso+27001+seguridad&hl=es-

419&sa=X&ved=0ahUKEwjrx9f3xLnLAhVrx4MKHeEiALMQ6AEIRTAG#v=onepag
e&q=iso%2027001%20seguridad&f=false --seguridad informtica.

Fuentes sin comprobar ------ISO-27001:2013 Qu hay de nuevo?

by Dulce Gonzlez Trejo. ISO-27001 e ITIL 30/08/2013 7 Comments

A mediados del mes de marzo de

este ao, BSI public en su sitio Web el borrador del estndar
internacional ISO/IEC-27001:2013 (DIS, Draft International Standard), as
como la programacin de una serie de sesiones para dar a conocer
algunas de las modifi caciones ms significativas que incluir dicho
estndar.
En esta nueva versin no solo se establecen cambios en el contenido
sino tambin en la estructura, lo que se reflejar en otros documentos
que forman parte de la familia ISO-27000 (la versin final del estndar
se espera a finales de 2013).
Las principales modifi caciones se ven reflejadas en la estructura y el
contenido de los controles que conforman el

Anexo A, donde el

nmero total de dominios era de 11 y ahora son 14 y se reduce el

nmero de controles de 133 a 113, todo como resultado de un proceso
de fusin, exclusin e incorporacin de nuevos controles de seguridad.

.
Estructura del nuevo estndar
ISO/IEC 27001:2013 ha sido desarrollado con base en el anexo SL de ISO/IEC
del Suplemento Consolidado de las Directivas ISO/IEC (anteriormente publicado
como Gua ISO:83), en el cual se proporciona un formato y un conjunto de
lineamientos a seguir para el desarrollo documental de un sistema de gestin
sin importar su enfoque empresarial, alineando bajo una misma estructura
todos los documentos relacionados con los sistemas de gestin y evitando as
problemas de integracin con otros marcos de referencia. As pues, la nueva
estructura queda como sigue:

Figura 1. Estructura del estndar ISO/IEC 27001:2013

.
Descripcin de las principales secciones

0.

Introduccin

El cambio ms significativo en todo el apartado fue la eliminacin de la seccin

Enfoque del proceso que contena la versin 2005, en donde se describa el
modelo PDCA, corazn del Sistema de Gestin de Seguridad de la Informacin
(SGSI). Adems de la ya mencionada alineacin con el Anexo SL de la ISO/IEC,
seccin 1.
1.

Alcance

En esta seccin se establece la obligatoriedad de cumplir con los requisitos

especificados en los captulos 4 a 10 del documento, para poder obtener la
conformidad de cumplimiento y certificarse.
2.

Referencias normativas

El estndar ISO-27002 ya no es una referencia normativa para ISO-27001:2013,

aunque contina considerndose necesario en el desarrollo de la declaracin
de aplicabilidad (SOA, por sus siglas en ingls).
El estndar ISO 27000:2013 se convierte en una referencia normativa
obligatoria y nica, ya que contiene todos los nuevos trminos y definiciones.
3.

Trminos y definiciones

Los trminos y definiciones que se manejaban en 27001:2005 los trasladaron y

agruparon en la seccin 3 de ISO 27000:2013 Fundamentos y vocabulario (lo
cual se llevar a cabo en todos los documentos que forman parte de esta
familia), con el objetivo de contar con una sola gua de trminos y definiciones
que sea consistente.
4.

Contexto de la organizacin

Esta clusula hace hincapi en identificar los problemas externos e internos

que rodean a la organizacin.

Instituye los requerimientos para definir el contexto del SGSI sin importar el
tipo de organizacin y su alcance.

Introduce una nueva figura (las partes interesadas) como un elemento

primordial para la definicin del alcance del SGSI.

Establece la prioridad de identificar y definir formalmente las necesidades de

las partes interesadas con relacin a la seguridad de la informacin y sus
expectativas con relacin al SGSI, pues esto determinar las polticas de
seguridad de la informacin y los objetivos a seguir para el proceso de gestin
de riesgos.

5.

Liderazgo

Ajusta la relacin y responsabilidades de la Alta Direccin respecto al SGSI,

destacando de manera puntual cmo debe demostrar su compromiso, por
ejemplo:

Garantizando que los objetivos del SGSI y La poltica de seguridad de la

informacin, anteriormente definida como Poltica del SGSI, estn alineados
con los objetivos del negocio.

Garantizando la disponibilidad de los recursos para la implementacin del SGSI

(econmicos, tecnolgicos, etctera).

Garantizando que los roles y responsabilidades claves para la seguridad de la

informacin se asignen y se comuniquen adecuadamente.

6.

Planeacin

Esta es una nueva seccin enfocada en la definicin de los objetivos de

seguridad como un todo, los cuales deben ser claros y se debe contar con
planes especficos para alcanzarlos.
Se presentan grandes cambios en el proceso de evaluacin de riesgos:

El proceso para la evaluacin de riesgos ya no est enfocado en los activos, las

vulnerabilidades y las amenazas.

Esta metodologa se enfoca en el objetivo de identificar los riesgos asociados

con la prdida de la confidencialidad, integridad y disponibilidad de la
informacin.

El nivel de riesgo se determina con base en la probabilidad de ocurrencia del

riesgo y las consecuencias generadas (impacto), si el riesgo se materializa.

Se ha eliminado el trmino Propietario del activo y se adopta el trmino

Propietario del riesgo.

Los requerimientos
signifi cativas.

7.

del

SOA

no

sufrieron

transformaciones

Soporte

Marca los requerimientos de soporte para el establecimiento, implementacin

y mejora del SGSI, que incluye:

Recursos

Personal competente

Conciencia y comunicacin de las partes interesadas

Se incluye una nueva definicin

informacin documentada

que

sustituye a los trminos documentos y registros; abarca el proceso de

documentar,

controlar,

mantener

conservar

la

documentacin

correspondiente al SGSI.
El proceso de revisin se enfoca en el contenido de los documentos y
no en la existencia de un determinado conjunto de estos.
8.

Operacin

Establece los requerimientos para medir el funcionamiento del SGSI, las

expectativas de la Alta Direccin y su realimentacin sobre estas, as como el
cumplimiento con el del estndar.
Adems, plantea que la organizacin debe planear y controlar las
operaciones y requerimientos de seguridad, erigiendo como el pilar de

este proceso la ejecucin de evaluaciones de riesgos de seguridad de la

informacin

de

manera

peridica

por

medio

de

un

programa

previamente elegido.
Los activos, vulnerabilidades y amenazas ya no son la base de la
evaluacin de riesgos. Solo se requiere para identificar los riesgos
asociados con la confi dencialidad, integridad y disponibilidad.
9.

Evaluacin del desempeo

La base para identificar y medir la efectividad y desempeo del SGSI continan

siendo las auditoras internas y las revisiones del SGSI.
Se debe considerar para estas revisiones el estado de los planes de
accin para atender no conformidades anteriores y se establece la
necesidad

de

definir

quin

cundo

se

deben

realizar

estas

evaluaciones as como quin debe analizar la informacin recolectada.

10. Mejora
El principal elemento del proceso de mejora son las no-conformidades
identificadas, las cuales tienen que contabilizarse y compararse con las
acciones correctivas para asegurar que no se repitan y que las acciones
correctivas sean efectivas.
Aqu se observa uno de los cambios ms importantes porque las
medidas preventivas se fusionarn con la evaluacin y tratamiento del
riesgo, algo ms natural e intuitivo que permite enfrentar los riesgos y
las oportunidades con base en cundo estos se identifican y cmo se
tratan. Adems, se distingue entre las correcciones que se ejecutan
como una respuesta directa a una no conformidad, en oposicin a las
acciones correctoras que se realizan para eliminar la causa de la no
conformidad.
Anexos

El Anexo A Referencia de objetivos y controles contina formando parte de

este estndar, pero los anexos B y C se han eliminado.
Sin ser intencin de este artculo brindar una descripcin completa de
los cambios efectuados, se detallan algunos de los principales:

El nmero de dominios del anexo aumenta de 11 a 14, de esta manera,

donde algunos controles se incluan de forma artifi cial en ciertas
reas donde no encajaban perfectamente, ahora se organizan mejor.

Figura 2. Dominios Anexo A de ISO 27001:2013

.

Lista de controles que ya no forman parte del estndar:

Control

Descripcin

Cambia por

Incluye los
controles de la

ISO 27001:2005
A.6.1.1

Comit de gestin para la

Roles de la seguridad

seguridad de la

de la informacin y

informacin

sus

A.6.1.3 y A.8.1.1

responsabilidades
A.6.1.2

A.6.1.4

Coordinacin de seguridad

Contacto con

de la informacin

autoridades

Procesos de autorizacin

Seguridad de la

para instalaciones para

informacin en la

procesamiento de

gestin de proyectos

A.6.1.6

informacin
A.6.2.1

Identificacin de riesgos

Poltica de dispositivo A.11.7.1

relacionados con agentes

mvil

externos
A.6.2.2

Direccionamiento de
seguridad al tratar con
clientes

A.10.2.1

Entrega del servicio

A.10.7.4

Seguridad del sistema de

documentos

A.10.8.5

Sistema de informacin de
negocios

A.10.10.

Seguimiento al uso de

sistema

A.10.10.

Falla en el registro

Trabajo a distancia

A.11.7.2

A.11.4.2

Autenticacin de usuarios
para conexiones externas

A.11.4.3

Identificacin de equipos

A.11.4.4

Puerto remoto de
diagnstico y
configuracin de
proteccin

A.11.4.6

Control para la conexin

de redes

A.11.6.2

Aislamiento del sistema

sensible

A.12.2.1

A.12.2.2

Validacin de datos de

Controles contra

entrada

malware

Control de procesamiento
interno

A.12.2.3

Integridad de mensaje

A.12.2.4

Validacin de datos de
salida

A.12.5.4

Filtracin de la informacin

A.15.1.5

Prevencin del uso

indebido de las
instalaciones para el
procesamiento de
informacin

A.15.3.2

Proteccin de las

A.10.4.1

herramientas de auditora
de sistemas de
informacin

Nuevos controles propuestos.

Control

Descripcin

Absorbe los
controles de la ISO
27001:2005

A.6.1.4

Seguridad de la informacin en la gestin de

proyectos

A.12.6.2

Restricciones en la instalacin de software

A.14.2.1

Poltica de desarrollo de seguridad

A.14.2.5

Desarrollo de procedimientos para el sistema

A.14.2.6

Desarrollo de un entorno seguro

A.14.2.8

Sistema de prueba de seguridad

A.15.1.1

Informacin de seguridad para las relaciones de

proveedores

A.15.1.3

Cadena de suministro ICT

A.16.1.4

Evaluacin y decisin de los eventos de

seguridad de la informacin

A.16.1.5

Respuesta a incidentes de seguridad de la

informacin

A.6.2.3

A.17.1.2

Implementacin de la continuidad de la
seguridad de la informacin

A.17.2.1

Disponibilidad de las instalaciones para

procesamiento de informacin.

.
Conclusin
Esta nueva versin refleja una mayor flexibilidad para su implementacin
dentro de las empresas sin importar su tamao, as como la necesidad de
adaptarse a la evolucin de las tecnologas, lo que para muchos ya era
inminente desde hace algunos aos.
La recomendacin para quienes ya poseen un SGSI implementado es
considerar el apoyo de consultores con experiencia para llevar a cabo
las modifi caciones y dirigir los esfuerzos hacia una actualizacin
exitosa de la norma, conforme lo dictan los requisitos. Despus de
todo, con la actualizacin de la norma el cumplimiento ser ms fcil
de implementar con mejor flexibilidad para las empresas de cualquier
tamao. Y para ayudar con la transicin, BSI proporcionar una gua de
transicin y una escala de tiempo para realizar las adecuaciones
pertinentes y mantener la certifi cacin.