Iso-Iec 27000 (2016)

Norma Internacional ISO/IEC 27000
Cuarta edicin 2016-02-15

La tecnologa de la informacin - Tcnicas de seguridad - Sistemas de
gestin de seguridad de la informacin - Descripcin y vocabulario
Technologies de l'information - Tcnicas de scurit - Systmes de
gestion de scurit de l'information - Vue d'ensemble et vocabulaire
nmero de referencia ISO/IEC 27000:2016(E)
ISO/IEC 2016,
ISO/IEC 27000:2016(E)
documentos protegidos con copyright
ISO/IEC 2016, publicado en Suiza todos los derechos r eservados. A menos
que se especifique lo contrario, ninguna parte de esta publicacin puede
ser reproducida o utilizada de otra manera en cualquier forma o por
cualquier medio, electrnico o mecnico, incluyendo fotocopias, o
publicar en internet o en una intranet, sin el permiso previo por
escrito. El permiso puede ser solicitado a ISO en la direccin abajo o
ISO de miembros del cuerpo en el pas del solicitante.
ISO copyright office Ch. de Blandonnet 8 CP 401 CH-1214 Vernier,
Ginebra, Suiza Tel. +41 22 749 01 11 Fax: +41 22 749 09 47
Copyright@iso.org www.iso.org
ii ISO/IEC 2016 - Todos los derechos reservados
ISO/IEC 27000:2016(E)
NDICE Pgina
Prlogo 0 Introduccin
.........................................................................
.........................................................................
............................................................
.........................................................................
.........................................................................
.........................................................................
...............v 1 0.1 Overview
.........................................................................
.........................................................................
.................................................... 1 0.2 ismos familia
de estndares
.........................................................................
.........................................................................
.............. 1 0.3 El propsito de esta norma internacional
.........................................................................
............................................ ........ 2 1 Alcance
.........................................................................
.........................................................................
.........................................................................
...... 2
2 Trminos y definiciones
.........................................................................
.........................................................................
................................... 2
3 sistemas de gestin de seguridad de la informacin 14 3.1
.........................................................................
.........................................................................
.........................................................................
.........................................................................
.............................General 14 3.2 Qu es un SGSI? 14
.........................................................................
.........................................................................
..............................3.2.1 Descripcin general y principios
Informacin..............................................................
.........................................................................
.........................................................................
.........................................................................
.......................14 3.2.2 15 3.2.3 La seguridad de la informacin
15 3.2.4 Gestin
.........................................................................
.........................................................................
.........................................................................
.........................................................................
.........................................................................
.........................................................................
.. 15 3.2.5 Sistema de gestin .................... 16 3.3 enfoque de
proceso
.........................................................................
.........................................................................
.............................16 3.4 Por qu es importante un ISMS
.........................................................................
.........................................................................
........16 3.5 Establecer, supervisar, mantener y mejorar un SGSI
.........................................................................
.........................................................................
.........................................................................
. 17 3.5.1 Descripcin general .................... 17 3.5.2
Identificacin de requisitos de seguridad de la informacin 17
.........................................................................
........3.5.3 Evaluar los riesgos para la seguridad de la informacin 18
.........................................................................
.................................3.5.4 Tratamiento de los riesgos para la
seguridad de la informacin 18 3.5.5
.........................................................................
.....................................seleccionar e implementar controles
.........................................................................
................................18 3.5.6 supervisar, mantener y mejorar
la eficacia de la ISMS
.................................................19 3.5.7 mejora continua
19
.........................................................................
.................................................................ISMS 3.6
factores crticos de xito
.........................................................................
.........................................................................
...20 3.7 Beneficios de la familia de normas de ISMS
.........................................................................
..............................................20
4 ismos familia de estndares
.........................................................................
.........................................................................
.........................21 4.1 Informacin general
.........................................................................
.........................................................................
......................21 4.2 Normas que describen un panorama general y
terminologa
.........................................................................
.................22 4.2.1 de la norma ISO/IEC 27000 (Norma Internacional)
22 4.3 Normas
.........................................................................
............especificando requisitos
.........................................................................
................................................. ......... 22 4.3.1
ISO/IEC 27001
.........................................................................
.........................................................................
..............22 4.3.2 de la norma ISO/IEC 27005
.........................................................................
.........................................................................
..............22 4.4 Describir las normas directrices generales
.........................................................................
.............................................22 4.4.1 de la norma ISO/IEC
27002
................................................ .........................
.........................................................................
.........................................................................
.........................................................................
..............23 4.4.3 ISO/IEC 23 4.4.4
.........................................................................
.........................................................................
..............CP: 27004 ISO/IEC 27005
.........................................................................
.........................................................................
.........................................................................
.........................................................................
..............23 4.4.6 ISO/IEC TR 27008
.........................................................................
..................................................... ....................
.....23 4.4.7 de la norma ISO/IEC 27013
.........................................................................
.........................................................................
.........................................................................
.........................................................................
..............24 4.4.9 ISO/IEC TR 27016
.........................................................................
.........................................................................
.....24 4.5 Describir las normas directrices especficas de sector
.........................................................................
...........................25 4.5.1 de la norma ISO/IEC 27010
.........................................................................
.........................................................................
.........................................................................
.........................................................................
..............25 4.5.3 ISO/IEC TR 27015
.........................................................................
.........................................................................
.....25 4.5.4 de la norma ISO/IEC 27016
.........................................................................
.........................................................................
.........................................................................
.........................................................................
..............26 4.5.6 ISO/IEC TR 27019 ISO 27799
.........................................................................
.........................................................................
.....26 4.5.7 26
.........................................................................
................................................................. ........
..........................
ISO/IEC 2016 - Todos los derechos reservados iii
ISO/IEC 27000:2016(E) del

Anexo A (informativo) las formas verbales para la expresin de las
disposiciones........................................................... .
...............28 Anexo B (informativo) Plazo y trmino propiedad
.........................................................................
.........................................................................
.........................................................................
.........................................................................
.......................................................29 Bibliografa 33
iv ISO/IEC 2016 - Todos los derechos reservados
ISO/IEC 27000:2016(E)
Prlogo la
ISO (International Organization for Standardization) e IEC (International
Electrotechnical Commission) forman el sistema especializado para la
normalizacin mundial. Organismos nacionales que son miembros de ISO o
IEC participan en el desarrollo de normas internacionales a travs de
comits tcnicos establecidos por la organizacin respectiva para tratar
con los campos particulares de actividad tcnica. Los comits tcnicos de
ISO e IEC colaboran en campos de inters mutuo. Otras organizaciones
internacionales, gubernamentales y no gubernamentales, en colaboracin
con la ISO y la CEI, tambin toman parte en el trabajo. En el campo de la
tecnologa de la informacin, la ISO y la CEI han establecido un comit
tcnico conjunto ISO/IEC JTC 1.
Los procedimientos utilizados para desarrollar este documento y los
destinados a su mantenimiento son descritos en las normas ISO/IEC, Parte
1. En particular, los diferentes criterios de aprobacin necesarios para
los diferentes tipos de documentos deben ser observadas. Este documento
fue redactado de conformidad con las normas de redaccin de las
directrices de ISO/IEC, Parte 2 (vase www.iso.org/directives).
Se seala a la atencin la posibilidad de que algunos de los elementos de
este documento pueden estar sujetos a derechos de patente. La ISO y la
CEI no se responsabiliza por la identificacin de cualquiera o todos los
derechos de patente. Detalles de cualesquiera derechos de patente
identificadas durante el desarrollo del documento ser en la introduccin
y/o en la lista ISO de declaraciones recibidas de patentes (vase
www.iso.org/patents).
Cualquier nombre comercial utilizado en este documento es informacin
dada para la comodidad del usuario y no constituyen un endoso.
Para obtener una explicacin sobre el significado de la ISO determinados
trminos y expresiones relativas a la evaluacin de la conformidad, as
como informacin acerca de ISO's la adhesin a los principios de la OMC
sobre Obstculos Tcnicos al Comercio (OTC), visite la siguiente URL:
Prefacio - Informacin complementaria
El comit responsable de este documento es ISO/IEC JTC 1, tecnologa de
la informacin, SC 27, tcnicas de seguridad.
Esta cuarta edicin anula y sustituye la tercera edicin (ISO/IEC
27000:2014), que ha sido tcnicamente revisada.
ISO/IEC 2016 - Todos los derechos reservados v
estndar internacional ISO/IEC 27000:2016(E)

tecnologa de la informacin - Tcnicas de seguridad - Sistemas de
0 Introduccin
0.1 Introduccin
Las normas internacionales para los sistemas de gestin proporcionan un
modelo a seguir en el establecimiento y funcionamiento de un sistema de
gestin. Este modelo incorpora todas las caractersticas que los expertos
en la materia han alcanzado un consenso, como el estado del arte
internacional ISO/IEC JTC 1/SC 27 mantiene un comit de expertos
dedicados al desarrollo internacional de las normas de sistemas de
gestin de seguridad de la informacin, tambin conocido como el Sistema
de Gestin de seguridad de informacin (ISMS) Familia de estndares.
Mediante el uso de la familia de normas de ISMS, las organizaciones
pueden desarrollar y poner en prctica un marco para la gestin de la
seguridad de sus activos de informacin incluida informacin financiera,
propiedad intelectual, y los detalles de empleado, o la informacin
confiada a ellos por clientes o terceros. Estas normas tambin pueden
utilizarse para preparar una evaluacin independiente de su ISMS se
aplica a la proteccin de la informacin.
0.2 Normas de la familia ISMS
ISMS familia de estndares (ver clusula 4) est diseado para ayudar a
organizaciones de todos los tipos y tamaos para implementar y operar un
SGSI y consta de las siguientes normas internacionales, bajo el ttulo
general de tecnologa de la informacin - Tcnicas de seguridad (dadas a
continuacin en orden numrico):
- ISO/IEC 27000, sistemas de gestin de seguridad de la informacin -
Descripcin y vocabulario - ISO/IEC 27001, sistemas de gestin de
seguridad de la informacin - Requisitos - ISO/IEC 27002, el cdigo de
prcticas para los controles de seguridad de la informacin - ISO/IEC
27003, la aplicacin del sistema de gestin de la seguridad de la
informacin - ISO/IEC Gua CP: 27004, gestin de la seguridad de la
informacin - Medicin - ISO/IEC 27005, la gestin de riesgos de
seguridad de la informacin - ISO/IEC 27005, Requisitos para organismos
de auditora y certificacin de sistemas de gestin de seguridad de la
informacin
- ISO/IEC 27007, Directrices para la auditora de los sistemas de gestin
de la seguridad de la informacin - ISO/IEC TR 27008, Directrices para
los auditores en los controles de seguridad de la informacin - ISO/IEC
27008, especficos para cada sector de aplicacin de la norma ISO/IEC
27001 - Requisitos - ISO/IEC 27010, gestin de la seguridad de la
informacin para inter-sectorial e inter-comunicacin organizacional
- ISO/IEC 27011, gestin de la seguridad de la informacin las
directrices para los organismos de telecomunicaciones basado en ISO/IEC
27002
- ISO/IEC 27013, orientacin sobre la aplicacin integrada de ISO/IEC
27001 e ISO/IEC 20000-1
ISO/IEC 2016 - Todos los derechos reservados el 1 de
ISO/IEC 27000:2016(E)
- Modo/IEC I 27014, Gestin de seguridad de la informacin - ISO/IEC TR
27015, seguridad de la informacin las directrices de gestin para los
servicios financieros - ISO/IEC TR 27016, gestin de la seguridad de la
informacin - economa organizacional - ISO/IEC 27016, el cdigo de
prcticas para la seguridad de la informacin los controles basados en
ISO/IEC 27002 para los servicios cloud
- ISO/IEC 27018, el cdigo de prcticas para la proteccin de informacin
personal identificable (PII) en las clouds pblicas actuando como PII
procesadores
- ISO/IEC 27019, directrices de gestin de la seguridad de la informacin
basado en ISO/IEC 27002 para sistemas de control de proceso especficas
para la industria de servicios pblicos de energa
Nota el ttulo general de "tecnologa de la informacin - Tcnicas de
seguridad" indica que estas normas internacionales fueron preparados por
el Comit Tcnico Conjunto ISO/IEC JTC 1, la tecnologa de la
informacin, el Subcomit SC 27, tcnicas de seguridad.
Las normas internacionales no estn bajo el mismo ttulo general que
tambin son parte de la familia de normas de ISMS son como sigue:
- ISO 27799, Salud informtica - la gestin de la seguridad de la
informacin en salud en el uso de la norma ISO/IEC 27002
0.3 El propsito de esta Norma Internacional
Esta Norma Internacional proporciona una visin general de los sistemas
de gestin de seguridad de informacin y define los trminos
relacionados.
Nota El Anexo A proporciona una aclaracin sobre cmo se usan las formas
verbales para expresar requisitos y/u orientacin en el SIVS familia d e
estndares.
La familia de normas de ISMS incluye normas que
a) definir los requisitos de un SGSI y para aquellos certificar tales
sistemas, b) proporcionar apoyo directo, orientacin detallada y/o de
interpretacin para el proceso global para establecer, implementar,
mantener y mejorar un sistema ISMS,
c) direccin sector ISMS Directrices especficas para la direccin, y d)
evaluacin de la conformidad de los ismos.
Los trminos y definiciones dadas en esta norma internacional
- tapa trminos y definiciones comnmente utilizadas en la familia de
normas de ISMS, - no cubren todos los trminos y definiciones aplicadas
dentro de la familia de normas de ISMS, y - no limitar los ismos familia
de estndares en la definicin de nuevos trminos de uso.
1 mbito de aplicacin
Esta Norma Internacional proporciona la introduccin de sistemas de
gestin de seguridad de la informacin, as como los trminos y
definiciones comnmente utilizadas en la familia de normas de ISMS. Esta
Norma Internacional es aplicable a todos los tipos y tamaos de
organizacin (por ejemplo, empresas comerciales, agencias
gubernamentales, organizaciones sin nimo de lucro).
2 Trminos y definiciones
para los propsitos de este documento, los siguientes trminos y
definiciones son aplicables.
ISO/IEC 2 2016 - Todos los derechos reservados
ISO/IEC 27000:2016(E)
2.1 medios de control de acceso para garantizar que el acceso a los
activos es autorizado y restringido basado en las necesidades
empresariales y de seguridad (2.63)
2.2 modelo analtico o algoritmo de clculo combinando una o ms medidas
de base (2.10) y/o medidas derivadas (2.22) con criterios de decisin
asociado (2.21)
2.3 Ataque, exponer a intentar destruir, alterar, inutilizar, robar u
obtener acceso no autorizado a o hacer un uso no autorizado de un activo
2.4 propiedad de atributo o caracterstica de un objeto (2.55) que puede
ser distinguido cuantitativa o cualitativamente por medios automatizados
o humana
[Fuente: ISO/IEC 15939:2007, 2.2, modificado: "entidad" ha sido
sustituida por "objeto" en la definicin.]
2.5 Auditora proceso sistemtico, independiente y documentado (2.61)
para obtener Evidencias de la auditora y evaluarlas de manera objetiva
con el fin de determinar el grado en que se cumplen los criterios de
auditora
nota o entrada: 1 t una auditora puede ser una auditora interna
(primera parte) o una auditora externa (segunda parte o tercero), y
puede ser una combinacin de auditora (Combinar dos o ms disciplinas).
Nota 2 de entrada: "evidencias de la auditora" y "criterios de
auditora" se definen en la norma ISO 19011.
Alcance de la auditora 2.6 alcance y lmites de una auditora (2.5)
[Fuente: ISO 19011:2011, 3.14, modificados - Nota 1 de entrada se ha
eliminado.]
2.7 Provisin de autenticacin de seguridad que se reclama una
caracterstica de una entidad es correcta
2.8 autenticidad propiedad que una entidad es lo que afirma ser
2.9 Disponibilidad propiedad de ser accesible y usable bajo demanda por
una entidad autorizada
2.10 base medir medir (2,47), definido en trminos de un atributo (2,4) y
el mtodo para cuantificar
[Fuente: ISO/IEC 15939:2007, 2.3, modificado - Nota 2 a la entrada se ha
eliminado.]
Nota 1 de entrada: una medida de base es funcionalmente independiente de
otras medidas (2,47).
2.11 competencia capacidad para aplicar los conocimientos y habilidades
para alcanzar los resultados previstos
ISO/IEC 2016 - Todos los derechos reservados 3
ISO/IEC 27000:2016(E)
2.12 confidencialidad propiedad que la informacin no est disponible o
revelada a individuos no autorizados, entidades o procesos (2.61)
2.13 conformidad cumplimiento de un requisito (2.63)
Nota 1 de entrada: El trmino "conformidad" es sinnimo pero obsoleto.
2.14 consecuencia resultado de un evento (2,25) que afectan a los
objetivos (2.56)
[Fuente: Gua ISO 73:2009, 3.6.1.3, modificado]
Nota 1: entrada a un evento (2.25) puede conducir a una serie de
consecuencias.
Nota 2 a la entrada: una consecuencia puede ser cierta o incierta y en el
contexto de seguridad de la informacin (2.33) por lo general es
negativo.
Nota 3: Las consecuencias de la entrada puede ser expresado de forma
cuantitativa o cualitativa.
Nota 4 de entrada: primeras consecuencias pueden escalar a travs de
efectos en cadena.
2.15 Mejora continua actividad recurrente para aumentar el rendimiento
(2.59)
2.16 la medida de control que est modificando el riesgo (2,68)
[Fuente: Gua ISO 73:2009, 3.8.1.1]
nota o entrada: 1 t controles incluyen cualquier proceso (2.61), la
poltica (2,60), dispositivo, prctica, u otras acciones que modificar el
riesgo (2,68).
Nota 2: Controles de entrada no siempre puede ejercer la intencin o
supone la modificacin de efecto.
2.17 control objetivo declaracin describiendo lo que se logr como
resultado de la aplicacin de los controles (2.16)
2.18 accin correctora para eliminar una no conformidad detectada (2.53)
2.19 la accin correctiva accin para eliminar la causa de una no
conformidad (2.53) y para prevenir la recurrencia de
2,20 la recopilacin de datos de los valores asignados a las medidas de
base (2.10), medidas derivadas (2.22) y/o indicadores (2.30)
[Fuente: ISO/IEC 15939:2007, 2.4, modificado - Nota 1 de entrada ha sido
agregado.]
Nota 1 de entrada: Esta definicin se aplica nicamente dentro del
contexto de la norma ISO/IEC CP: 27004.
ISO/IEC 27000:2016(E)
2.21 criterios de decisin los umbrales, los objetivos o los patrones
usados para determinar la necesidad de una accin o investigacin
adicional, o para describir el nivel de confianza en un determinado
resultado
[Fuente: ISO/IEC 15939:2007, 2.7]
2.22 medida derivada medir (2,47) que se define como una funcin de dos o
ms valores de medidas de base (2.10)
[Fuente: ISO/IEC 15939:2007, 2.8, modificado - Nota 1 de entrada se ha
eliminado.]
2.23 informacin documentada informacin necesaria para ser controlados y
mantenidos por una organizacin (2.57) y el medio en el que est
contenida la
nota 1 de entrada: informacin documentada y puede estar en cualquier
formato y soporte y desde cualquier fuente.
Nota 2 de entrada: informacin documentada puede referirse a: el sistema
de gestin (2,46), incluyendo procesos conexos (2.61); - informacin
creada para la organizacin (2,57) para operar (documentacin); - la
evidencia de los resultados obtenidos (registros).
2.24 eficacia grado en que se realizan las actividades planificadas y los
resultados previstos alcanzado
2,25 de ocurrencia del evento o el cambio de un conjunto determinado de
circunstancias
[Fuente: Gua ISO 73:2009, 3.5.1.3, modificado - Nota 4 de entrada se ha
eliminado.]
Nota 1 de entrada: Un evento puede tener uno o ms ocurrencias, y puede
tener varias causas.
Nota 2: la entrada a un evento puede consistir en algo que no est
sucediendo.
Nota 3: la entrada a un evento a veces puede ser contemplado como un
"incidente" o "accidente".
2.26 La gestin ejecutiva persona o grupo de personas que han delegado la
responsabilidad del consejo de administracin (2.29) para la
implementacin de estrategias y polticas para la conse cucin de los
objetivos de la organizacin (2.57)
Nota s 1 t de entrada: direccin ejecutiva se denomina a veces la
gerencia superior (2,84) y puede incluir Chief Executive Officers,
Directores Financieros, Directores de informacin, y funciones similares.
2.27 contexto externo entorno externo en el que la organizacin pretende
alcanzar sus objetivos (2.56)
[Fuente: Gua ISO 73:2009, 3.3.1.1]
Nota 1 de entrada: contexto externo pueden incluir los siguientes:
- las condiciones culturales, sociales, polticos, legales, regulatorios,
financieros, tecnolgicos, econmicos, naturales y el entorno
competitivo, ya sea internacional, nacional, regional o local;
- impulsores clave y tendencias que repercuten en los objetivos (2.56) de
la organizacin (2,57);
ISO/IEC 27000:2016(E)
- elationships y percepciones y valores de r externos interesados (2,82).
2.28 Sistema de gobernanza de la seguridad de la informacin mediante la
cual una organizacin (2.57) (2.33) la seguridad de la informacin las
actividades son dirigidas y controladas
2.29 rgano rector persona o grupo de personas que son responsables del
rendimiento (2,59) y la adecuacin de la organizacin (2.57)
Nota 1: Entrada al Consejo de Administracin en algun as jurisdicciones
puede ser una junta de directores.
Medir el indicador de 2.30 (2.47) que proporciona una estimacin o
evaluacin de los atributos especificados (2.4) derivados de un modelo
analtico (2.2) con respecto a las necesidades de informacin def inidas
(2.31)
2.31 informacin necesitan una perspectiva necesaria para gestionar
objetivos (2,56), objetivos, riesgos y problemas
[Fuente: ISO/IEC 15939:2007, 2.12]
2.32 Los recursos de procesamiento de la informacin de cualquier sistema
de procesamiento de informacin, servicio o infraestructura, o la
ubicacin fsica de vivienda
2.33 La seguridad de la informacin es la preservacin de la
confidencialidad (2.12), integridad (2,40) y la disponibilidad (2.9) de
la
nota de informacin o inscripcin: 1 t e, adems, otras propiedades, como
la autenticidad (2.8), la rendicin de cuentas, no -repudio (2,54) y
confiabilidad (2,62) tambin pueden estar involucrados.
2.34 La continuidad de los procesos de seguridad de la informacin (2.61)
y los procedimientos para asegurar la seguridad de la informacin (2.33)
las operaciones de
seguridad de la informacin 2.35 suceso identificado ocurrencia de un
sistema, servicio o red estado indicando una posible infraccin de la
seguridad de la informacin (2.33) (2.60) o el fracaso de los controles
(2,16), o una situacin previamente desconocidos que pueden ser
relevantes de seguridad
2.36 de incidentes de seguridad de informacin nico o una serie de
embarazos no deseados o inesperados acontecimientos de seguridad de la
informacin (2,35%) que tienen una probabilidad significativa de
comprometer las operaciones comerciales y amenazando la seguridad de la
informacin (2.33)
2.37 La seguridad de la informacin de los procesos de gestin de
incidencias (2.61) para detectar, informar, evaluar, responder a tratar,
y aprender a partir de la informacin de incidentes de seguridad (2.36)
2.38 compartir informacin grupo de organizaciones comunitarias (2,57)
que convienen en compartir informacin
Nota 1 De entrada: Una organizacin (2.57) puede ser un individuo.
ISO/IEC 27000:2016(E)
2.39 aplicaciones de sistemas de informacin, servicios y activos de
tecnologa de la informacin, u otros componentes de manejo de
informacin
2.40 integridad propiedad de exactitud y exhaustividad
2.41 interesado, persona u organizacin (2,57) que puede afectar, ser
afectados por, o se perciben a s mismos para ser afectado por una
decisin o actividad
2.42 contexto interno ambiente interno en el cual la organizacin (2,57)
pretende alcanzar sus objetivos
[Fuente: Gua ISO 73:2009, 3.3.1.2]
Nota 1 de entrada: contexto interno pueden incluir los siguientes:
- gestin, estructura organizacional, funciones y responsabilidades; -
polticas (2,60), los objetivos (2,56), y las estrategias que estn en
marcha para alcanzarlos; - las capacidades, entendida en trminos de
recursos y de conocimiento (por ejemplo, capital, el tiempo, la gente
Procesos (2.61), sistemas y tecnologas);
- sistemas de informacin (2,39), los flujos de informacin y procesos de
toma de decisiones (2,61) (formales e informales); - las relaciones y
percepciones y valores de los interesados internos (2,82); - la
organizacin (2,57) cultura; - las normas, directrices y modelos
adoptados por la organizacin (2,57); - la forma y el alcance de las
relaciones contractuales.
2.43 PROYECTO DE ISMS actividades estructuradas realizadas por una
organizacin (2.57) para implementar un SGSI
2.44 nivel de riesgo la magnitud de un riesgo (2,68), expresado en
trminos de la combinacin de consecuencias (2.14) y su probabilidad
(2.45)
[Fuente: Gua ISO 73:2009, 3.6.1.8, modificado: "o combinacin de
riesgos" ha sido eliminado en la definicin.]
2.45 probabilidad probabilidad de que ocurriera algo
[Fuente: Gua ISO 73:2009, 3.6.1.1, modificado: las notas 1 y 2 de
entrada han sido eliminados.]
2.46 Sistema de gestin relacionadas o conjunto de elementos
interrelacionados de una organizacin (2.57) para establecer polticas
(2,60) y los objetivos (2,56) y procesos (2.61) para lograr esos
objetivos la
nota 1 de entrada: un sistema de gestin puede abordar una sola
disciplina o de varias disciplinas.
ISO/IEC 2016 - Todos los derechos reservados 7 de
ISO/IEC 27000:2016(E)
nota o entrada: 2 t en los elementos del sistema incluyen la estructura
de la organizacin, funciones y responsabilidades, la planificacin, la
operacin.
Nota 3 de entrada: el mbito de aplicacin de un sistema de gestin puede
incluir la totalidad de la organizacin (2,57), e identific las
funciones especficas de la organizacin (2,57), e identificaron las
secciones especficas de la organizacin (2,57), o de una o ms funciones
a travs de un grupo de organizaciones (2,57).
2.47 medir la variable a la que se asigna un valor como el resultado de
la medicin (2.48)
[Fuente: ISO/IEC 15939:2007, 2.15, modificado]
Nota o nintente: 1 t e El trmino "medidas" se utiliza para referirse
colectivamente a las medidas de base (2.10), medidas derivadas (2,22), e
indicadores (2,30).
El proceso de medicin de 2,48 (2,61) para determinar un valor
Nota o nintente: 1 t e en el contexto de seguridad de la informacin
(2,33), el proceso (2.61) para determinar un valor requiere informacin
acerca de la efectividad (2.24) de seguridad de la informacin (2.33)
sistema de gestin (2,46) y sus controles asociados (2,16) utilizando un
mtodo de medicin (2,50), una funcin de medicin (2,49), un modelo
analtico (2.2), y criterios de decisin (2.21).
2.49 La funcin de medicin del algoritmo o clculo efectuado para
combinar dos o ms medidas de base (2.10)
[Fuente: ISO/IEC 15939:2007, 2.20]
2.50 Mtodo de medicin de la secuencia lgica de las operaciones
descritas genricamente, utilizado en la cuantificacin de un atributo
(2.4) con respecto a una determinada escala (2,80) [Fuente: ISO/IEC
15939:2007, 2.22, modificados - Nota 2 a la entrada se ha eliminado.]
Nota o nintente: 1 t e el tipo de mtodo de medicin depende de la
naturaleza de las operaciones utilizadas para cuantificar un atributo
(2,4). Se pueden distinguir dos tipos:
- subjetivo: la cuantificacin de juicio humano; - objetivo:
cuantificacin numrica basada en reglas.
2.51 Los resultados de la medicin de uno o ms indicadores (2,30), y sus
consiguientes interpretaciones que abordar una necesidad de informacin
(2.31)
2.52 seguimiento para determinar el estado de un sistema, un proceso
(2.61) o una actividad
nota 1 de entrada: para determinar el estado, puede haber una necesidad
de controlar, supervisar o observar crticamente.
2.53 No conformidad Incumplimiento de un requisito (2.63)
2.54 no repudio capacidad para demostrar la ocurrencia de un evento
reclamada (2.25) o a la accin y sus entidades originadoras
8 ISO/IEC 2016 - Todos los derechos reservados
ISO/IEC 27000:2016(E)
2.55 elemento de objeto caracterizado por medio de la medicin (2.48) de
sus atributos (2.4)
2.56 resultado objetivo que debe lograrse la
nota 1 de entrada: puede ser un objetivo estratgico, tctico u
operativo.
Nota 2: Los objetivos de la entrada puede referirse a diferentes
disciplinas (tales como finanzas, salud y seguridad, y las metas
ambientales) y se puede aplicar en diferentes niveles (estratgico, a
nivel de toda la organizacin, proyecto, producto y proceso (2.61).
Nota 3 de entrada: Un objetivo puede ser expresada de otras maneras, por
ejemplo como resultado previsto, una finalidad, un criterio operacional,
como la seguridad de la informacin (2,33) objetivo o por el uso de otras
palabras de significado similar (p.ej. AIM, objetivo o meta).
Nota 4 de entrada: En el contexto de seguridad de la informacin (2.33)
sistemas de gestin (2,46), la seguridad de la informacin (2,33) son los
objetivos establecidos por la organizacin, en consonancia con la
seguridad de la informacin poltica (2.33) (2.60), para lograr
resultados especficos.
2.57 organizacin persona o grupo de personas que tiene sus propias
funciones con responsabilidades, autoridades y relaciones para lograr sus
objetivos (2.56)
Nota o nintente: 1 t e El concepto de organizacin incluye pero no se
limita a la sola-trader, sociedad, firma, empresa, autoridad, asociacin
o institucin de caridad, o parte o combinacin de ellas, tenga o no
personalidad jurdica, sea pblico o privado.
2.58 externalizar hacer un arreglo donde una organizacin externa (2,57)
realiza parte de una organizacin (2.57), funcin o proceso (2.61)
Nota o nintente: 1 t e una organizacin externa est fuera del alcance
del sistema de gestin (2,46), aunque la funcin subcontratada o proceso
(2.61) se encuentra dentro del alcance.
2.59 desempeo resultados mensurables
Nota 1 de entrada: El rendimiento puede referirse tanto a los hallazgos
cuantitativos o cualitativos.
Nota 2: El rendimiento de entrada pueden referirse a la gestin de las
actividades, los procesos (2,61), los productos (incluidos los
servicios), sistemas u organizaciones (2,57).
2.60 las intenciones polticas y la direccin de una organizacin (2.57)
como expresaron formalmente por sus directivos (2.84)
2.61 conjunto de procesos interrelacionados que interactan o actividades
que transforma las entradas en salidas
2.62 fiabilidad propiedad de consecuente comportamiento previsto y los
resultados
ISO/IEC 27000:2016(E)
2,63 requisito necesidad o expectativa que se declar, generalmente
IMPLCITA U OBLIGATORIA
nota o entrada: 1 t "generalmente implcita" significa que es costumbre o
prctica comn para la organizacin (2,57) y a las partes interesadas que
la necesidad o expectativa bajo consideracin est implcita.
A la entrada de la Nota 2: Un requisito especificado es aquel que se
manifest, por ejemplo, en informacin documentada (2,23).
2.64 riesgo residual (2,68) restante despus de tratamiento de riesgos
(2.79)
Nota 1 de entrada: riesgo residual puede contener los riesgos no
identificados (2,68).
Nota 2 de entrada: riesgo residual tambin puede ser conocido como
"retenido" de riesgo.
2.65 revisin actividad emprendida para determinar la idoneidad,
pertinencia y efectividad (2.24) de la materia para alcanzar los
objetivos establecidos (2,54)
eliminado.]
2.66 revisin objeto especfico tema siendo revisada
2.67 examen objetivo declaracin describiendo lo que deba lograrse como
resultado de una revisin (2.65)
2.68 efecto de riesgo de incertidumbre sobre los objetivos
[Fuente: Gua ISO 73:2009, 1.1, modificado]
Nota 1 de entrada: Un efecto es una desviacin de lo esperado - positivos
o negativos.
Nota 2 de entrada: la incertidumbre es el estado, aunque sea parcial, de
la deficiencia de la informacin relacionada con el conocimiento,
entendimiento o de un evento (2,25), su consecuencia (2.14), o la
probabilidad (2,45).
Nota 3 de entrada: el riesgo se caracterizan a menudo por referencia a
posibles eventos (2,25) y consecuencias (2.14), o una combinacin de
estos.
Nota 4 de entrada: riesgo suele expresarse en trminos de una combinacin
de las consecuencias (2.14) de un evento (2,25) (incluyendo los cambios
en las circunstancias) y la probabilidad asociada (2. 45) de ocurrencia.
Nota 5 de entrada: En el contexto de seguridad de la informacin (2.33)
sistemas de gestin (2,46), la seguridad de la informacin (2.33) los
riesgos puede ser expresado como efecto de la incertidumbre sobre la
seguridad de la informacin (2.33) objetivos (2,56).
Nota 6: Seguridad de la informacin de entrada (2.33) el riesgo est
asociado con el potencial de que las amenazas (2,83) se explotan
vulnerabilidades (2.89) de un activo o grupo de activos de informacin y,
por lo tanto, causar dao a una organizacin (2.57).
2.69 Aceptacin de riesgos para tomar una decisin informada del riesgo
particular (2.68)
[Fuente: Gua ISO 73:2009, 3.7.1.6]
nota o entrada: 1 t aceptacin del riesgo puede ocurrir sin el
tratamiento de riesgos (2.79) o durante el proceso (2.61) de tratamiento
de riesgos (2,79).
ISO/IEC 27000:2016(E)
Nota 2 de entrada: riesgos aceptados (2,68) estn sujetos a supervisin
(2,52) y revisin (2,65).
El proceso de anlisis de riesgo de 2,70 (2,61) para comprender la
naturaleza del riesgo (2,68) y para determinar el nivel de riesgo (2,44)
[Fuente: Gua ISO 73:2009, 3.6.1]
nota o entrada: 1 t anlisis de riesgos proporciona la base para la
evaluacin del riesgo (2,74), y las decisiones sobre el tratamiento de
riesgos (2,79).
Nota 2 a la entrada: anlisis de riesgo incluye la estimacin del riesgo.
Proceso general de evaluacin de riesgo de 2,71 (2,61) de identificacin
de riesgos (2,75), anlisis de riesgo (2,70) y la evaluacin de los
riesgos (2.74) [Fuente: Gua ISO 73:2009, 3.4.1]
2.72 la comunicacin de riesgos y la consulta continua y procesos
iterativos (2.61) que la organizacin lleva a cabo para proporcionar,
compartir u obtener informacin y de entablar un dilogo con las partes
interesadas (2,82) con respecto a la gestin de riesgo (2.68)
nota o entrada: 1 t la informacin puede referirse a la existencia, la
naturaleza, la forma, la probabilidad (2,45), el significado, la
evaluacin, la aceptabilidad y el tratamiento del riesgo (2,68).
Nota 2: la entrada de la consulta es un proceso de dos vas (2,51)
inform de la comunicacin entre una organizacin (2.57) y sus grupos de
inters (2.82) sobre un tema antes de tomar una decisin o determinar una
orientacin sobre esta cuestin.
Consulta
- es un proceso (2.61), que influye en la decisin a travs de la
influencia en lugar de poder y -un insumo para la toma de decisiones, no
una decisin conjunta.
2.73 criterios de riesgo trminos de referencia contra la cual el
significado de riesgo (2,68) es evaluada
[Fuente: Gua ISO 73:2009, 3.3.1.3]
nota o entrada: 1 t criterios de riesgo se basan en los objetivos
organizacionales, y externos (2,27) y contexto interno (2.42).
Nota 2 de entrada: criterios de riesgo pueden derivarse de nor mas, leyes,
polticas (2,60) y otros requisitos (2,63).
Proceso de evaluacin de riesgo de 2,74 (2,61), de la comparacin de los
resultados del anlisis de riesgo (2,70) con criterios de riesgo (2.73)
para determinar si el riesgo (2,68) y/o su magnitud es aceptable o
tolerable
[Fuente: Gua ISO 73:2009, 3.7.1]
Nota 1: evaluacin del riesgo de entrada de ayuda a la decisin sobre el
tratamiento de riesgos (2,79).
2.75 El proceso de identificacin de riesgos (2.61) de encontrar,
reconocer y describir los riesgos (2,68)
[Fuente: Gua ISO 73:2009, 3.5.1]
nota o entrada: 1 t la identificacin de riesgos consiste en la
identificacin de fuentes de riesgo, eventos (2.25), sus causas y sus
consecuencias potenciales (2.14).
Nota 2 de entrada: la identificacin del riesgo puede implicar datos
histricos, anlisis terico, informados y opiniones de expertos, y de
los sectores interesados (2,82).
ISO/IEC 27000:2016(E)
gestin de riesgos 2.76 actividades coordinadas para dirigir y controlar
una organizacin (2.57) con respecto al riesgo (2.68)
[Fuente: Gua ISO 73:2009, 2.1]
2.77 proceso de gestin de riesgos la aplicacin sistemtica de polticas
de gestin (2,60), procedimientos y prcticas para las actividades de
comunicacin, consultora, establecer el contexto y la identificacin,
anlisis, evaluacin, tratamiento, seguimiento y revisin de riesgo
(2,68)
[Fuente: Gua ISO 73:2009, 3.1, modificado - Nota 1 de entrada ha sido
agregado.]
Nota o nintente: 1 t e ISO/IEC 27005 se utiliza el trmino "proceso"
(2.61) para describir la gestin del riesgo en general. Los elementos
dentro de la gestin del riesgo (2.76) (2.61) se denominan "actividades".
2.78 riesgo propietario persona o entidad con la responsabilidad y la
autoridad para administrar el riesgo (2,68)
[Fuente: Gua ISO 73:2009, 3.5.1.5]
2.79 proceso de tratamiento de riesgos (2.61) para modificar el riesgo
(2,68)
[Fuente: Gua ISO 73:2009, 3.8.1, modificado: "Decisin" ha sido
reemplazada por "eleccin" en la nota 1 de entrada.]
Nota 1 riesgo de entrada: el tratamiento puede incluir lo siguiente:
- evitar el riesgo (2,68) al decidir no iniciar o continuar con la
actividad que origina el riesgo (2,68); - tomar o de mayor riesgo (2,68)
con el fin de perseguir una oportunidad; - eliminar el riesgo (2.68)
Fuente: - cambio de la probabilidad (2,45); - cambio de las consecuencias
(2.14); - compartir el riesgo (2,68) con la otra Parte o Partes
(incluidos los contratos Y corren el riesgo de financiacin); - el riesgo
de retencin (2,68) por la eleccin informada.
Nota 2: el riesgo de entrada a tratamientos que lidiar con consecuencias
negativas (2.14) se denominan a veces "mitigacin de riesgo",
"Eliminacin de riesgo", "prevencin de riesgos" y "reduccin de
riesgos".
Nota 3 de entrada: el tratamiento de riesgos puede generar nuevos riesgos
(2,68) o modificar los riesgos existentes (2,68).
2.80 escala conjunto ordenado de valores, continua o discreta, o un
conjunto de categoras a las que el atributo (2,4) se asigna
[Fuente: ISO/IEC 15939:2007, 2.35, modificado]
Nota o nintente: 1 t e el tipo de escala que depende de la naturaleza de
la relacin entre los valores de la escala. Cuatro tipos de escala son
comnmente definida como sigue:
- nominal: la medicin (2,48) los valores son categricos; - ordinal: la
medicin (2,48) los valores son los rankings;
ISO/IEC 27000:2016(E)
- nterval: la medicin i (2,48) los valores tienen iguales distancias
correspondientes a cantidades iguales del atributo (2.4);
- ndice: la medicin (2,48) los valores tienen iguales distancias
correspondientes a cantidades iguales del atributo (2.4), donde el valor
cero corresponde a ninguno de los atributos.
Estos son slo algunos ejemplos de los tipos de escala.
2.81 La implementacin de seguridad de documento estndar de
especificacin de medios autorizados para el logro de la seguridad
2.82 stakeholder persona u organizacin (2,57) que puede afectar, ser
afectados por, o se perciben a s mismos para ser afectado por una
decisin o actividad
eliminado.]
2,83 amenaza causa potencial de un incidente no deseado, lo que puede
resultar en dao a un sistema u organizacin (2.57)
2.84 alta direccin persona o grupo de personas que dirige y controla una
organizacin (2.57) al ms alto nivel
nota o entrada: 1 t la gerencia superior tiene la facultad de delegar
autoridad y proporcionar recursos dentro de la organizacin (2,57).
Nota 2 de entrada: Si el alcance del sistema de gestin (2,46) cubre slo
una parte de la organizacin (2,57) y, a continuacin, la gerencia
superior se refiere a las personas que dirigen y controlan esa parte de
la organizacin (2,57).
2.85 Informacin de confianza comunicacin entidad organizacin autnoma
(2,57) que apoyan el intercambio de informacin dentro de una comunidad
de intercambio de informacin (2.38)
2.86 Unidad de medida cantidad particular, definida y adoptada por
convencin, con el cual otras cantidades del mismo tipo son comparadas a
fin de expresar su magnitud relativa a esa cantidad
[Fuente: ISO/IEC 15939:2007, 2.40,
2.87 modificado] confirmacin de validacin, mediante el suministro de
evidencia objetiva, de que los requisitos (2.63) para un uso o aplicacin
especficos previstos se han cumplido
[Fuente: ISO 9000:2015, 3.8.12, modificado]
2.88 verificacin confirmacin, mediante la aportacin de evidencias
objetivas que los requisitos especificados (2.63) se han cumplido
[Fuente: ISO 9000:2015, 3.8.4]
Nota 1 de entrada: esto podra ser llamado tambin pruebas de
cumplimiento.
ISO/IEC 27000:2016(E)
2,89 vulnerabilidad debilidad de un activo o de control (2.16) que puede
ser explotada por una o ms amenazas (2,83)
3 formacin en sistemas de gestin de seguridad
3.1
organizaciones generales de todos los tipos y tamaos:
a) recopilar, procesar, almacenar y transmitir la informacin; b)
reconoce que la informacin y los procesos relacionados, los sistemas,
las redes y las personas son un importante activo para el logro de los
objetivos de la organizacin;
c) se enfrentan a una serie de riesgos que pueden afectar el
funcionamiento de los activos; y d) abordar la percepcin de su
exposicin al riesgo mediante la implementacin de controles de seguridad
de la informacin.
Toda la informacin contenida y procesada por una organizacin est
sujeta a las amenazas de ataque, error de la naturaleza (por ejemplo,
inundaciones o incendios), etc., y est sujeto a las vulnerabilidades
inherentes a su utilizacin. El trmino seguridad de la informacin
generalmente se basa en la informacin que se considera como un activo
que tiene un valor que requiere una proteccin adecuada, por ejemplo,
frente a la prdida de disponibilidad, confidencialidad e integridad.
Habilitar la informacin completa y precisa para estar disponible en
forma oportuna para aquellos con una necesidad autorizado es un
catalizador para la eficiencia empresarial.
Proteccin de los activos de informacin a travs de la definicin, el
logro, el mantenimiento y la mejora de la seguridad de la informacin
eficaz es esencial para que una organizacin pueda alcanzar sus
objetivos, y mantener y mejorar su cumplimiento legal y la imagen. Estas
actividades coordinadas dirigiendo la aplicacin de controles adecuados y
tratar inaceptables riesgos de seguridad de la informacin son
generalmente conocidos como elementos de la gestin de la seguridad de la
informacin.
Como los riesgos de la seguridad de la informacin y la eficacia de los
controles cambian dependiendo de circunstancias cambiantes, las
organizaciones necesitan:
a) vigilar y evaluar la eficacia de la aplicacin de los controles y
procedimientos; b) identificar los riesgos emergentes para ser tr atada; y
c) seleccionar, implementar y mejorar los controles apropiados, segn sea
necesario.
A interrelacionar y coordinar dichas actividades de seguridad de la
informacin, cada organizacin debe establecer sus polticas y objetivos
de seguridad de la informacin y lograr esos objetivos de forma eficaz
mediante el uso de un sistema de gestin.
3.2 Qu es un SGSI?
3.2.1 erview ov y los principios de
un sistema de gestin de seguridad de la Informacin (SGSI) se compone de
las polticas, procedimientos, directrices y recursos asociados y
actividades, administrados colectivamente por una organizacin, en la
bsqueda de proteger sus activos de informacin. Un SGSI es un enfoque
sistemtico para establecer, implementar, operar, monitorear, revisar,
mantener y mejorar la seguridad de la informacin de una organizacin
para alcanzar los objetivos empresariales. Se basa en una evaluacin de
riesgos de la Organizacin y niveles de aceptacin de riesgos diseado
para tratar y gestionar eficazmente los riesgos. Analizar los requisitos
para la proteccin de los activos de informacin y la aplicacin de
controles adecuados para garantizar la proteccin de estos datos
ISO/IEC 27000:2016(E)
activos, segn se requiera, contribuye al xito de la aplicacin de un
SGSI. Los siguientes principios fundamentales, tambin contribuyen al
xito de la aplicacin de un SGSI:
a) la toma de conciencia de la necesidad de la seguridad de la
informacin; b) la asignacin de la responsabilidad de la seguridad de la
informacin; c) incorporar el compromiso de la administracin y los
intereses de los interesados; d) fortalecimiento de los valores de la
sociedad; e) las evaluaciones de riesgos determinar los controles
adecuados para alcanzar niveles aceptables de riesgo; f) seguridad
incorporadas como un elemento esencial de redes y sistemas de
informacin; g) activa la prevencin y la deteccin de incidentes de
seguridad de la informacin; h) garantizar un enfoque integral de la
gestin de la seguridad de la informacin; i) una reevaluacin continua
de la seguridad de la informacin y la realizacin de modificaciones,
segn corresponda.
3.2.2 La informacin
es un activo que, como otros activos importantes del negocio, es esencial
para un negocio de la organizacin y, en consecuencia, necesita ser
protegida adecuadamente. La informacin puede ser almacenada en muchas
formas, incluyendo:
forma digital (por ejemplo, los archivos de datos almacenados en medios
electrnicos u pticos), una forma material (por ejemplo, en papel), as
como la representacin de informacin en forma de conocimiento de los
empleados. La informacin puede transmitirse por diversos medios, entre
ellos: courier, electrnicos o de comunicacin verbal. Cualquier forma de
informacin tiene, o los medios por los cuales la informacin es
transmitida, siempre necesita una proteccin adecuada.
En muchas organizaciones, la informacin depende de la tecnologa de la
informacin y las comunicaciones.
Esta tecnologa es a menudo un elemento esencial en la organizacin y
ayude a facilitar la creacin, procesamiento, almacenamiento,
transmisin, proteccin y destruccin de informacin.
3.2.3 Informacin de
seguridad Informacin de seguridad asegura la confidencialidad,
disponibilidad e integridad de la informacin. La seguridad de la
informacin consiste en la aplicacin y gestin de controles apropiados
que implica la consideracin de una amplia gama de amenazas, con el fin
de garantizar el xito sostenido de sus negocios y la continuidad y la
minimizacin de las consecuencias de incidentes de seguridad de la
informacin.
La seguridad de la informacin se logra mediante la aplicacin de un
conjunto de controles aplicables, seleccionados mediante el proceso de
gestin de riesgo seleccionado y administrado mediante un SGSI, incluidas
las polticas, procesos, procedimientos, estructuras organizativas, el
software y el hardware para proteger los activos de informacin
identificados. Estos controles deben ser especificados, ejecutar,
supervisar, revisar y mejorar, cuando sea necesario, para asegurar que la
informacin especfica de seguridad y los objetivos de negocio de la
Organizacin se cumplan. Los controles de seguridad de la informacin
pertinente se prev que se integra a la perfeccin co n los procesos de la
empresa.
3.2.4 Gestin
involucra actividades para dirigir, controlar y mejorar continuamente la
organizacin dentro de las estructuras apropiadas. Actividades de gestin
incluyen la ley, la forma o la prctica de organizar, manejar, di rigir,
supervisar y controlar los recursos. Ampliar las estructuras de gestin
de una persona en una pequea organizacin con jerarquas de gestin
compuesto de muchas personas en las grandes organizaciones.
En trminos de un SGSI, la gestin consiste en l a supervisin y la toma
de decisiones necesarias para lograr los objetivos de negocio mediante la
proteccin de los activos de informacin de la organizacin. Gestin de
la seguridad de la informacin se expresa a travs de la formulacin y el
uso de polticas de seguridad de la informacin
ISO/IEC, 2016 - Todos los derechos reservados 15 de
ISO/IEC 27000:2016(E)
procedimientos y directrices, que luego se aplican a toda la organizacin
por todas las personas asociadas con la organizacin.
3.2.5 Sistema de Gestin
utiliza un sistema de gestin en un marco de recursos para alcanzar los
objetivos de una organizacin. El sistema de gestin incluye la
estructura organizativa, las polticas, las actividades de planificacin,
responsabilidades, prcticas, procedimientos, procesos y recursos.
En trminos de seguridad de la informacin, un sistema de gestin permite
a una organizacin:
a) satisfacer los requisitos de seguridad de la informacin de los
clientes y otras partes interesadas; b) mejorar la organizac in planes y
actividades; c) cumplir los objetivos de seguridad de la informacin de
la organizacin; d) cumplir con los reglamentos, leyes y mandatos de la
industria; y e) administrar los activos de informacin de una manera
organizada que facilita la mejora continua y la adaptacin a los
objetivos de la organizacin actual.
3.3 Enfoque ocess Pr
Las organizaciones necesitan identificar y administrar numerosas
actividades con el fin de funcionar de forma eficiente y eficaz.
Cualquier actividad que utilice recursos necesita ser gestionado para
habilitar la transformacin de los insumos en productos mediante un
conjunto de actividades interrelacionadas o interactuar; esto se conoce
tambin como un proceso. La salida de un proceso forma directamente la
entrada a otro proceso y generalmente esta transformacin se lleva a cabo
bajo condiciones controladas y planificadas. La aplicacin de un sistema
de procesos dentro de una organizacin, junto con la identificacin e
interacciones de estos procesos, as como su gestin, puede ser referido
como un "enfoque de proceso".
3.4 y un SGSI es importante Wh
riesgos asociados con los activos de informacin de una organizacin debe
ser abordado. El logro de la seguridad de la informacin exige la gestin
de riesgo, y abarca desde los riesgos fsicos, humanos y tecnolgicos
relacionados amenazas asociadas con todas las formas de informacin
dentro o utilizado por la organizacin.
La adopcin de un SGSI se espera que sea una decisin estratgica de una
organizacin, y es necesario que esta decisin est perfectamente
integrado, escalar y actualizadas de acuerdo con las necesidades de la
organizacin.
El diseo y la implementacin de una organizacin SGSI est influenciado
por las necesidades y objetivos de la organizacin, los requisitos de
seguridad, los procesos de negocio empleados y el tamao y estructura de
la organizacin. El diseo y operacin de un SGSI debe reflejar los
intereses y requisitos de seguridad de la informacin de todos los
participantes de la organizacin, incluidos clientes, proveedores,
socios, accionistas y otros terceros pertinentes.
En un mundo interconectado, la informacin y los procesos conexos,
sistemas y redes constituyen activos empresariales crticos. Las
organizaciones y sus sistemas de informacin y redes enfrentan amenazas a
la seguridad de una amplia gama de fuentes, incluidos el fraude asistido
por computadora, el espionaje, el sabotaje, el vandalismo, incendios e
inundaciones. Daos a sistemas y redes de informacin causada por cdigo
malicioso, la piratera informtica, y ataques de denegacin de servicio
se han vuelto ms frecuentes, ms ambiciosa, y cada vez ms sofisticados.
Un SGSI es importante tanto en el sector pblico y empresas del sector
privado. En cualquier industria, un SGSI es un habilitador que soporta el
e-business y es esencial para las actividades de gestin de riesgo. La
interconexin de redes pblicas y privadas y el reparto de los activos de
informacin, aumentan la dificultad de controlar el acceso y el manejo de
la informacin. Adems, la distribucin de los dispositivos de
almacenamiento porttiles que contienen informacin de activos puede
debilitar la eficacia de los controles tradicionales. Cuando las
organizaciones adoptan
ISO/IEC 27000:2016(E)
los ismos familia de normas, la capacidad para aplicar coherente y
mutuamente reconocibles los principios de seguridad de la informacin
puede demostrarse con socios comerciales y otras partes interesadas.
La seguridad de la informacin no siempre es tomada en cuenta en el
diseo y desarrollo de sistemas de informacin. Adems, la seguridad de
la informacin, a menudo se considera como una solucin tcnica. Sin
embargo, la informacin de seguridad que puede lograrse por medio s
tcnicos es limitada y puede ser ineficaz sin ser apoyados por la gestin
y los procedimientos adecuados en el marco de un SGSI.
Al integrar la seguridad en un sistema de informacin completo
funcionalmente podra resultar difcil y costoso.
Un SGSI implica identificar los controles que estn en su lugar y
requiere una planificacin cuidadosa y la atencin al detalle. Por
ejemplo, controles de acceso, que puede ser de carcter tcnico (lgico),
fsicos, administrativos (de gestin) o de una combinacin, proporcionan
un medio para garantizar que el acceso a los activos de informacin est
autorizado y restringido basado en el negocio y los requisitos de
seguridad de la informacin.
El xito de la adopcin de un SGSI es importante proteger los activos de
informacin que permite a una organizacin:
a) lograr una mayor garanta de que sus activos de informacin estn
adecuadamente protegidos contra amenazas sobre una base continua;
b) mantener un marco estructurado e integral para identificar y evaluar
los riesgos de la seguridad de la informacin, seleccionar y aplicar
controles aplicables, medir y mejorar su eficacia;
c) mejorar continuamente su entorno de control; y d) lograr efectivamente
el cumplimiento legal y normativo.
3.5 Establecer, supervisar, mantener y mejorar un SGSI
3.5.1 erview Ov
Una organizacin debe realizar los siguientes pasos en el
establecimiento, la supervisin, el mantenimiento y la mejora de su ISMS:
a) identificar los activos de informacin y sus correspondientes
requisitos de seguridad de la informacin (vase 3.5.2); b) evaluar los
riesgos de la seguridad de la informacin (vase 3.5.3) y tratar los
riesgos de la seguridad de la informacin (vase 3.5.4); c) seleccionar e
implementar los controles pertinentes para gestionar riesgos inaceptables
(vase 3.5.5); d) supervisar, mantener y mejorar la eficacia de los
controles asociados con los activos de informacin de la organizacin
(vase 3.5.6).
Para asegurar el ISMS es proteger eficazmente los activos de informacin
de la Organizacin sobre una base continua, es necesario que los pasos
(a) a (d) que se repeta continuamente para identificar cambios en los
riesgos o en las estrategias de la organizacin o los objetivos
empresariales.
3.5.2 Identificacin de los requisitos de seguridad de la informacin
dentro de la estrategia global y los objetivos de negocio de la
organizacin, su tamao y su dispersin geogrfica, los requisitos de
seguridad de la informacin puede ser identificado a travs de una
comprensin de las caractersticas siguientes:
a) identifica los activos de informacin y su valor; b) las necesidades
de la empresa para el procesamiento de la informacin, el almacenamiento
y las comunicaciones; c) aspectos legales, regulatorios y requerimientos
contractuales.
Realizar sistemticamente una evaluacin de los riesgos asociados a los
activos de informacin de la organizacin comprender el anlisis de las
amenazas a los activos de informacin, las vulnerabilidades y la
posibilidad de materializar una amenaza a los activos de infor macin, y
el impacto potencial de cualquier incidente de seguridad de la
informacin
ISO/IEC 27000:2016(E)
sobre los activos de informacin. Los gastos de los controles pertinentes
se espera que sea proporcional a la percepcin del impacto en el negocio
del riesgo materializando.
3.5.3 Evaluacin de riesgos de la seguridad de la informacin
Gestin de riesgos de seguridad de la informacin requiere una adecuada
evaluacin y tratamiento de riesgos que pueden incluir un mtodo de
estimacin de los costos y los beneficios, los requisitos legales, las
preocupaciones de las partes interesadas y otras entradas y variables
segn sea apropiado.
Las evaluaciones de riesgos deben identificar, cuantificar y prio rizar
los riesgos contra los criterios de aceptacin de riesgos y objetivos
relevantes para la organizacin. Los resultados deben orientar y
determinar las medidas de gestin apropiadas y las prioridades para la
gestin de riesgos de la seguridad de la informacin y de ejecutar los
controles seleccionados para proteger contra estos riesgos.
La evaluacin de riesgos debe incluir el enfoque sistemtico de la
estimacin de la magnitud de los riesgos (anlisis de riesgo) y el
proceso de comparar las estimaciones de riesgos contra los criterios de
riesgo para determinar la importancia de los riesgos (evaluacin de
riesgos).
Las evaluaciones de riesgos deben realizarse peridicamente para abordar
los cambios en los requisitos de seguridad de la informacin y en la
situacin de riesgo, por ejemplo en los activos, amenazas,
vulnerabilidades, impactos, la evaluacin de riesgos y, cuando se
produzcan cambios significativos. Estas evaluaciones de riesgos debe
realizarse de una manera metdica, capaces de producir resultados
comparables y reproducibles.
La evaluacin de riesgos para la seguridad de la informacin debe tener
un alcance claramente definido para ser eficaz y debe incluir relaciones
con las evaluaciones de riesgos en otras zonas, si procede.
ISO/IEC 27005 proporciona orientacin sobre gestin de riesgos de
seguridad de la informacin, incluido el asesoramiento sobre la
evaluacin de riesgos, tratamiento de riesgos, aceptacin de riesgos,
informes de riesgos, control de riesgos y revisin de riesgo. Ejemplos de
metodologas de evaluacin de riesgos tambin estn incluidos.
3.5.4 Tratamiento de los riesgos de la seguridad de la informacin
antes de considerar el tratamiento de los riesgos, la organizacin debe
decidir los criterios para determinar si se trata o n o de los riesgos
pueden ser aceptadas. Los riesgos pueden ser aceptados si, por ejemplo,
se considera que el riesgo es bajo o que el costo del tratamiento no es
eficaz en funcin de los costos para la organizacin. Tales decisiones
deben ser registrados.
Para cada uno de los riesgos identificados tras la evaluacin del riesgo,
un riesgo que la decisin de tratamiento debe ser hecha. Las posibles
opciones para el tratamiento de riesgos son los siguientes:
a) aplicar controles adecuados para reducir los riesg os; b) a sabiendas y
de manera objetiva la aceptacin de riesgos, siempre que stas cumplan
claramente la poltica de la organizacin y los criterios de aceptacin
de riesgos;
c) evitar riesgos al no permitir acciones que puedan causar los riesgos a
ocurrir; d) compartir los riesgos asociados a las otras partes, por
ejemplo los aseguradores o proveedores.
Para aquellos riesgos cuando la decisin de tratamiento de riesgos ha
sido aplicar los controles adecuados, estos controles deben ser
seleccionadas y aplicadas.
3.5.5 La seleccin e implementacin de controles de
seguridad de la informacin una vez que se han identificado los
requisitos (vase 3.5.2), los riesgos de la seguridad de la informacin
para identificar los activos de informacin se han determinado y evaluado
(vase 3.5.3) y las decisiones para el tratamiento de los riesgos de la
seguridad de la informacin se han realizado (vase 3.5.4) y, a
continuacin, seleccin e implementacin de controles para aplicar la
reduccin del riesgo.
Los controles deben garantizar que los riesgos se reducen hasta un nivel
aceptable, teniendo en cuenta los siguientes aspectos:
a) Requisitos y restricciones de leyes y reglamentos nacionales e
internacionales;
ISO/IEC 27000:2016(E)
b) rganizational objetivos; o c) requisitos y restricciones
operacionales; d) su costo de aplicacin y funcionamiento en relacin con
los riesgos siendo reducida y el resto proporcional a las necesidades de
la organizacin y limitaciones;
e) sus objetivos para supervisar, evaluar y mejorar la eficiencia y la
eficacia de los controles de seguridad de la informacin para apoyar los
objetivos de la organizacin. La seleccin y aplicacin de los controles
debe ser documentada dentro de una declaracin de aplicabilidad para
ayudar con los requisitos de cumplimiento;
f) la necesidad de equilibrio entre las inversiones en la implantacin y
operacin de los controles contra la prdida probable consecuencia de
incidentes de seguridad de la informacin.
Los controles especificados en la norma ISO/IEC 27002 son reconocidas
como las mejores prcticas aplicables a la mayora de las organizaciones
y de fcil adaptarse a organizaciones de diferentes tamaos y
complejidades.
Otras normas en el SIVS familia de normas proporcionan orientacin sobre
la seleccin y la aplicacin de la norma ISO/IEC 27002 los controles para
el sistema de gestin de seguridad de la informacin.
Los controles de seguridad de la informacin debera ser considerada en
la especificacin de requisitos de sistemas y proyectos y la etapa de
diseo. No hacerlo puede resultar en costos adicionales y menos
soluciones eficaces, y quizs, en el peor de los casos, la incapacidad
para alcanzar un nivel adecuado de seguridad. Los controles pueden ser
seleccionados a partir de la norma ISO/IEC 27002 o de otros juegos de
controles, o los nuevos controles pueden ser diseados para satisfacer
las necesidades especficas de la organizacin. Es necesario reconocer
que algunos controles no pueden ser aplicables a cada sistema de
informacin o el medio ambiente, y podra no ser factible para todas las
organizaciones.
A veces toma tiempo para aplicar un conjunto seleccionado de controles y
durante ese tiempo, el nivel de riesgo puede ser mayor de lo que puede
ser tolerado en una base a largo plazo. Criterios de riesgo debera
cubrir la tolerabilidad de los riesgos a corto plazo mientras que los
controles se estn aplicando. Las partes interesadas deben estar
informados acerca de los niveles de riesgo que son estimadas o
anticipadas en diferentes puntos en el tiempo como controles se aplicar
progresivamente.
Debe tenerse en cuenta que ningn conjunto de controles puede conseguir
la completa seguridad de la informacin. Acciones de gestin adicionales
deben aplicarse para supervisar, evaluar y mejorar la eficiencia y la
eficacia de los controles de seguridad de la informacin para apoyar los
objetivos de la organizacin.
La seleccin y aplicacin de los controles debe ser documentada dentro de
una declaracin de aplicabilidad para ayudar con los requisitos de
cumplimiento.
3.5.6 Controlar, mantener y mejorar la eficacia de los ismos que
una organizacin necesita para mantener y mejorar el ISMS mediante el
seguimiento y la evaluacin del rendimiento en contra de las polticas de
organizacin y objetivos, y comunicar los resultados a la administracin
para su revisin. Este examen ISMS comprobar que los ismos incluye
controles especificados que son adecuadas para tratar los riesgos dentro
del mbito de ISMS. Adems, sobre la base de registros de estas zonas
vigiladas, proporcionar pruebas de verificacin y trazabilidad de
medidas correctivas, preventivas y acciones de mejora.
3.5.7 mejora continua
el objetivo de mejora continua de un SGSI es aumentar la probabilidad de
lograr los objetivos relativos a la preservacin de la confidencialidad,
disponibilidad e integridad de la informacin. El enfoque de la mejora
continua es la bsqueda de oportunidades de mejora y no asumir que las
actividades de gestin existentes son suficientemente buenos o tan bien
como se pueda.
Acciones de mejora son los siguientes:
a) analizar y evaluar la situacin existente para identificar reas de
mejora; b) el establecimiento de los objetivos de mejora; c) la bsqueda
de soluciones posibles para lograr los objetivos;
ISO/IEC 27000:2016(E)
d) valorar estas soluciones y hacer una seleccin; e) la aplicacin de la
solucin seleccionada; f) la medicin, verificar, analizar y evaluar los
resultados de la aplicacin para determinar si se han cumplido los
objetivos;
g) la formalizacin de los cambios.
Los resultados son examinados, segn sea necesario, para determinar
oportunidades adicionales de mejora. De esta manera, la mejora es una
actividad continua, es decir, acciones se repiten con frecuencia. Los
comentarios de los clientes y otras partes interesadas, las auditoras y
la revisin del sistema de gestin de seguridad de la informacin tambin
puede ser utilizada para identificar las oportunidades de mejora.
ISMS 3.6 factores crticos de xito de
un gran nmero de factores que son crticos para el xito de la
aplicacin de un SGSI para permitir a una organizacin a cumplir sus
objetivos de negocio. Ejemplos de factores crticos de xito s on los
siguientes:
a) la poltica de seguridad de la informacin, objetivos y actividades
alineadas con los objetivos; b) un enfoque y un marco para el diseo, la
ejecucin, la supervisin, el mantenimiento y la mejora de la seguridad
de la informacin en consonancia con la cultura organizacional;
c) apoyo visible y el compromiso de todos los niveles de la
administracin, especialmente la gerencia superior; d) una comprensin de
los requisitos de proteccin de activos de informacin obtenidos a travs
de la aplicacin de gestin de riesgos de seguridad de la informacin
(vase ISO/IEC 27005);
e) una sensibilizacin en seguridad de la informacin eficaz, el programa
de educacin y capacitacin, informar a todos los empleados y otras
partes pertinentes para la seguridad de la informacin de sus
obligaciones establecidas en las polticas de seguridad de la
informacin, normas, etc., y motivndolos a actuar en consecuencia;
f) un eficaz proceso de gestin de incidentes de seguridad de la
informacin; g) una continuidad de negocio eficaz Enfoque de gestin; h)
un sistema de medicin que se utilizan para evaluar el rendimiento en la
gestin de la seguridad de la informacin de retroalimentacin y
sugerencias de mejora.
Un SGSI aumenta la probabilidad de que una organizacin que
consistentemente alcanzar los factores crticos de xito necesarias para
proteger sus activos de informacin.
3.7 Beneficios de la familia de normas de ISMS
las ventajas de implementar un SGSI ser principalmente el resultado de
una reduccin en los riesgos de la seguridad de la informacin (es decir,
la reduccin de la probabilidad y/o el impacto causado por incidentes de
seguridad de la informacin).
Concretamente, beneficios obtenidos de una organizacin a fin de alcanzar
un xito sostenible a partir de la adopcin de las normas de la familia
ISMS incluyen los siguientes:
a) un marco estructurado apoyando el proceso de especificacin,
implementacin, funcionamiento y mantenimiento de un amplio y rentable,
creando valor, integrada y alineada ismos que satisface las necesidades
de la organizacin a travs de diferentes sitios y operaciones;
b) la asistencia para la gestin de manera uniforme en la gestin y el
funcionamiento de una manera responsable su enfoque hacia la gestin de
la seguridad de la informacin, en el contexto de la gestin de riesgos y
gobernanza corporativa, incluyendo la educacin y la formacin de
negocios y propietarios del sistema en la gestin integral de la
seguridad de la informacin;
c) la promocin a nivel mundial de buenas prcticas en seguridad de la
informacin de una manera no prescriptiva, ofreciendo a las empresas la
libertad para adoptar y mejorar los controles pertinentes que Se adaptan
a sus circunstancias especficas y a mantenerlos en el rostro de los
cambios internos y externos;
ISO/IEC 27000:2016(E)
d) rovision de un lenguaje comn y la base conceptual para la seguridad
de la informacin, lo que facilita la p depositan su confianza en los
socios comerciales con una complaciente ismos, especialmente si stas
requieren la certificacin segn la norma ISO/IEC 27001 por un organismo
de certificacin acreditado;
e) el aumento de la confianza en la organizacin interesados; f)
satisfacer las necesidades y expectativas de la sociedad; g) Aumento de
la eficacia de la gestin econmica de las inversiones en seguridad de la
informacin.
4 normas de la familia ISMS
4.1 Informacin general de
la familia de normas de ISMS se compone de normas relacionadas entre s,
ya publicados o en desarrollo, y contiene un gran nmero de componentes
estructurales. Estos componentes se centran en estndares normativos
describiendo ismos requisitos (ISO/IEC 27001), el organismo de
certificacin requisitos (ISO/IEC 27005) para aquellos que certifiquen la
conformidad con la norma ISO/IEC 27001, y el requisito adicional de marco
para implementaciones especficas del sector del ISMS (ISO/IEC 27008).
Otras normas proporcionan orientacin para diversos aspectos de una
aplicacin ISMS, abordando un proceso genrico as como orientaciones
especficas del sector.
Las relaciones entre las normas de la familia ISMS se ilustran en la
figura 1.
Figura 1 - relaciones de familia de estndares ISMS
a) Cada uno de los ismos familia normas se describen a continuacin por
su tipo (o funcin) dentro de la familia de normas de ISMS y su nmero de
referencia. Las clusulas aplicables son: normas que describen un
panorama general y terminologa (vase la seccin 4.2);
b) Las normas especifican requisitos (vase el apartado 4.3); c) las
normas que describen las pautas generales (vase 4.4); o d) las normas
que describen las directrices especficas del sector (ver 4.5).
ISO/IEC 27000:2016(E)
4.2 Normas que describen un panorama general y terminologa
4.2.1 de la norma ISO/IEC 27000 (esta norma internacional)
alcance: Esta Norma Internacional proporciona a las organizaciones e
individuos:
a) una descripcin de la familia de los "ismos" de las normas; b) una
introduccin a los sistemas de gestin de seguridad de la informacin; y
c) los trminos y definiciones utilizados en toda la familia de
estndares de ISMS.
Objeto: Esta Norma Internacional describe los fundamentos de los sistemas
de gestin de seguridad de la informacin, que constituyen el objeto de
la familia de normas de ISMS y define los trminos relacionados.
4.3
4.3.1 Definicin de requisitos de normas ISO/IEC 27001
gestin de seguridad de la informacin - Requisitos
alcance: Esta norma internacional especifica los requisitos para
establecer, implementar, operar, monitorear, revisar, mantener y mejorar
formaliz sistemas de gestin de seguridad de la Informacin (SGSI)
dentro del contexto de la organizacin global de riesgos empresariales.
Especifica los requisitos para la aplicacin de controles de seguridad de
la informacin adaptada a las necesidades de las organizaciones
individuales o partes de los mismos. Esta Norma Internacional puede ser
utilizado por todas las organizaciones, independientemente del tipo,
tamao y naturaleza.
Propsito: ISO/IEC 27001 proporciona requisitos normativos para el
desarrollo y operacin de un SGSI, incluyendo un conjunto de controles
para el control y mitigacin de los riesgos asociados a los activos de
informacin que la organizacin pretende proteger por el funcionamiento
de su ISMS. Organizaciones que operan un SGSI puede tener su conformidad
auditado y certificado. Los objetivos de control y controles de la norma
ISO/IEC 27001, anexo A sern seleccionados como parte de este proceso de
ISMS segn proceda a cubrir los requisitos identificados. Los objetivos
de control y controles indicados en la norma ISO/IEC 27001, el cuadro A.1
se derivan directamente de y alineado con los indicados en la norma
ISO/IEC 27002, las clusulas 5 a 18.
4.3.2 de la norma ISO/IEC 27005
tecnologa de la informacin - Tcnicas de Seguridad - Requisitos para
organismos de auditora y certificacin de sistemas de gestin de
seguridad de la informacin
Alcance: Esta norma internacional especifica los requisitos y proporciona
orientacin para organismos de auditora y certificacin de ISMS en
conformidad con ISO/IEC 27001, adems de los requisitos contenidos en la
norma ISO/IEC 17021. Est destinado principalmente a apoyar la
acreditacin de organismos de certificacin proporcionando ismos
certificacin segn ISO/IEC 27001.
Propsito: La norma ISO/IEC 27005 complementa la norma ISO/IEC 17021 en
la prestacin de los requisitos por el cual los organismos de
certificacin acreditados, permitiendo as a estas organizaciones a dar
cumplimiento certificaciones consistentemente en contra de los requisitos
establecidos en la norma ISO/IEC 27001.
4.4 Describir las normas directrices generales
tecnologa de la informacin - Tcnicas de seguridad - Cdigo de prctica
para los controles de seguridad de la informacin
ISO/IEC 27000:2016(E)
Alcance: Esta Norma Internacional proporciona una lista de objetivos de
control comnmente aceptados y mejores prcticas para ser utilizados com o
controles de aplicacin de orientacin cuando la seleccin e
implementacin de controles para el logro de la seguridad de la
informacin.
Propsito: ISO/IEC 27002 proporciona orientacin sobre la aplicacin de
controles de seguridad de la informacin.
En concreto, las clusulas 5 a 18 especficos de implementacin
proporcionan asesoramiento y orientacin sobre las mejores prcticas en
apoyo de los controles especificados en la norma ISO/IEC 27001, A.5 a
A.18.
tecnologa de la informacin - Tcnicas de Seguridad - Sistema de gestin
de seguridad de informacin de orientacin en la ejecucin
alcance: Esta Norma Internacional proporciona orientacin prctica y
proporciona informacin adicional para establecer, implementar, operar,
monitorear, revisar, mantener y mejorar un SGSI conforme a la norma
ISO/IEC 27001.
Propsito: La norma ISO/IEC 27003 proporciona un enfoque orientado al
proceso de la aplicacin exitosa del ISMS en conformidad con ISO/IEC
27001.
4.4.3 ISO/IEC CP: 27004
la tecnologa de la informacin - Tcnicas de seguridad - Gestin de la
seguridad de la informacin de medicin -
mbito de aplicacin: Esta Norma Internacional proporciona orientacin y
asesoramiento sobre el desarrollo y el uso de mediciones a fin de evaluar
la eficacia de los "ismos", objetivos de control y controles utilizados
para implementar y gestionar la seguridad de la informacin, tal como se
especifica en la norma ISO/IEC 27001.
Propsito: ISO/IEC CP: 27004 proporciona un marco de medicin lo qu e
permite hacer una evaluacin de la eficacia de ISMS medirse de acuerdo
con ISO/IEC 27001.
tecnologa de la informacin - Tcnicas de seguridad - Gestin de riesgos
de seguridad de la informacin
Alcance: Esta Norma Internacional proporciona directrices para la gestin
de riesgos de seguridad de la informacin.
El enfoque descrito en esta Norma Internacional apoya los conceptos
generales especificados en la norma ISO/IEC 27001.
Propsito: La norma ISO/IEC 27005 proporciona orientacin sobre la puesta
en marcha de un proceso de gestin de riesgos orientadas a ayudar de
manera satisfactoria ejecucin y cumplimiento de los requisitos de
gestin de riesgos de seguridad de la informacin de la ISO/IEC 27001.
tecnologa de la informacin - Tcnicas de seguridad - Directrices para
la auditora de los sistemas de gestin de la seguridad de la informacin
Alcance: Esta Norma Internacional proporciona orientacin sobre la
realizacin de auditoras de ISMS, as como orientacin sobre la
competencia de auditores de sistemas de gestin de la seguridad de la
informacin, adems de las orientaciones contenidas en la norma ISO
19011, que es aplicable a los sistemas de gestin en general.
Propsito: La norma ISO/IEC 27007 proporcionar orientacin para las
organizaciones que necesitan realizar auditoras internas o externas de
un SGSI o para administrar un programa de auditoras de ISMS contra los
requisitos especificados en la norma ISO/IEC 27001.
4.4.6 ISO/IEC TR 27008
tecnologa de la informacin - Tcnicas de seguridad - Pautas para los
auditores sobre controles de seguridad de la informacin
ISO/IEC 27000:2016(E)
Alcance: Este informe tcnico proporciona orientacin sobre la revisin
de la aplicacin y el funcionamiento de los controles, incluyendo
tcnicas de comprobacin del cumplimiento de controles de sistemas de
informacin, en cumplimiento de una organizacin establecida de
estndares de seguridad de la informacin.
Objeto: El presente informe tcnico proporciona un enfoque sobre los
exmenes de los controles de seguridad de la informacin, incluyendo la
comprobacin de la conformidad tcnica, en contra de una aplicacin
estndar de seguridad de la informacin, establecido por la organizacin.
No pretende ofrecer una orientacin concreta sobre verificacin de
cumplimiento con respecto a la medicin, la evaluacin de riesgos o
auditora de un SGSI segn lo especificado en la norma ISO/IEC CP: 27004,
ISO/IEC 27005 o ISO/IEC 27007, respectivamente. Este informe tcnico no
est destinado para auditoras de sistemas de gestin.
tecnologa de la informacin - Tcnicas de seguridad - Orientacin sobre
la aplicacin integrada de ISO/IEC 27001 e ISO/IEC 20000-1
Alcance: Esta Norma Internacional proporcionar orientacin sobre la
aplicacin integrada de ISO/IEC 27001 e ISO/IEC 20000 -1 para
organizaciones que pretendan a:
a) aplicar la norma ISO/IEC 27001 cuando ISO/IEC 20000-1 ya est
implementado, o viceversa; b) aplicar las normas ISO/IEC 27001 e ISO/IEC
20000-1 juntos; c) integrar existentes ISO/IEC 27001 e ISO/IEC 20000-1
sistemas de gestin.
Esta Norma Internacional se centra exclusivamente en la aplicacin
integrada de un sistema de gestin de seguridad de la Informacin (SGSI)
segn lo especificado en la norma ISO/IEC 27001 y un sistema de
administracin de servicios (SMS) como se especifica en la norma ISO/IEC
20000-1.
Objetivo: proporcionar a las empresas un mejor entendimiento de las
caractersticas, similitudes y diferencias de la norma ISO/IEC 27001 e
ISO/IEC 20000-1 para ayudar en la planificacin de un sistema de gestin
integrado que cumple con los estndares internacionales.
tecnologa de la informacin - Tcnicas de seguridad - Gestin de la
seguridad de la informacin
Alcance: Esta Norma Internacional proporcionar orientacin sobre los
principios y procesos para la gestin de la seguridad de la informacin,
por lo que las organizaciones pueden evaluar, dirigir y supervisar la
gestin de la seguridad de la informacin.
Objetivo: La seguridad de la informacin se ha convertido en una cuestin
clave para las organizaciones. No slo existen requisitos regulatorios
crecientes sino tambin la falta de una organizacin de las medidas de
seguridad de la informacin puede tener un impacto directo en la
reputacin de una organizacin. Por lo tanto, rganos de gobierno, como
parte de sus funciones de direccin, son cada vez ms necesarios para la
supervisin de la seguridad de la informacin para asegurar que los
objetivos de la organizacin son alcanzados.
4.4.9 ISO/IEC TR 27016
seguridad de la informacin - economa organizacional
Alcance: Este informe tcnico proporcionar una metodologa que permite a
las organizaciones comprender mejor cmo econmicamente con ms precisin
el valor de sus activos de informacin identificados, los riesgos
potenciales de valor a los activos de informacin, apreciar el valor que
los controles de proteccin de la informacin ofrecen a estos activos de
informacin, y determinar el nivel ptimo de recursos para ser aplicados
en la consecucin de estos activos de informacin.
Objeto: en este informe tcnico se complementar la familia de normas de
ISMS superponiendo una perspectiva econmica en la proteccin de los
activos de informacin de una organizacin en el contexto de la
ISO/IEC 27000:2016(E)
entorno social ms amplio en el que la organizacin opera y
proporcionando orientacin sobre cmo aplicar la economa organizacional
de la seguridad de la informacin mediante la utilizacin de modelos y
ejemplos.
4.5 Describir las normas directrices especficas del
sector
seguridad de la informacin entre sectores y
mbito de comunicaciones inter-organizacional: Esta Norma Internacional
proporciona directrices, adems de la orientacin dada en la norma
ISO/IEC 27000 Familia de normas para aplicar la gestin de la seguridad
de la informacin dentro de comunidades de intercambio de informacin y,
adems, proporciona un control y orientacin especficamente relacionadas
con la iniciacin, implementar, mantener y mejorar la seguridad de la
informacin en inter-organizacional e inter-sector de las comunicaciones.
Objeto: Esta Norma Internacional es aplicable a todas las formas de
intercambio de informacin confidencial, tanto pblicas como privadas, a
nivel nacional e internacional, dentro de la misma industria o sector de
mercado o entre sectores. En particular, puede ser aplicable a los
intercambios de informacin y compartir relacionadas con el suministro,
el mantenimiento y la proteccin de una organizacin o del estado -nacin
la infraestructura crtica.
tecnologa de la informacin - Tcnicas de Seguridad - Seguridad de la
informacin las directrices de gestin para organizac iones de
telecomunicaciones basado en ISO/IEC 27002
Alcance: Esta Norma Internacional proporciona directrices en apoyo de la
aplicacin de controles de seguridad de la informacin en las
organizaciones de telecomunicaciones.
Propsito: La norma ISO/IEC 27011 permite a las organizaciones de
telecomunicaciones para satisfacer los requisitos de gestin de la
seguridad de la informacin de lnea de base de la confidencialidad,
integridad, disponibilidad y cualquier otra propiedad de seguridad
pertinentes.
4.5.3 ISO/IEC TR 27015
tecnologa de la informacin - Tcnicas de Seguridad - Seguridad de la
informacin las directrices de gestin para los servicios financieros
Alcance: Este informe tcnico proporciona directrices adems de la
orientacin dada en la norma ISO/IEC 27000 Familia de normas para
iniciar, implementar, mantener y mejorar la seguridad de la informacin
dentro de las organizaciones que prestan servicios financieros.
Objeto: Este informe tcnico es un especialista en suplemento a la norma
ISO/IEC 27001 e ISO/IEC 27002 para su uso por parte de organizaciones que
prestan servicios financieros a prestarles apoyo en:
a) iniciar, implementar, mantener y mejorar un sistema de gestin de
seguridad de informacin basado en la norma ISO/IEC 27001;
b) disear e implementar controles definidos en la norma ISO/IEC 27002 o
dentro de esta norma internacional.
para los controles de seguridad de la informacin bas ado en ISO/IEC 27002
para los servicios cloud
alcance: la norma ISO/IEC 27016 proporciona directrices para la seguridad
de la informacin los controles aplicables a la provisin y utilizacin
de servicios de nube mediante:
- orientacin adicional de aplicacin de los controles pertinentes
especificados en la norma ISO/IEC 27002;
ISO/IEC 27000:2016(E)
- dicional controles con orientacin en la ejecucin que se refieran
especficamente a servicios en la nube. Un
objeto: Esta Norma Internacional proporciona controles y orientacin en
la ejecucin de ambos proveedores de servicios cloud y cloud service a
los clientes.
para la proteccin de informacin personal identificable (PII) en las
clouds pblicas actuando como PII procesadores
: Alcance de la norma ISO/IEC 27018 establece objetivos de control
comnmente aceptadas, controles y directrices para la aplicacin de
medidas para proteger la informacin personalmente identificable (PII) en
conformidad con los principios de privacidad en ISO/IEC 29100 para el
entorno de cloud computing pblico.
Objeto: Esta Norma Internacional es aplicable a organizaciones , incluidas
las empresas pblicas y privadas, entidades gubernamentales y
organizaciones sin fines de lucro, que proporcionan servicios de
procesamiento de informacin como PII procesadores a travs de la cloud
computing bajo contrato a otras organizaciones. Las directrices de esta
norma internacional tambin puede ser relevante para las organizaciones
que actan como controladores de PII PII; sin embargo, los controladores
pueden estar sujetos a otras leyes de proteccin de la PII, regulaciones
y obligaciones, no aplicando a la PII, procesadores y estos no estn
contemplados en esta norma internacional.
4.5.6 ISO/IEC TR 27019
tecnologa de la informacin - Tcnicas de seguridad - directrices de
gestin de la seguridad de la informacin basado en ISO/IEC 27002 para
sistemas de control de proceso especficas para la industria de servicios
pblicos de energa alcance: ISO/IEC
providesguidelinesoninformationsecuritycontrolstobeimplementedin 7019T R
2 sistemas de control de proceso utilizado por la industria de servicios
pblicos de energa para el control y seguimiento de la generacin,
transmisin, almacenamiento y distribucin de energa elctrica, gas y
calor en combinacin con el control de procesos de apoyo. Esto incluye,
en particular, los siguientes sistemas, aplicaciones y componentes:
- el conjunto central y distribuido apoyado procesos de control,
supervisin y automatizacin de la tecnologa, as como los sistemas
informticos utilizados para su funcionamiento, tales como la
programacin y parametrizacin de dispositivos;
- controladores digitales y componentes de automatizacin como control y
el campo dispositivos o controladores lgicos programables (PLC),
incluyendo elementos del actuador y sensor digital;
- seguir apoyando todos los sistemas informticos utilizados en el
proceso de dominio de control, por ejemplo, para tareas de visualizacin
de datos complementarios y de control, supervisin, almacenamiento de
datos y documentacin;
- la tecnologa global de comunicaciones utilizados en el proceso de
dominio de control, por ejemplo, redes, aplicaciones de telecontrol, de
telemetra y control remoto la tecnologa;
- medicin digital y dispositivos de medicin, por ejemplo para medir El
consumo de energa, generacin o emisin de valores;
- la proteccin digital y sistemas de seguridad, por ejemplo, rels de
proteccin o PLC de seguridad; - los componentes distribuidos de los
futuros entornos de red inteligente; - todo el software, firmware y
aplicaciones instalados en sistemas mencionados anteriormente.
Objetivo: Adems de los objetivos de seguridad y las medidas que se
establecen en la norma ISO/IEC 27002, este informe tcnico proporciona
directrices para sistemas utilizados por los proveedores de energa y los
servicios energticos en los controles de seguridad de la informacin que
abordan adems, requisitos especiales.
4.5.7 ISO 27799
Salud informtica - la gestin de la seguridad de la informacin en salud
en el uso de la norma ISO/IEC 27002
ISO/IEC 27000:2016(E)
Alcance: Esta Norma Internacional proporciona directrices en apoyo de la
aplicacin de la gestin de la seguridad de la informacin en las
organizaciones de salud.
Propsito: ISO 27799 proporciona a las organizaciones de salud con una
adaptacin de la norma ISO/IEC 27002 directrices nicas para su sector de
la industria que son adicionales a la orientacin hacia el cumplimiento
de los requisitos de la norma ISO/IEC 27001, anexo A.
Anexo A (informativo)
las formas verbales para la expresin de las disposiciones de
cada uno de los ismos familia de estndares los documentos en s mismos
no obliga a nadie a seguirlos. Sin embargo, esa obligacin puede ser
impuesta, por ejemplo, por ley o por contrato. A fin de poder reclamar la
conformidad con un documento, el usuario debe ser capaz de identificar
los requisitos que ha de cumplir. El usuario tambin debe ser capaz de
distinguir estos requisitos de otras recomendaciones, donde existe una
cierta libertad de eleccin.
La tabla siguiente explica cmo una familia de estndares de ISMS
documento debe interpretarse en trminos de sus expresiones verbales como
requisitos o recomendaciones.
El cuadro se basa en las disposiciones de las directivas ISO/IEC, Parte
2:2011, reglas para la estructura y redaccin de normas internacionales,
anexo H.
INDICACIN EXPLICACIN
Requisito los trminos "deber" y "no deber" sealan los requisitos que
deben seguirse estrictamente para ajustarse al documento y a partir de la
cual ninguna desviacin permitida es la
recomendacin de los trminos "debera" y "no debe" indican que entre
varias posibilidades es recomendado como particularmente adecuado, sin
mencionar o excluyendo a otros, o que un determinado curso de accin es
preferido, pero no necesariamente se requiere, o que (en forma negativa)
una cierta posibilidad o curso de accin es obsoleta, pero no prohibido
permiso el trmino "podr" y "necesidad" no indica un curso de accin
permitida Dentro de los lmites de la
posibilidad del documento el trmino "puede" y "no" indica la posibilidad
de que algo ocurra

anexo B (informativo)
Plazo y trmino propiedad
B.1 MTC propiedad T
El trmino propietario de la ISO/IEC 27000 Familia de normas es la norma
que define inicialmente el trmino. El trmino propietario tambin es
responsable del mantenimiento de la definicin, es decir
, ofreciendo, - la revisin, actualizacin y - retiro.
Nota 1 La norma ISO/IEC 27000, nunca se determina como el trmino mismo
propietario.
Nota 2 ISO/IEC 27001 e ISO/IEC 27005, como estndares normativos (es
decir, que contengan requisitos), ha de prevalecer siempre como mandato
respectivo propietario.
B.2 erms utilizados en estas normas internacionales
B.2.1 T ISO/IEC 27001
auditora de medicin 2.5 2.48
Disponibilidad 2.9 vigilancia competencia 2.52 2.11 2.53 2.12 objetivo
inconformismo confidencialidad 2.56
conformidad 2.13 organizacin 2.57
Mejora continua 2.15 externalizar (Verbo) 2.58
2.16 Control de rendimiento de
correccin poltica 2,59 2,18 2,60
2,19 2,61 proceso medidas correctivas
informacin documentada 2.23 requisito 2.63
2.24 2.65 revisin de la eficacia de la
seguridad de la informacin de riesgo de 2,33 2,68
2,40 2,78 integridad propietario de riesgo
interesado 2.41 la gerencia superior 2.84
2.46 Sistema de gestin
ISO/IEC 27000:2016(E)
B.2.2 ISO/IEC 27002 de
control de acceso de seguridad de la informacin 2.1 caso 2.35
ataque 2.3 Informacin de incidentes de seguridad de
autenticacin de 2,36 2,7 2,37 gestin de incidentes de seguridad de
informacin
Autenticidad 2.8 Sistema de informacin 2.39
control objetivo 2.17 el no repudio
Las instalaciones de procesamiento de informacin de 2,54 2,32 2,62 la
fiabilidad de la seguridad de la informacin continuidad 2.34
B.2.3 ISO/IEC 27003
ISMS 2.43 proyecto
B.2.4 ISO/IEC CP: 27004
modelo analtico 2.2 FUNCIN DE MEDICIN
MTODO DE MEDICIN 2.4 atributo 2.49 2.50
2.10 resultados de medicin medida de base de
datos Objeto 2.20 2.55 2.51
criterios de decisin 2.21 2.80 escala medida derivada 2.22 Unidad de
medida 2.86
2.30 2.87
Informacin indicador de validacin necesario
medir 2,47 2,31 2,88 verificacin
B.2.5 ISO/IEC 27005
consecuencia 2.14 y 2.72 Comunicacin de riesgos consulta
evento 2.25 criterios de riesgo 2,73
contexto externo 2.27 2.74 Evaluacin de riesgo contexto interno 2.42
Identificacin de riesgos 2.75
nivel de riesgo de 2,44 2,76 gestin del riesgo probabilidad 2.45 proceso
de gestin de riesgos El riesgo residual de 2,77 2,64 2,79 tratamiento de
riesgos de
aceptacin de riesgos 2.69
2.70 2.83 El anlisis de riesgo de amenaza vulnerabilidad 2.89
ISO/IEC 27000:2016(E)
evaluacin de riesgos 2.71
B.2.6 ISO/IEC 27005
documentos de certificacin
mark
B.2.7 ISO/IEC 27007
alcance de auditora 2.6
B.2.8 ISO/IEC TR 27008
objeto de revisin de la implementacin de la seguridad 2 .66 2.81
2.67 objetivo estndar de revisin
B.2.9 ISO/IEC 27010
comunidad compartir informacin 2.38 informacin de confianza 2,85
comunicacin entidad
B.2.10 ISO/IEC 27011
la proximidad de las instalaciones de telecomunicaciones
centro de comunicacin de las organizaciones de telecomunicaciones
telecomunicaciones comunicaciones esenciales los registros
de comunicaciones de no divulgacin de
informacin personal de los servicios de telecomunicaciones los servicios
de telecomunicaciones del cliente del
servicio de telecomunicaciones de llamada de prioridad de usuario de
las aplicaciones de telecomunicaciones instalaciones de terminales de
usuario de negocio de telecomunicaciones
equipos de telecomunicaciones a la Sala
B.2.11 ISO/IEC 27014
de gestin del consejo de administracin ejecutivo 2.26 2.29 La
gobernanza de la informacin 2.28 2.82 Seguridad interesados
B.2.12 ISO/IEC TR 27015
servicios financieros
B.2.13 ISO/IEC TR 27016
expectativa de prdida anualizada, ALE Prdida
ISO/IEC 27000:2016(E)
valor de mercado valor directo
comparacin econmica valor actual neto
factor econmico no beneficio econmico
justificacin econmica valor actual valor econmico aadido el coste de
oportunidad
economa oportunidad valor
valor esperado requisitos reglamentarios valor ampliado el retorno de la
inversin el valor indirecto valor para la sociedad de la
seguridad de la informacin de
gestin de la seguridad de la informacin economa valor IMS value-at-
risk
B.2.14 ISO/IEC TR 27016
capacidad multi-tenancy segura violacin de datos virtual machine
B.2.15 ISO/IEC TR 27018
fuga de datos
la informacin personalmente identificable de procesador PII, PII PII
PII controlador procesamiento del proveedor de servicios en nube pblica
PII CAPITAL
B.2.16 ISO/IEC TR 27019
cortinas mantenimiento
Equipo de Respuesta de Emergencia, CERT PLC
infraestructura crtica de
depuracin del sistema de control del proceso de distribucin de
seguridad sistemas de seguridad en la
instalacin de equipos de energa smart grid
El suministro de energa declaracin de aplicabilidad, SOA de energa del
sistema de transmisin de la utilidad de
la interfaz hombre-mquina, HMI
ISO/IEC 27000:2016(E)
Bibliografa
[1] de modo I/IEC 17021, evaluacin de la Conformidad - Requisitos para
los organismos de auditora y certificacin de sistemas de gestin
[2] de la norma ISO 9000:2015, sistemas de gestin de la calidad -
Fundamentos y vocabulario" [3] La norma ISO 19011:2011, Directrices para
la auditora de los sistemas de gestin [4] ISO/IEC 27001:2005,
gestin de seguridad de la informacin - Requisitos
[5] ISO/IEC 27002, la tecnologa de la informacin - Tcnicas de
seguridad - Cdigo de prcticas para la seguridad de la informacin los
controles
Seguridad - Sistema de gestin de seguridad de informacin de orientacin
en la ejecucin
[7] ISO/IEC CP: 27004, tecnologa de la informacin - Tcnicas de
seguridad - Gestin de la seguridad de la informacin - Medicin
[8]. ISO/IEC 27005, la tecnologa de la informacin - Tcnicas de
seguridad - Gestin de riesgos de seguridad de la Informacin
Seguridad - Requisitos para organismos de auditora y certificacin de
sistemas de gestin de seguridad de la informacin
seguridad - Directrices para la auditora de los sistemas de gestin de
la seguridad de la informacin
[11] ISO/IEC TR 27008, tecnologa de la informacin - Tcnicas de
seguridad - Directrices para los auditores en seguridad de la informacin
los controles
seguridad - especficos para cada sector de aplicacin de la norma
ISO/IEC 27001 - Requisitos
seguridad - Gestin de la seguridad de la informacin del sector para
inter e intra-comunicacin organizacional
seguridad - directrices para la gestin de la seguridad de la informacin
las organizaciones de telecomunicaciones basado en ISO/IEC 27002
[15]. ISO/IEC 27013, la tecnologa de la informacin - Tcnicas de
seguridad - Orientacin sobre la aplicacin integrada de ISO/IEC 27001 e
ISO/IEC 20000-1
seguridad - Gestin de la seguridad de la informacin [17] ISO/IEC TR
27015, tecnologa de la informacin - Tcnicas de Seguridad - Seguridad
de la informacin las directrices de gestin para los servicios
financieros
[18] ISO/IEC TR 27016, tecnologa de la informacin - Tcnicas de
seguridad - Gestin de la seguridad de la informacin - economa
Organizacional
seguridad - Cdigo de prctica para los controles de seguridad de la
informacin basado en ISO/IEC 27002 para los servicios cloud
seguridad - Cdigo de prctica para la proteccin de informacin personal
identificable (PII) en las clouds pblicas actuando como PII p rocesadores
[20] ISO/IEC 27019, la tecnologa de la informacin: Tcnicas de
seguridad - directrices de gestin de la seguridad de la informacin
basado en ISO/IEC 27002 para sistemas de control de proceso especficas
para la industria de servicios pblicos de energa
ISO/IEC 27000:2016(E)
[21] As que 27799, Salud informtica - la gestin de la seguridad de la
informacin en salud en el uso de la norma ISO/IEC 27002 [22] La Gua ISO
73:2009, gestin de riesgos - Vocabulario [23] ISO/IEC 15939:2007,
sistemas e ingeniera de software - proceso de medicin [24] ISO/IEC
20000-1:2011, tecnologa de la informacin - Service Management - Parte
1: Requisitos del sistema de gestin de servicio
ISO/IEC 27000:2016(E)
ICS01.040.35; 35.040
Precio basado en 34 pginas
ISO/IEC 2016 - Todos los derechos reservados

Iso-Iec 27000 (2016)

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Iso-Iec 27000 (2016)

Caricato da

Copyright:

Formati disponibili

Norma Internacional ISO/IEC 27000

Cuarta edicin 2016-02-15

ISO/IEC 27000:2016(E) del

estndar internacional ISO/IEC 27000:2016(E)

ISO/IEC 27000:2016(E) del

Potrebbero piacerti anche