ISO 27001 2005 Espa Ol

ISO/IEC 27001:2005(E)
Estndar Internacional ISO 27001

Primera Edicin 15-10-2005
Tecnologas de la informacin tcnicas de seguridad sistema de administracin de seguridad de la informacin requerimientos
Traducido para la Superintendencia de Bancos y Seguros del Ecuador por: Ing. Alberto Pazmio P. Director Nacional de Recursos Tecnolgicos Febreo de 2007
Nmero de referencia: ISO/IEC 27001:2005(E)
ISO-27001: 2005
ISO/IEC 2005 Derechos reservados
ISO/IEC 27001:2005(E)
INDICE
Introduccin..........................................................................................................................................................4 0Introduccin.................................................................................................................................................. 4 General............................................................................................................................................................ 4 El enfoque de procesos................................................................................................................................... 4 Compatibilidad con otros sistemas de administracin....................................................................................6 Alcance................................................................................................................................................................. 7 General............................................................................................................................................................ 7 Aplicacin....................................................................................................................................................... 7 Referencias normativas.........................................................................................................................................8 Trminos y definiciones....................................................................................................................................... 8 Sistema de gestin de seguridad de la informacin (ISMS)...............................................................................10 Requerimientos generales............................................................................................................................. 10 Establecer y administrar el ISMS..................................................................................................................10 Establecer el ISMS.................................................................................................................................. 10 Implementar y operar el ISMS................................................................................................................ 12 Monitorear y revisar el ISMS..................................................................................................................12 Mantener y desarrollar el ISMS.............................................................................................................. 13 Requerimientos de documentacin............................................................................................................... 13 General.................................................................................................................................................... 13 Control de documentos............................................................................................................................14 Control de registros................................................................................................................................. 14 Responsabilidad de la gerencia...........................................................................................................................15 Compromiso de la gerencia...........................................................................................................................15 Manejo de recursos....................................................................................................................................... 15 Provisin de recursos...............................................................................................................................15 Entrenamiento, concienciacin y competencia....................................................................................... 15 Auditoras internas al ISMS............................................................................................................................... 16 Revisin del la gerencia al ISMS........................................................................................................................16 General.......................................................................................................................................................... 16 Informacin de entrada al proceso de revisin............................................................................................. 16 Resultados del proceso de revisin............................................................................................................... 17 Desarrollo del ISMS........................................................................................................................................... 17 Desarrollo continuo.......................................................................................................................................17 Acciones correctivas..................................................................................................................................... 17 Acciones preventivas.................................................................................................................................... 17 ANEXO A.......................................................................................................................................................... 19 Objetivos de control y controles .................................................................................................................. 19 TABLA A.1 CONTROLES Y OBJETIVOS DE CONTROL..................................................................... 19 A.5 POLITICA DE SEGURIDAD............................................................................................................... 19 A.5.1 Poltica de Seguridad de la Informacin....................................................................................... 19 A.6 ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN.................................................. 19 A.6.1 Organizacin Interna..................................................................................................................... 19 A.6.2 Partes Externas.............................................................................................................................. 20 A.7 GESTIN DE ACTIVOS...................................................................................................................... 21 A.7.1 Responsabilidad por los activos.................................................................................................... 21 A.7.2 Clasificacin de la informacin.....................................................................................................21 A.8 SEGURIDAD Y LOS RECURSOS HUMANOS................................................................................. 21 A.8.1 Antes del empleo........................................................................................................................... 21 A.8.2 Durante el empleo..........................................................................................................................22 A.8.3 Terminacin o cambio de empleo................................................................................................. 22 A9 SEGURIDAD FSICA Y AMBIENTAL............................................................................................... 22 A.9.1 reas seguras.................................................................................................................................22 A.9.2 Seguridad de los equipos............................................................................................................... 23 A. 10 GESTION DE LAS COMUNICACIONES Y DE LAS OPERACIONES........................................ 24 2
ISO/IEC 27001:2005(E)
A.10.1 Procedimientos y responsabilidades operativas.......................................................................... 24 A.10.2 Administracin de la entrega de servicios de terceros................................................................ 24 A.10.3 Planificacin y aceptacin del sistema........................................................................................ 25 A.10.4 Proteccin contra cdigo malicioso y contra cdigo portable.....................................................25 A.10.5 Respaldos.....................................................................................................................................25 A.10.6 Administracin de los servicios de red........................................................................................25 A.10.7 Administracin de medios de almacenamiento...........................................................................25 A.10.8 Intercambio de informacin........................................................................................................ 26 A.10.9 Servicios de comercio electrnico...............................................................................................26 A.10.10 Monitoreo.................................................................................................................................. 27 A.11 CONTROLES DE ACCESO............................................................................................................... 27 A.11.1Requerimientos de controles de acceso del negocio.................................................................... 27 A.11.2 Administracin de los accesos de usuario................................................................................... 27 A.11.3 Responsabilidades de los usuarios...............................................................................................28 A.11.4 Controles de acceso a la red........................................................................................................ 28 A.11.5 Controles de acceso al sistema operativos...................................................................................29 A.11.6 Controles de acceso a las aplicaciones y a la informacin..........................................................29 A.11.7 Computacin porttil y trabajo a distancia..................................................................................29 A.12 ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIN..30 A.12.1 Requerimientos de seguridad de los sistemas de informacin.................................................... 30 A.12.2 Correcto procesamiento de las aplicaciones................................................................................30 A.12.3 Controles criptogrficos.............................................................................................................. 30 A.12.4 Seguridad de los archivos del sistema......................................................................................... 30 A.12.5 Seguridades en los procesos de desarrollo y soporte...................................................................31 A.12.6 Administracin de vulnerabilidades tcnicas.............................................................................. 31 A.13 ADMINISTRACIN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIN....................31 A.13.1 Reporte de eventos y debilidades de la seguridad de la informacin..........................................31 A.13.2 Administracin de los incidentes y las mejoras a la seguridad de la informacin...................... 32 A.14 ADMINISTRACIN DE LA CONTINUIDAD DEL NEGOCIO..................................................... 32 A.14.1 Aspectos relacionados con la seguridad de la informacin en la administracin de la continuidad del negocio...........................................................................................................................32 A.15 CUMPLIMIENTO DE NORMAS.......................................................................................................33 A.15.1 Cumplimiento de requerimientos legales.................................................................................... 33 A.15.2 Cumplimiento con las polticas y estndares de seguridad y cumplimiento tcnico.................. 33 A.15.3 Consideraciones acerca de la auditora a los sistemas de informacin....................................... 33 ANEXO B...........................................................................................................................................................35 Los principios de la OECD y este Estndar Internacional............................................................................35 TABLA B.1 LOS PRINCIPIOS DE LA OECD Y EL MODELO PDCA................................................... 35 ANEXO C...........................................................................................................................................................36 Correspondencia entre las normas ISO 9001: 2000, ISO 14001:2004 y este Estndar Internacional..........36 Tabla C.1 Correspondencia entre las normas ISO 9001:2000, ISO 14001:2004 y este Estndar Internacional..................................................................................................................................................36 Bibliografa......................................................................................................................................................... 38
ISO/IEC 27001:2005(E)
Introduccin
0.1 General Este Estndar Internacional ha sido preparado para proveer un modelo para el establecimiento, implementacin, operacin, monitoreo, revisin, mantenimiento y desarrollo de un Sistema de Gestin de la Seguridad de la Informacin1. La adopcin de un ISMS debe ser una decisin estratgica en una organizacin. El diseo e implementacin de un ISMS de una organizacin est influenciado por sus necesidades y objetivos, los requerimientos de seguridad, los procesos utilizados y el tamao y estructura de la organizacin. Estos y los sistemas que los soportan se espera que cambien en el tiempo. Se espera que la implementacin de un ISMS sea dimensionada de acuerdo con las necesidades de la organizacin, por ejemplo, una situacin simple requiere una solucin ISMS simple Este Estndar Internacional puede ser utilizado en orden a evaluar la conformidad entre las partes interesadas internas y externas. 0.2 El enfoque de procesos Este Estndar Internacional adopta el enfoque de procesos para el establecimiento, implementacin, operacin, monitoreo, revisin, mantenimiento y desarrollo del ISMS de una organizacin. Una organizacin necesita identificar y administrar muchas actividades con el fin de funcionar efectivamente. Cualquier actividad que utilice recursos y que sea administrada con el fin de posibilitar la transformacin de entradas en salidas puede ser considerada como un proceso. Frecuentemente la salida de un proceso conforma directamente la entrada del siguiente. La aplicacin de un sistema de procesos dentro de una organizacin, junto con la identificacin e interacciones de estos procesos, y su administracin, pueden ser referidos como enfoque de procesos. El enfoque de procesos para la administracin de la seguridad de la informacin presentado en este Estndar Internacional propende a que los usuarios a enfaticen la importancia de: a) Comprender los requerimientos de seguridad de una organizacin y la necesidad de establecer polticas y objetivos de seguridad de la informacin. b) Implementar y operar los controles para administrar los riesgos de seguridades de la informacin en el contexto de los riesgos globales de la organizacin. c) Monitorear y revisar el desempeo y la efectividad del ISMS d) Desarrollo continuo basado en la medicin de los objetivos Este Estndar Internacional adopta el modelo Plan Do Check Act PDCA; (Planifique, Ejecute, Revise, Acte), que es aplicado para estructurar todos los procesos ISMS. La Figura 1 ilustra cmo un ISMS toma como entrada los requerimientos de informacin y las expectativas de los involucrados y, por medio de las acciones y los procesos necesarios, produce resultados de seguridad de la informacin que satisfacen aqullos requerimientos y expectativas. La Figura 1 tambin ilustra los enlaces en los procesos presentados en las Clusulas 4, 5, 6, 7 y 8. La adopcin del modelo PDCA tambin va a reflejar los principios tal como se presentan en las Guas de la OECD (2002)2 que norman la seguridad de las redes y sistemas de informacin.. Este estndar internacional tambin suministra un modelo robusto para implementar los principios
1
Nota del traductor: En adelante ISMS por su sigla en ingls. 4

ISO/IEC 27001:2005(E)
recogidos en las guas para la evaluacin de riesgos, el diseo e implementacin de seguridades, as como la administracin y la reevaluacin de las seguridades . EJEMPLO 1 Un requerimiento podra ser que las brechas de seguridad de la informacin no vayan a causar daos financieros serios a una organizacin ni ocasionen su desprestigio. EJEMPLO 2 Una expectativa podra ser que en caso de que ocurra un incidente serio tal vez que el sitio web de la organizacin sea atacado por hackers haya personas suficientemente entrenadas en los procedimientos apropiados para minimizar el impacto.
INTERESADOS
PLAN
INTERESADOS
ESTABLECER EL ISMS
DO ACT
IMPLEMENTAR Y OPERAR EL ISMS

CHECK
MANTENER Y MEJORAR EL ISMS
REQUERIMIENTOS Y ESPECTATIVAS ACERCA DE SEGURIDAD DE LA INFORMACION
MONITOREAR Y REVISAR EL ISMS
SISTEMA DE SEGURIDAD DE LA INFORMACIN ADMINISTRADO
FIGURA 1 -- MODELO PDCA APLICADO AL PROCESO ISMS
OECD Guidelines for the Security of Information Systems and Networks Towards a Culture of Security. Paris: OECD, July 2002. www.oecd.org
ISO/IEC 27001:2005(E)
PLAN: Establecer el Sistema de Administracin de Seguridad de la Informacin (ISMS)
Establecer la poltica, objetivos y procesos relevantes del ISMS para administrar los riesgos y desarrollar la seguridad de la informacin de tal forma que se alcancen resultados acordes con las polticas y objetivos generales de la organizacin.
DO: Implementar y operar Implementar y operar las polticas, controles, procesos y el ISMS procedimientos del ISMS.
CHECK: Monitorear y revisar el ISMS
Evaluar y, cuando sea aplicable, medir el desempeo de los procesos con respecto a las polticas, objetivos y la experiencia prctica del ISMS, y reportar los resultados a la gerencia para revisin.
Tomar las acciones correctivas y preventivas basadas en los resultados de la auditora interna del ISMS y de la revisin de la gerencia o de otra ACT: Dar mantenimiento y informacin relevante , para alcanzar el desarrollo contnuo del ISMS. desarrollar el ISMS
0.3 Compatibilidad con otros sistemas de administracin Este Estndar Internacional est alineado con ISO 9001:2000 e ISO 14001:2004 a fin de apoyar la implementacin y operacin consistentes e integradas con los estndares de gestin relacionados. Un sistema de gestin adecuadamente diseado puede as satisfacer los requerimientos de todos estos estndares. La Tabla C.1 ilustra la relacin entre las clusulas de este Estndar Internacional con ISO 9001:2000 e ISO 14002:2004. Este Estndar Internacional est diseado de tal manera que una organizacin pueda alinear o integrar su ISMS con los requerimientos de sistemas de administracin relacionados.
ISO/IEC 27001:2005(E)
__________________________________________________________________
ESTNDAR INTERNACIONAL ISO/IEC 27001:2005(E)
__________________________________________________________________
TECNOLOGIA DE INFORMACIN TCNICAS DE SEGURIDAD SISTEMAS DE GESTIN DE SEGURIDAD DE LA INFORMACIN - REQUERIMIENTOS IMPORTANTE Esta publicacin no pretende incluir todo las provisiones necesarias de un contrato. Los usuarios son responsables de su correcta aplicacin. La conformidad con un Estndar Internacional por si mismo no otorga inmunidad de obligaciones legales. 1. Alcance 1.1 General Este Estndar Internacional cubre todo tipo de organizacin ( empresas comerciales, agencias de gobierno, organizaciones sin fines de lucro). Este Estndar Internacional especifica los requerimientos para el establecimiento, implementacin, operacin, monitoreo, revisin, mantenimiento y desarrollo de un ISMS documentado y dentro del contexto de los riesgos globales de negocio de la organizacin. Especifica los requisitos para la implementacin de controles de seguridad adaptados a las necesidades de organizaciones individuales o partes de la misma. El ISMS est diseado de tal manera que asegura la seleccin de los controles de seguridad adecuados y oportunos que protejan los activos de informacin y brinden confianza a las partes interesadas. NOTA 1: Las referencias a negocio en este Estndar Internacional deben ser interpretadas ampliamente como significando aqullas actividades que son lo esencial del propsito de la existencia de la organizacin. NOTA 2: ISO/IEC 17799 da guas de implementacin que se pueden usar en el diseo de controles. 1.2 Aplicacin Los requerimientos propuestos en este Estndar Internacional son genricos e intentan ser aplicables a toda organizacin, sin tomar en cuenta el tipo, tamao o naturaleza. La exclusin de cualquiera de los requerimientos especificados en las Clusulas 4, 5, 6, 7 y 8 es inaceptable cuando una organizacin demanda la conformidad con este Estndar Internacional. Cualquier exclusin de controles que se encuentre necesaria para satisfacer los criterios de aceptacin de riesgos debe ser justificada y se deben presentar evidencias de que los riesgos asociados han sido aceptados por las personas responsables. En el caso de que algunos controles sean excluidos, no es aceptable la declaracin de conformidad con este Estndar Internacional, a menos que tales exclusiones no afecten la capacidad o responsabilidad de la organizacin para brindar seguridad de la informacin que rena los requerimientos de seguridad determinados por la evaluacin de riesgos u otros requerimientos aplicable regulatorios o legales. NOTA: Si una organizacin ya tiene un sistema de administracin de procesos del negocio operativo ( ejemplo, relacionado con ISO 9001 o ISO 14002), es preferible en la mayora de los 7
ISO/IEC 27001:2005(E)
casos satisfacer los requerimientos de este Estndar Internacional dentro del sistema de administracin existente. 2. Referencias normativas Los documentos a los que se hace referencia a continuacin son indispensables para la aplicacin de este documento. Para aqullas referencias que tengan una fecha aplica solamente la edicin citada. Para aqullas referencias sin fecha aplica la ltima edicin del documento referenciado (incluyendo cualquier enmienda). ISO/IEC 17799:2005, Information technology Security techniques Code of practice for information security management 3. Trminos y definiciones Para el propsito de este documento aplican los siguientes trminos y definiciones: 3.1 Activo Cualquier cosa que tenga un valor para la organizacin [ISO/IEC 13335-1:2004] 3.2 Disponibilidad La propiedad de ser accesible y utilizable tan pronto como sea demandado por una entidad autorizada [ISO/IEC 13335-1:2004] 3.3 Confidencialidad La propiedad de que la informacin no est disponible para, ni sea divulgada por personas, entidades o procesos no autorizados [ISO/IEC 13335-1:2004] 3.4 Seguridad de la informacin Preservacin de la confidencialidad, integridad y disponibilidad de la informacin, tambin estn involucradas otras propiedades tales como la autenticidad, responsabilidad, no repudio y confiabilidad [ISO/IEC 17799:2005] 3.5 Evento de seguridad de la informacin Una ocurrencia identificada de un estado de la red, un servicio o un sistema, que indica una posible brecha en la poltica de seguridad de la informacin o falla de las salvaguardas, o una situacin previamente desconocida que puede ser relevante para la seguridad. [ISO/IEC TR 18044:2004] 3.6 Incidente de seguridad de la informacin Evento o serie de eventos de seguridad de la informacin no deseados o inesperados, con una probabilidad significativa de comprometer las operaciones del negocio que amenazan la seguridad de la informacin. [ISO/IEC TR 18044:2004]
ISO/IEC 27001:2005(E)
3.7 Sistema de gestin de seguridad de la informacin (ISMS) Aqulla parte del sistema global de administracin, basada en un enfoque de riesgos del negocio, que establece, implementa, opera, monitorea, revisa, mantiene y desarrolla la seguridad de la informacin. NOTA: El sistema de administracin incluye la estructura y la poltica organizacional 3.8 Integridad La propiedad que protege la precisin y la completitud de los activos [ISO/IEC 13335-1:2004] 3.9 Riesgo residual El riesgo restante luego de su tratamiento [ISO/IEC Guide 73:2002] 3.10 Aceptacin de riesgo La decisin de aceptar un riesgo [ISO/IEC Guide 73:2002] 3.11 Anlisis de Riesgo Uso sistemtico de informacin para identificar las fuentes y hacer estimaciones de riesgo [ISO/IEC Guide 73:2002] 3.12 Valoracin de riesgos Proceso global de anlisis y evaluacin de riesgos [ISO/IEC Guide 73:2002] 3.13 Evaluacin de riesgo Proceso de comparar el riesgo estimado contra un criterio dado de riesgo para determinar su importancia [ISO/IEC Guide 73:2002] 3.14 Gestin de riesgos Actividades coordinadas para dirigir y controlar una organizacin con respecto al riesgo [ISO/IEC Guide 73:2002] 3.15 Tratamiento del riesgo Proceso de seleccin e implementacin de las medidas necesarias para modificar un riesgo [ISO/IEC Guide 73:2002] NOTA: En esta estndar internacional el trmino control es tomado como sinnimo de medida. 3.16 Declaracin de aplicabilidad Declaracin documentada que describe los objetivos de control y los controles que son relevantes y aplicables al sistema de gestin de la seguridad de la informacin (ISMS) de la organizacin 9
ISO/IEC 27001:2005(E)
NOTA: Los objetivos de control y los controles se basan en la valoracin de riesgos y en los procesos de tratamiento de los mismos, as como en los requerimientos legales o regulatorios, en las obligaciones contractuales y en los requerimientos de seguridad de la informacin del negocio de la organizacin.
4. Sistema de gestin de seguridad de la informacin (ISMS) 4.1 Requerimientos generales La organizacin debe establecer, implementar, operar, monitorear, revisar, mantener y desarrollar un ISMS documentado dentro del contexto de las actividades globales del negocio de la organizacin y de los riesgos que enfrenta. Para los propsitos de este Estndar Internacional el proceso usado est basado en el modelo PDCA mostrado en la Figura 1. 4.2 Establecer y administrar el ISMS 4.2.1 Establecer el ISMS
La organizacin debe hacer lo siguiente: a) Definir el alcance y las fronteras del ISMS en trminos de las caractersticas del negocio, de la organizacin, su localizacin, activos y tecnologa, incluyendo los detalles que justifiquen cualquier exclusin del alcance (ver 1.2) b) Definir una poltica del ISMS en trminos de las caractersticas del negocio, su localizacin, activos y tecnologa que: 1) Incluya un marco de trabajo para establecer objetivos y un sentido global directivo y de principios de accin con respecto a la seguridad de la informacin. 2) Tome en cuenta requerimientos regulatorios legales y del negocio y obligaciones de seguridad contractuales. 3) Se alinee en el contexto del manejo estratgico del riesgo de la organizacin en el que va a tener lugar el establecimiento y mantenimiento del ISMS. 4) Establece los criterios con los cuales va a ser evaluado (vase 4.2.1c) y 5) Sea aprobado por la gerencia NOTA: Para efectos de este Estndar Internacional, la poltica de ISMS es considerada como un superconjunto de la poltica de seguridad de la informacin. Estas polticas pueden ser descritas en un documento. c) Definir el enfoque de la valoracin de riesgos de la organizacin 1) Identificar una metodologa de valoracin de riesgos que sea adecuada para la ISMS y para los requerimientos identificados de seguridad de la informacin del negocio, regulatorios y legales. 2) Desarrollar los criterios de aceptacin de riesgo e identificar sus niveles permisibles. (vase 5.1f) La metodologa de valoracin de riesgos seleccionada debe asegurar que se produzcan resultados comparables y reproducibles. NOTA: Hay diferentes metodologas de valoracin de riesgos, ejemplos de stas se discuten en ISO/IEC TR 13335-3, Information technology Guidelines for the management of IT Security 10
ISO/IEC 27001:2005(E)
Techniques for the management of IT Security.
d) Identificar los riesgos 1) Identificar los activos que estn en el alcance del ISMS y los propietarios3 de dichos activos. 2) Identificar las amenazas a aqullos activos. 3) Identificar las vulnerabilidades que pueden ser explotadas por las amenazas 4) Determinar los impactos que puedan tener sobre los activos las prdidas de confidencialidad, integridad, disponibilidad y e) Analizar y evaluar los riesgos 1) Evaluar los impactos del negocio sobre la organizacin resultantes de fallas en la seguridad tomando en cuenta las consecuencias de una prdida de confidencialidad, integridad y disponibilidad de los activos. 2) Evaluar las probabilidades realistas de fallas de seguridad que ocurran a la luz de las amenazas y vulnerabilidades prevalentes y los impactos asociados en los activos, as como los controles que estn implementados actualmente. 3) Estimar los niveles de riesgo. 4) Determinar cundo son aceptables los riesgos o requieren tratamiento utilizando los criterios de aceptacin de riesgos establecidos en 4.2.1.c) 2). Identificar y evaluar opciones para el tratamiento de los riesgos Las posibles opciones incluyen: 1) Aplicacin de los controles adecuados 2) Aceptacin de los riesgos de una manera objetiva y con el debido conocimiento, provisto que ellos satisfagan las polticas de la organizacin y los criterios de aceptacin de riesgos (vase 4.2.1c)2)). 3) Evitar riesgos. 4) Transferencia de los riesgos asociados al negocio a terceros tales como aseguradoras o proveedores.
f)
g) Seleccionar los objetivos de control y los controles para el tratamiento de los riesgos Los objetivos de control y los controles deben ser seleccionados e implementados de tal manera que renan los requerimientos identificados por los procesos de evaluacin y tratamiento de riesgos. Esta seleccin debe tomar en cuenta los criterios de aceptacin de riesgos (vase 4.2.1c)2)), as como los requerimientos legales, regulatorios y contractuales. Los objetivos de control y los controles del Anexo A se seleccionarn, como parte de este proceso, en tanto se ajusten a los requerimientos identificados. Los objetivos de control y los controles del Anexo A no son exhaustivos y se pueden seleccionar controles y objetivos de control adicionales. NOTA: El Anexo A contiene una extensa lista de controles y objetivos de control que se ha encontrado que son comnmente relevantes a las organizaciones. Los usuarios de este estndar Internacional son remitidos al Anexo A como un punto de partida para que la seleccin de controles asegure que ninguna opcin importante de control sea pasado por alto. h) Obtener aprobacin de la gerencia para el riesgo residual propuesto. i) Obtener la autorizacin de la gerencia para implementar y operar el ISMS. j) Preparar una Declaracin de Aplicabilidad.
3
El trmino propietario identifica un individuo o entidad que tiene responsabilidades administrativas aprobadas para controlar la produccin, el desarrollo, el mantenimiento, uso y seguridad de los activos. El trmino propietario no significa que la persona tenga realmente derechos de propiedad sobre el activo. 11
ISO/IEC 27001:2005(E)
La Declaracin de Aplicabilidad debe contener los siguiente: 1) Los objetivos de control y los controles seleccionados en 4.2.1g) y las razones de su seleccin 2) Los objetivos de control y los controles actualmente implementados (vase 4.2.1e2)), y 3) La exclusin de cualesquier control u objetivo de control del Anexo A y la justificacin de tal exclusin. NOTA: La Declaracin de Aplicabilidad presenta un resumen de las decisiones concernientes al tratamiento de los riesgos. La justificacin de las exclusiones da un cruce que permite comprobar que ningn control ha sido omitido inadvertidamente 4.2.2 Implementar y operar el ISMS
La organizacin debe hacer lo siguiente a) Formular un plan de tratamiento del riesgo que identifique las acciones, recursos, responsabilidades y prioridades de la gerencia para administrar los riesgos de seguridad de la informacin. b) Implementar el plan de tratamiento de los riesgos de tal manera que se alcancen los objetivos de control identificados y que incluya consideraciones acerca de la asignacin de recursos y de roles y responsabilidades. c) Implementar los controles seleccionados en 4.1.1g) para alcanzar los objetivos de control. d) Definir como medir la efectividad de los controles o grupos de controles seleccionados y especificar cmo estas medidas van a ser utilizadas en la evaluacin de la efectividad de los controles para obtener resultados contrastables y reproducibles. (vase 4.2.3c)) NOTA: La medicin de la efectividad de los controles permite a la administracin y al personal determinar qu tan bien han alcanzado los controles los objetivos de control planificados. e) f) g) h) Implementar programas de entrenamiento y concienciacin. (vase 5.2.2) Administrar la operacin del ISMS. Administrar los recursos del ISMS. (ver 5.2) Implementar procedimientos y otros controles que posibiliten una deteccin temprana eventos y dar respuesta a incidentes de seguridad. (vase 4.2.3a)) Monitorear y revisar el ISMS
de
4.2.3
La organizacin debe hacer lo siguiente: a) Ejecutar los procedimientos de monitoreo y revisin y otros controles para: 1) Detectar oportunamente errores en los resultados del procesamiento. 2) Identificar oportunamente brechas e incidentes de seguridad intentados y exitosos. 3) Permitir que la gerencia determine si las actividades de control delegadas a las personas o implementadas por tecnologa de informacin se desarrollan segn lo esperado. 4) Ayudar a detectar eventos de seguridad y as prevenir incidentes de seguridad mediante el uso de indicadores; y 5) Determinar si fueron efectivas las acciones tomadas para resolver brechas de seguridad. b) Emprender revisiones regulares de la efectividad del ISMS (que incluyan el cumplimiento de sus polticas y objetivos y revisiones de control de seguridad), tomando en consideracin los resultados de las auditoras de seguridad, los incidentes, y los resultados de la medicin de efectividad, as como las sugerencias y retro alimentacin de todas las partes interesadas. c) Medir la efectividad de los controles para verificar que se han alcanzado los requerimientos de seguridad. 12
ISO/IEC 27001:2005(E)
d) Revisar en intervalos planificados las valoraciones de riesgo, as como los riesgos residuales y los niveles aceptables de riesgo, tomando en cuanta los cambios en: 1) 2) 3) 4) 5) 6) La organizacin; La tecnologa; Los procesos y los objetivos del negocio; Las amenazas identificadas; La efectividad de los controles implementados; y, Los eventos externos tales como cambios en el entorno legal y regulatorio, en las obligaciones contractuales y en el clima social.
e) Realizar auditoras internas al ISMS en intervalos planificados (vase 6). NOTA: Las auditoras internas, algunas veces llamadas auditoras de primera parte, son realizadas con fines internos por la organizacin misma, o en su nombre. f) Emprender en una base regular revisiones gerenciales al ISMS para asegurar que el alcance sigue siendo el adecuado y que se identifiquen mejoras al proceso (vase 7.1). g) Actualizar los planes de seguridad para que tomen en cuenta los hallazgos de las revisiones de seguridad y de monitoreo. h) Registrar las acciones y los eventos que puedan tener impacto en la efectividad o desempeo del ISMS. 4.2.4 Mantener y desarrollar el ISMS
La organizacin debe hacer regularmente lo siguiente: a) Implementar las mejoras al ISMS que sean identificados b) Tomar los correctivos apropiados y las acciones preventivas de acuerdo con 8.2 y 8.3. Aplicar las lecciones aprendidas de las experiencias de seguridad de otras organizaciones y de la organizacin misma. c) Comunicar las acciones y las mejoras a todos los interesados con el nivel de detalle adecuado a las circunstancias y, en cuanto sea relevante, acordar cmo proceder. d) Asegurar que las mejoras alcancen los objetivos que intentan. 4.3 Requerimientos de documentacin 4.3.1 General
La documentacin debe incluir registros de las decisiones administrativas, asegurar que las acciones dejan traza para seguir su pista desde las decisiones administrativas y las polticas y que los resultados registrados son reproducibles. Es importante poder demostrar la relacin existente entre los controles seleccionados y los resultados de la evaluacin de riesgos y los procesos de tratamiento de riesgos, y, consecuentemente con las polticas y objetivos del ISMS. La documentacin del ISMS debe incluir: a) b) c) d) e) f) 13 Declaracin documentada de las polticas (vase 4.2.1b)) y objetivos del ISMS. Alcance del ISMS (vase 4.2.1a). Polticas y controles que soportan el ISMS Descripcin de la metodologa de evaluacin de riesgos (vase 4.2.1c)). El reporte de evaluacin de riesgos (vase 4.2.1 c) a 4.2.1g)). El plan de tratamiento de los riesgos (vase 4.2.2b)).
ISO/IEC 27001:2005(E)
g) Procedimientos documentados necesarios para que la organizacin asegure la efectiva planificacin, operacin y control de sus procesos de seguridad de la informacin y describa cmo medir la efectividad de los controles. h) Los registros requeridos por este Estndar Internacional. i) La declaracin de aplicabilidad. NOTA 1: El trmino procedimiento documentado en este Estndar Internacional significa que el procedimiento est establecido, documentado, implementado y mantenido. NOTA 2: La extensin de la documentacin del ISMS puede diferir de una a otra organizacin debido a: El tamao de la organizacin y el tipo de actividades que desarrolla; y, El alcance y complejidad de los requerimientos de seguridad y del sistema que se administra. NOTA 3: Los documentos y los registros pueden estar en cualquier forma y medio. 4.3.2 Control de documentos
Los documentos requeridos por el ISMS deben ser protegidos y controlados. Se debe establecer un procedimiento documentado para definir las acciones administrativas necesarias para: a) b) c) d) aprobar la adecuacin de los documentos antes de su emisin; revisar y actualizar los documentos cuando sea necesario y reaprobarlos; asegurar que se identifiquen los cambios y el estado actual de revisin de los documentos; asegurar que las versiones relevantes de los documentos aplicables estn disponibles en los puntos de utilizacin; e) asegurar que los documentos se mantengan legibles y fcilmente identificables; f) asegurar que los documentos estn disponibles para quienes los necesitan y sean transferidos, almacenados, y, en ltima instancia, destruidos de acuerdo con los procedimientos aplicables a su clasificacin. g) asegurar que estn identificados los documentos que sean de origen externo; h) asegurar que se controle la distribucin de los documentos; i) prevenir el uso no intencionado de documentos obsoletos; y j) darles una identificacin adecuada en caso de que deban ser retenidos con algn fin. 4.3.3 Control de registros
Se deben establecer y mantener registros que den evidencia acerca de la conformidad del ISMS con los requerimientos y de su efectiva operacin. Estos registros deben ser protegidos y controlados. La ISMS debe tomar en cuenta cualquier requerimiento relevante legal o regulatorio y las obligaciones contractuales. Los registros se deben mantener legibles, fcilmente identificables y recuperables. Se deben identificar y documentar los controles necesarios para la identificacin, mantenimiento, proteccin, recuperacin, perodo de retencin y eliminacin de los registros. Se deben guardar registros del desempeo de los procesos tal como se bosqueja en 4.2 y de todas las ocurrencias de incidentes de seguridad significativos relacionados con el ISMS. EJEMPLO Ejemplo de registros son el libro de visitantes, los reportes de auditora y los formularios debidamente llenados de autorizacin de accesos.
14
ISO/IEC 27001:2005(E)
5. Responsabilidad de la gerencia 5.1 Compromiso de la gerencia La gerencia debe dar evidencia de su compromiso en el establecimiento, implementacin, operacin, monitoreo, revisin, mantenimiento y desarrollo del ISMS mediante: a) b) c) d) el establecimiento de la poltica del ISMS; el aseguramiento de que estn establecidos los objetivos y los planes del ISMS; el establecimiento de roles y responsabilidades para la seguridad de la informacin; la comunicacin a la organizacin de la importancia de que se alcancen los objetivos de seguridad de la informacin y la conformidad con las polticas; e) la provisin de los recursos suficientes para el establecimiento, implementacin, operacin, monitoreo, revisin, mantenimiento y desarrollo del ISMS (vase 5.2.1); f) la toma de decisiones acerca de los criterios de aceptacin y los niveles aceptables de riesgo; g) el aseguramiento de que se realizan auditoras internas al ISMS (vase 6); y h) la realizacin de revisiones gerenciales al ISMS (vase 7). 5.2 Manejo de recursos 5.2.1 Provisin de recursos
La organizacin debe determinar y proveer los recursos necesarios para: a) establecer, implementar, operar, monitorear, revisar, mantener y desarrollar el ISMS; b) asegurar que los procedimientos de seguridad de la informacin soportan los requerimientos del negocio; c) identificar y direccionar los requerimientos legales y regulatorios y las obligaciones contractuales acerca de seguridad; d) mantener una adecuada seguridad mediante la correcta aplicacin de todos los controles implementados; e) realizar revisiones cuando sean necesarias y reaccionar de una manera acorde con los resultados de ellas; y f) mejorar la efectividad del ISMS cuando as se requiera. 5.2.2 Entrenamiento, concienciacin y competencia
La organizacin debe asegurar que todo el personal a quien se le han asignado responsabilidades en el ISMS es competente para realizar sus tareas mediante: a) la determinacin de las competencias necesarias que debe tener el personal que realiza trabajos para el ISMS; b) el entrenamiento al personal para que alcance dichas competencias o tomando otras acciones (tales como emplear personal competente); c) la evaluacin de la efectividad de las acciones tomadas; y d) el mantenimiento de registros de educacin, entrenamiento, habilidades, experiencia y calificaciones (vase 4.3.3). La organizacin tambin debe asegurar que todo el personal relevante es consciente de la importancia de las actividades de la seguridad de su informacin y de cmo ellas contribuyen al alcance de los objetivos del ISMS.
15
ISO/IEC 27001:2005(E)
6. Auditoras internas al ISMS La organizacin debe realizar auditoras internas al ISMS en intervalos planificados para determinar si los objetivos de control, los controles, los procesos y los procedimientos del ISMS: a) estn de conformidad con este Estndar Internacional y con las legislaciones y regulaciones relevantes; b) estn de conformidad con los requerimientos de seguridad de la informacin identificados; c) estn efectivamente implementados y mantenidos; y d) se desempean de acuerdo a lo esperado. Se debe elaborar un cronograma de auditora tomando en consideracin el estatus y la importancia de los procesos y las reas a ser auditadas, as como los resultados de auditoras previas. Se deben definir los criterios, el alcance, la frecuencia y los mtodos de auditora. La seleccin de los auditores y la ejecucin de las auditoras debe asegurar la objetividad e imparcialidad del proceso. Los auditores no deben auditar su propio trabajo. Las responsabilidades y requerimientos para la planificacin y ejecucin de las auditoras y el reporte de resultados, as como para el mantenimiento de los registros (vase 4.3.3) debe ser definido en un procedimiento documentado. El responsable del rea auditada debe asegurar que se tomarn sin demoras indebidas las acciones necesarias para eliminar las no conformidades detectadas y sus causas. Las actividades de seguimiento deben comprender la verificacin de las acciones tomadas y el reporte de resultados (vase 8). NOTA: El estndar ISO 19011:2002, Guidelines for quality and/or environmental management systems
auditing, puede proveer ayuda til para realizar auditoras internas al ISMS.
7. Revisin del la gerencia al ISMS 7.1 General La gerencia debe revisar el ISMS de la organizacin en intervalos planificados (al menos una vez al ao) para determinar su conveniencia, adecuacin y efectividad continuas. Esta revisin debe incluir la evaluacin de oportunidades de mejoras y de la necesidad de cambios al ISMS incluidas las polticas y objetivos de seguridad de la informacin. Los resultados de la revisiones deben ser claramente documentados y deben ser registrados (vase 4.3.3). 7.2 Informacin de entrada al proceso de revisin Las informacin de entrada al proceso de revisin debe incluir: a) los resultados de auditoras y revisiones al ISMS; b) la retroalimentacin de partes interesadas; c) las tcnicas, productos o procedimientos que puedan ser utilizados en la organizacin para mejorar la efectividad y el desempeo del ISMS; d) el estatus de las acciones preventivas y correctivas; e) las vulnerabilidades o amenazas que no se trataron adecuadamente en evaluaciones previas de los riesgos ; f) los resultados de las mediciones de efectividad; g) las acciones previas de la gerencia de seguimiento de revisiones h) cualquier cambio que pueda afectar al ISMS; y i) las recomendaciones de mejoras. 16
ISO/IEC 27001:2005(E)
7.3 Resultados del proceso de revisin Los resultados de la revisin de la gerencia deben incluir cualesquiera decisiones y acciones relacionadas con lo siguiente: a) mejoras de la efectividad del ISMS; b) actualizaciones a la evaluacin y al plan de tratamiento de riesgos; c) modificacin de procedimientos y controles que tengan efecto sobre la seguridad de la informacin, en cuanto sea necesario, para responder a eventos internos y externos que puedan impactar al ISMS, incluyendo cambios en: 1) 2) 3) 4) 5) 6) los requerimientos del negocio; los requerimientos de seguridad; los procesos del negocio que tengan efecto en los requerimientos existentes del negocio; los requerimientos regulatorios o legales; las obligaciones contractuales; y los niveles de riesgo o criterios de aceptacin de riesgos.
d) necesidades de recursos e) mejora en la forma como est siendo medida la efectividad de los controles 8. Desarrollo del ISMS 8.1 Desarrollo continuo La organizacin debe mejorar continuamente la efectividad del ISMS mediante la utilizacin de la poltica y los objetivos de seguridad de la informacin, los resultados de las auditoras, el anlisis de los eventos monitoreados, las acciones preventivas y correctivas y las revisiones de la gerencia (vase 7). 8.2 Acciones correctivas La organizacin debe tomar las acciones necesarias para eliminar las causas de las no conformidades con los requerimientos del ISMS y as prevenir su recurrencia. El procedimiento documentado para las acciones correctivas debe definir procedimientos para: a) b) c) d) e) f) identificar las no conformidades; determinar las causas de las no conformidades; evaluar la necesidad de acciones que garanticen la no recurrencia de las no conformidades; determinar e implementar las acciones correctivas necesarias; registrar los resultados de las acciones tomadas (vase 4.3.3); y revisar las acciones correctivas tomadas.
8.3 Acciones preventivas La organizacin debe determinar qu hacer para eliminar las causas de las no conformidades con los requerimientos del ISMS y as prevenir su ocurrencia. Las acciones preventivas que se tomen deben ser las apropiadas para el impacto de los potenciales problemas. El procedimiento documentado para las acciones preventivas debe definir requerimientos para: a) identificar potenciales no conformidades y sus causas; b) evaluar la necesidad de acciones para prevenir la ocurrencia de no conformidades; 17
ISO/IEC 27001:2005(E)
c) determinar e implementar las acciones preventivas necesarias; d) registrar los resultados de las acciones tomadas (ver 4.3.3);y e) revisar las acciones preventivas tomadas. La organizacin debe identificar los riesgos que han cambiado y los requerimientos de acciones preventivas que enfoquen la atencin en aqullos riesgos que han cambiado significativamente. La prioridad de acciones preventivas debe ser determinada con base en los resultados de la evaluacin de riesgos. NOTA: una accin para prevenir no conformidades es a menudo mas costo efectiva que una accin correctiva.
18
ISO/IEC 27001:2005(E)
ANEXO A
(Normativa)
Objetivos de control y controles

Los objetivos de contrrol y controles listados en la Tabla A.1 estn directamente derivados de y alineados con aqullos listados en las clusulas 5 a 15 de ISO/IEC17799:2005. Las listas de la Tabla A.1 no son exhaustivas y para la organizacin pueden ser necesarios controles y objetivos de control adicionales. Los objetivos de control y controles de esas tablas deben ser seleccionados como parte del proceso de ISMS especificado en 4.2.1. Las clusulas 5 a 15 de ISO/IEC17799:2005 dan lineamientos de implementacin y guas acerca de las mejores prcticas en el soporte de los controles especificados en los literales A.5 a A.15.
TABLA A.1 CONTROLES Y OBJETIVOS DE CONTROL A.5 POLITICA DE SEGURIDAD A.5.1 Poltica de Seguridad de la Informacin Objetivo: Proveer direccin y soporte gerencial para la seguridad de la informacin de acuerdo con los requerimientos del negocio y la leyes y regulaciones relevantes. A.5.1.1 Documento de poltica de seguridad de la informacin. Revisin de la poltica de seguridad de la informacin Control La gerencia deber aprobar, publicar y comunicar a los empleados y partes externas relevantes un documento de poltica de seguridad de la informacin . Control La poltica de seguridad de la informacin debe ser revisada en intervalos planificados o al ocurrir cambios significativos y as asegurar su continuidad, idoneidad, adecuacin y efectividad.
A.5.1.2
A.6 ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN A.6.1 Organizacin Interna Objetivo: Administrar la seguridad de la informacin dentro de la organizacin. Administracin del compromiso con la seguridad. Coordinacin de la seguridad de la informacin. Asignacin de responsabilidades en seguridad de la informacin. Control La gerencia debe apoyar activamente la seguridad de la informacin por medio de una direccin clara, un compromiso demostrado, tareas explcitas y el reconocimiento de las resposabilidades respecto de seguridad de la informacin. Control Las actividades de seguridad de la informacin deben ser coordinadas por representantes de diferentes partes de la organizacin con roles y funciones de trabajo relevantes. Control Todas las responsabilidades de seguridad de la informacin deben estar claramente definidas.
A.6.1.1
A.6.1.2
A.6.1.3
19
ISO/IEC 27001:2005(E)
TABLA A.1 CONTROLES Y OBJETIVOS DE CONTROL Procedimiento de autorizacin gerencial para facilidades de procesamiento de informacin Control Se debe definir e implementar un procedimiento de autorizacin gerencial para nuevas facilidades de procesamiento de informacin.
A.6.1.4
A.6.1.5
A.6.1.6 A.6.1.7
A.6.1.8
Control Se deben identificar y revisar regularmente los requerimientos de Acuerdos de confidencialidad y los acuerdos de no divulgacin que reflejen las Confidencialidad necesidades de la organizacin para la proteccin de la informacin. Control Contacto con las Se debe mantener apropiado contacto con las autoridades autoridades relevantes. Control Contacto con grupos de Se deben mantener apropiados contactos con grupos de intereses intereses especiales. especiales u otros foros de especialistas en seguridad y de asociaciones de profesionales. Control El enfoque de la gestin de la seguridad de la informacin y de su Revisin independiente implementacin (ejemplo: objetivos de control, controles, de la seguridad de la polticas, procesos y procedimientos de seguridad de la informacin. informacin) deben ser revisados independiantemente en intervalos planificados o cuando ocurran cambios significativos en la implementacin de seguridad.
A.6.2 Partes Externas Objetivo: Mantener la seguridad de la informacin de la organizacin y de las facilidades de procesamiento de la informacin que sean accesadas, procesadas, comunicadas a, o administradas por partes externass. Control Identificacin de riesgos Los riesgos de la seguridad de la informacin de la organizacin y relacionados con entes de sus facilidadesde procesamiento provienentes de procesos del externos.. negocio que involucren a terceros debern ser identificados y se debern implementar los controles adecuados antes de dar los accesos. Control Tratamiento de las Todos los requerimientos de seguridad identificados deben ser seguridades en lo relativotratados antes de dar a los clientes accesoa los activos de a clientes informacin o a la informacin de la organizacin. Control Los acuerdos con terceros que involucren el acceso, el Tratamiento de la procesamiento, la comunicacin o el manejo de la informacin de seguridad en acuerdos la organizacin o de sus recursos de procesamiento o el aadir con terceros nuevos productos o servicios a las facilidades de procesamiento se deben realizar cubriendo todos los requerimientos relevantes de seguridad.
A.6.2.1
A.6.2.2
A.6.2.3
20
ISO/IEC 27001:2005(E)
TABLA A.1 CONTROLES Y OBJETIVOS DE CONTROL A.7 GESTIN DE ACTIVOS A.7.1 Responsabilidad por los activos A7.1.1 A.7.1.2 Control Todos los activos deben estar claramente identificados y se debe llevar y mantener un inventario de todos los activos importantes. Control Propiedad de los activos Toda la informacin y los activos asociados con los recursos para su procesamiento deben tener como propietario una parte designada para ese efecto por la organizacin.4 Control Uso aceptable de los Se deben identificar, documentar e implementar reglas para el uso activos aceptable de la informacin y de los activos asociados con las facilidades para su procesamiento. Inventario de activos
A.7.1.3
A.7.2 Clasificacin de la informacin Objetivo: Garantizar que la informacin reciba un nivel apropiado de proteccin. A.7.2.1 Control La informacin debe ser clasificada en trminos de su valor, de requerimientos legales, de sensitividad y criticalidad para la organizacin. Se debe desarrollar e implementar un conjunto adecuado de Etiquetado y manejo de procedimientos de etiquetado y manejo de la informacin en la informacin conformidad con el esquema de clasificacin adoptado por la organizacin. Guas para la clasificacin
A.7.2.2
A.8 SEGURIDAD Y LOS RECURSOS HUMANOS A.8.1 Antes del empleo5 Objetivo: Asegurar que los empleados, contratistas y el personal tercerizado entiendan sus responsabilidades y sean idneos para los roles para los que han sido considerados y reducir los riesgos de robo, fraude y mal uso de las facilidades. Control A.8.1.1 En conformidad con las polticas de seguridad de la informacin Roles y de la organizacin, se deben definir y documentar los roles y responsabilidades responsabilidades relacionadas con seguridad de la informacin de los empleados, contratistas y personal tercerizado. Control De conformidad con las leyes y regulaciones relevantes y con la tica, se deben realizar controles de verificacin de antecedentes a
4
Explicacin: El trmino propietario identifica un individuo o entidad que tiene la responsabilidad administrativa aprobada para controlar la produccin, desarrollo y mantenimiento, uso y seguridad de los activos. El termino propietario no significa que la persona tenga realmente derechos de propiedad sobre los activos. 5 Explicacin: La palabra empleo cubre todas las siguientes situaciones: empleo de personal temporal o de larga duracin, acuerdos acerca de los roles de trabajo, cambios en roles de trabajo, asignacin de contratos y la terminacin de cualquiera de estos acuerdos. 21
ISO/IEC 27001:2005(E)
TABLA A.1 CONTROLES Y OBJETIVOS DE CONTROL A.8.1.2 Investigacin de antecedentes todos los candidatos a empleo, contratistas y personal tercerizado; y, en proporcin a los requerimientos del negocio, se debern clasificar la informacin a la que pueden acceder y los riesgos percibidos. Control Los empleados, contratistas y el personal tercerizado, como parte Trminos y condiciones de sus obligaciones contractuales, deben aceptar y firmar los de empleo trminos y condiciones de sus contratos; en los que deben estar estatuidas sus obligaciones y las de la organizacin en cuanto a seguridad de la informacin.
A.8.1.3
A.8.2 Durante el empleo Objetivo: Asegurar que todos los empleados, contratistas y el personal tercerizado estn concientes de las amenazas y preocupaciones acerca de la seguridad; de sus responsabilidades y obligaciones y estn equipados para apoyar la poltica de seguridad organizacional en el curso de su trabajo normal y reducir los riesgos de errores humanos. A.8.2.1 Control Responsabilidades de la La gerencia exigir que los empleados, contratistas y el personal gerencia tercerizado apliquen la seguridad de conformidad con las polticas establecidas y los procedimientos de la organizacin. Concienciacin, Control educacin y Todos los empleados de la organizacin, y, cuando sea relevante, entrenamiento en los contratistas y el personal tercerizado, recibirn entrenamiento seguridad de la y actualizacin regular acerca de concienciacin en las polticas y informacin procedimientos organizacionales que sean necesarias para sus funciones. Control Proceso disciplinario Debe haber un proceso disciplinario formal para aqullos empleados que hayan cometido un incumplimiento de seguridad.
A.8.2.2
A.8.2.3
A.8.3 Terminacin o cambio de empleo Objetivo: Garantizar que los empleados, contratistas y el personal tercerizado salga de la organizacin o cambie de funciones de una manera ordenada. A.8.3.1 A.8.3.2 Responsabilidades al terninar Devolucin de activos Control Se deben definir y asignar claramente las responsabilidades a llevar a cabo al terminar un empleo o al cambiar las funciones . Control Todos los empleados, contratistas y personal tercerizado debern devolver todos los activos de la organizacin que estn a su cargo al terminar su empleo, contrato o convenio. Control Los derechos de acceso a la informacin o a los recursos de procesamiento por parte de los empleados, contratistas o personal tercerizado deben extinguir a tiempo de terminacin del empleo, contrato o convenio; o ajustados cuando se presenten cambios.
A.8.3.3
Extincin de derechos de acceso
A9 SEGURIDAD FSICA Y AMBIENTAL A.9.1 reas seguras Objetivo: prevenir acceso fsico no autorizado, daos e intromisiones, a los locales de la organizacin o a su 22
ISO/IEC 27001:2005(E)
TABLA A.1 CONTROLES Y OBJETIVOS DE CONTROL informacin Control Se deben configurar permetros de seguridad (con barreras tales Permetro de seguridad como murallas, entradas controladas por tarjetas o mesas con fsica personal de recepcin) para proteger las reas que contengan informacin o recursos de procesamiento. Control Controles de entrada Las reas seguras deben ser protegidas por apropiados controles fsica de entrada para garantizaar que solamente personal autorizado pueda tener acceso. Control Seguridad de oficinas, Se deber designar y utilizar seguridad fsica para oficinas, salones salones e instalaciones e instalaciones. Control Proteccin contra Se debern disear y aplicar protecciones fsicas contra daos por amenazas externas y incendios, inundacin, terremoto, explosin, disturbios y otras ambientales formas de desastres naturales u ocasionados por el hombre. Control Trabajo en reas seguras Se debern disear y aplicar protecciones fsicas e indicaciones para el trabajo en reas seguras. Control Los puntos de acceso tales como reas de carga y de entrega y Acceso pblico, reas de otros puntos por los cuales puede acceder a los locales personal no carga y entrega autorizado deben ser controlados, y, si es posible, aislados de las instalaciones de procesamiento para evitar accesos no autorizados.
A.9.1.1
A.9.1.2
A.9.1.3 A.9.1.4
A.9.1.5
A.9.1.6
A.9.2 Seguridad de los equipos Objetivo: Prevenir prdidas, dao, robo, o la puesta en peligro los activos; o que las actividades de la organizacin sean interrumpidas. Control Los equipos se deben ubicar o proteger de tal manera de reducir Ubicacin y proteccin los riesgos de amenazas o peligros ambientales y de oportunidades de los equipos de accesos no autorizados. Control Los equipos deben ser protegidos de fallas en el suministro elctrico o de otras alteraciones causadas por problemas en los servicios de soporte. Control Seguridad del cableado El cableado elctrico que soporta los servicios de informacin y el de telecomunicaciones en que se transmiten datos debern ser protegido de intercepcin o dao. Control Mantenimiento de Los equipos debern recibir el correcto mantenimiento de tal equipos forma que se garantice su continua disponibilidad y su integridad. Servicios de soporte Seguridad de los equipos Control que estn fuera de los Se deber aplicar seguridades a los equipos que se ubiquen fuera locales de la de los locales de la organizacin tomando en consideracin los organizacin diferentes riesgos de trabajar fuera de sus instalaciones. Control
A.9.2.1
A.9.2.2
A.9.2.3
A.9.2.4
A.9.2.5
23
ISO/IEC 27001:2005(E)
TABLA A.1 CONTROLES Y OBJETIVOS DE CONTROL A.9.2.6 Garantizar al dar de baja Previo a ser dados de baja, todos los equipos que contengan o al reutilizar equipos medios de almacenamiento debern ser chequeados para garantizar que los datos sensitivos o las licencias de software han sido borrados, o sobreescritos . Control Cambios de sitio Los equipos, la informacin o el software no deben ser llevados fuera del sitio de la organizacin sin previa autorizacin.
A.9.2.7
A. 10 GESTION DE LAS COMUNICACIONES Y DE LAS OPERACIONES A.10.1 Procedimientos y responsabilidades operativas Objetivo: Garantizar la operacin correcta y segura de las facilidades de procesamiento de la informacin. A.10.1.1 Procedimientos operativos documentados Administracin de cambios Control Los procedimientos operativos debern ser documentados, actualizados y puestos a disposicin de los usuarios cuando los necesiten. Control Los cambios a las facilidades de procesamiento de la informacin y a los sistemas debern ser controlados. Control Las funciones y las reas de responsabilidad debern ser segregadas para reducir las oportunidades de modificaciones no autorizadas o no intencionales o el mal uso de los activos de la organizacin. Control Las instalaciones de desarrollo, pruebas y produccin debern estar separadas para reducir los riesgos de accesos no autorizados o cambios al sistema en produccin.
A.10.1.2
A.10.1.3
Segregacin de funciones
A.10.1.4
Separacin de las instalaciones de desarrollo, pruebas y produccin
A.10.2 Administracin de la entrega de servicios de terceros Objetivo: Implementar y mantener un nivel adecuado de seguridad de la informacin y de entrega de servicios en concordancia con los acuerdos de entrega de servicios con terceros. Control Deber estar garantizado que los controles de seguridad, las Entrega de servicios definiciones de servicio y los niveles de servicio estipulados en los acuerdos con terceros son implementados, mantenidos y operados por ellos. Control Monitoreo y revisin de Los servicios, los reportes y los documentos provistos por terceros los servicios de terceros debern ser regularmente monitoreados y revisados y se deben llevar a cabo regularmente auditoras. Control Los cambios en la provisin de servicios, incluidos aquellos de mantenimiento y mejoras de las polticas, procedimientos y Administracin de los controles de seguridad de la informacin existentes, debern ser cambios en los servicios administrados, tomando en cuenta la criticidad de los procesos y
A.10.2.1
A.10.2.2
A.10.2.3
24
ISO/IEC 27001:2005(E)
TABLA A.1 CONTROLES Y OBJETIVOS DE CONTROL de terceros sistemas del negocio que estn involucrados as como las reevaluaciones de riesgos.
A.10.3 Planificacin y aceptacin del sistema Objetivo: Minimizar los riesgos de fallas del sistema A10.3.1 Control El uso de los recursos deber ser monitoreado y puesto a punto y se debern realizar proyecciones de futuros requerimientos de capacidades para garantizar el adecuado desempeo del sistema. Control Se debern establecer criterios de aceptacin para nuevos Aceptacin de sistemas sistemas, mejoras, o nuevas versiones y se deben llevar a cabo pruebas adecuadas de los sistemas durante su desarrollo previamente a ser aceptados. Administracin de las capacidades
A.10.3.2
A.10.4 Proteccin contra cdigo malicioso y contra cdigo portable. Objetivo: Proteger la integridad del software y de la informacin A.10.4.1 Control Controles contra cdigo Se debern implementar controles preventivos, detectivos y malicioso correctivos, as como adecuados procedimientos de concienciacin de usuarios, para proteccin contra cdigo malicioso. Control Cuando est permitido el cdigo portable, la configuracin deber Controles de cdigo garantizar que ste opera de acuerdo a una poltica de seguridad portable claramente definida. Se deber impedir la ejecucin de cdigo portable no autorizado.
A.10.4.2
A.10.5 Respaldos Objetivo: Mantener la integridad y disponibilidad de la informacin y de las facilidades de procesamiento. A.10.5.1 Respaldos de la informacin Control Se deben obtener copias de respaldo de la informacin y del software y deben ser probadas regularmente de acuerdo con la poltica vigente para el efecto
A.10.6 Administracin de los servicios de red Objetivo: Garantizar la proteccin de la informacin en las redes y de la infraestructura de soporte. Control Las redes debern ser adecuadamente administradas y controladas con el objeto de protegerlas de amenazas y de mantener la seguridad de los sistemas y aplicaciones que usan la red incluyendo informacin en trnsito. Control Las caractersticas de seguridad, los niveles de servicio y los requerimientos gerenciales de todos los servicios de red debern ser identificados e incluidos en los acuerdos de niveles de servicios, sea que los mismos sean provistos internamente o por terceros
A.10.6.1
Controles de la red
A.10.6.2
Seguridad de los servicios de red
A.10.7 Administracin de medios de almacenamiento 25

ISO/IEC 27001:2005(E)
TABLA A.1 CONTROLES Y OBJETIVOS DE CONTROL Objetivo: Prevenir la divulgacin no autorizada, la modificacin, eliminacin, destruccin de activos y la interrupcin de las actividades del negocio. A.10.7.1 A.10.7.2 Control Deber haber procedimientos en vigor para el manejo de medios removibles. Control Baja de medios de Los medios de almacenamiento, cuando ya no sean requeridos, almacenamiento deben ser dados de baja de una manera segura y mediante procedimientos formales. Control Procedimientos de Debern ser establecidos procedimientos para el manejo y manejo de la informacinalmacenamiento de la informacin para protegerla de divulgacin no autorizada o de mal uso. Seguridad de la Control documentacin de los La documentacin de los sistemas deber ser protegida contra sistemas accesos no autorizados. Manejo de medios removibles
A.10.7.3 A.10.7.4
A.10.8 Intercambio de informacin Objetivo: Intercambiar informacin dentro de la organizacin o con alguna entidad externa. Polticas y procedimientos de intercambio de informacin Control Debern ponerse en vigencia polticas procedimientos y controles formales para proteger el intercambio de informacin que se realice por cualquier medio de comunicacin. Control Acuerdos de intercambio Debern establecerse acuerdos para el intercambio de informacin y software entre la organizacin y terceros. Control Medios fsicos en Los medios que contengan informacin deben ser protegidos de trnsito accesos no autorizados, mal uso o daos durante su transporte hacia fuera de las fronteras fsicas de la organizacin. Control Mensajera electrnica La informacin involucrada en mensajera electrnica deber ser adecuadamente protegida. Control Sistemas de informacin Se debern desarrollar e implementar polticas y procedimientos del negocio para proteger la informacin asociada con la interconexin de los sistemas de informacin del negocio.
A.10.8.1 A.10.8.2 A.10.8.3
A.10.8.4 A.10.8.5
A.10.9 Servicios de comercio electrnico Objetivo: Garantizar la seguridad de los servicios de comercio electrnico y su uso seguro. Control La informacin involucrada en comercio electrnico que se transmita por redes pblicas deber ser protegida de actividades fraudulentas, litigios contractuales y divulgacin o modificaciones no autorizadas. Control La informacin involucrada en transacciones en lnea deber ser protegida para prevenir transmisin incompleta, enrutamiento errneo, alteraciones no autorizadas de los mensajes, divulgacin
A.10.9.1
Comercio electrnico
A.10.9.2
Transacciones en lnea
26
ISO/IEC 27001:2005(E)
TABLA A.1 CONTROLES Y OBJETIVOS DE CONTROL no autorizada, o duplicaciones o copias no autorizadas. Control La informacin que se ponga a disposicin del pblico deber ser protegida para prevenir modificaciones no autorizadas.
A.10.9.3
Informacin pblica
A.10.10 Monitoreo Objetivo: Detectar actividades de procesamiento de informacin no autorizadas. Control Se debern producir, y guardar por un perodo convenido, registros (logs) de auditora de actividades de los usuarios, de excepciones y de eventos de seguridad de la informacin, con el objeto de ayudar en futuras investigaciones y en el monitoreo de los controles de acceso. Control Se debern establecer procedimientos para monitorear el uso de las facilidades de procesamiento de informacin y los resultados de las actividades de monitoreo debern ser revisados regularmente. Control Las instalaciones donde se ubiquen los logs y la informacin contenida en stos debr ser protegida contra alteraciones y accesos no autorizados. Control Las actividades del administrador y del operador del sistema debern ser registradas en un log.
A.10.10.1
Registros (logs) de auditora
A.10.10.2
Monitoreo de uso del sistema Proteccin de los logs de informacin Registros (logs) de actividades de administracin y operacin.
A.10.10.3
A.10.10.4
A.10.10.5
A.10.10.6
Control Registros (logs) de fallas Todas las fallas debern ser registradas en un log , analizadas y apropiadamente tratadas. Control Los relojes de todos los sistemas de procesamiento de informacin Sincrinizacin de relojes relevantes dentro de una organizacin o dominio de seguridad debern ser sicronizados con una fuente precisa de hora que se convenga.
A.11 CONTROLES DE ACCESO A.11.1Requerimientos de controles de acceso del negocio Objetivo: Controlar el acceso a la informacin. A.11.1.1 Poltica de control de acceso Control Se deber establecer y documentar una poltica de control de acceso, la misma que deber ser revisada con base en los requerimientos de acceso del negocio y de la seguridad.
A.11.2 Administracin de los accesos de usuario Objetivo: Garantizar el acceso a los usuarios autorizados y prevenir acceso no autorizado a los sistemas de informacin. A.11.2.1 27 Registro de usuarios Control Deber existir y estar en vigor un procedimiento para conceder y
ISO/IEC 27001:2005(E)
TABLA A.1 CONTROLES Y OBJETIVOS DE CONTROL revocar derechos de accesos a todos los servicios y sistemas de informacin. Control Administracin de La asignacin y uso de privilegios deber ser restringida y privilegios controlada. Control Administracin de La asignacin de contraseas debe ser controlada por medio de un contaseas de usarios proceso formal de administracin. Control Revisin de los derechos La gerencia debe revisar los derechos de acceso de los usuarios a de acceso de los usuarios intervalos regulares mediante un procedimiento formal.
A.11.2.2 A.11.2.3 A.11.2.4
A.11.3 Responsabilidades de los usuarios Objetivo: Prevenir accesos de usuarios no autorizados y la puesta en peligro o robos de informacin o a las facilidades de procesamiento. A.11.3.1 A.11.3.2 A.11.3.3 Control Se debe exigir a los usuarios que apliquen buenas prcticas de seguridad en la seleccin y uso de contraseas. Control Equipos de usuario que Los usuarios debern garantizar que el equipo que no estn no est siendo utilizado utilizando est adecuadamente protegido. Control Poltica de escritorio y Deber ser adoptada una poltica para mantener el escritorio pantalla limpios limpio de papeles y medios removibles de almacenamiento y una poltica de pantalla limpia que impida acceder a recursos de procesamiento de informacin. Uso de contraseas
A.11.4 Controles de acceso a la red Objetivo: Prevenir accesos no autorizados a los servicios de red. A.11.4.1 Control A los usuarios se les deber conceder accesos nicamente a aquellos servicios para los cuales han sido especficamente autorizados. Autenticacin de Control usuarios va conexiones Se debern utilizar mtodos de autenticacin apropiados para externas controlar el acceso de usuarios remotos. Control Identificacin de Se deber considerar la identificacin automtica de equipos como equipos en la red medio de autenticar conexiones desde localizaciones y equipos especficos. Proteccin de puertos Control de diagnstico remoto Se deber controlar el acceso lgico y fsico a los puertos de y de configuracin . diagnstico y de configuracin. Control Segregacin de la red En las redes debern ser segregados los grupos de servicios de informacin, de usuarios y de sistemas de informacin, Control En redes compartidas, especialmente en aqullas que se extienden Control de conexiones de ms all de las fronteras de la organizacin, la capacidad de red conexin de los usuarios deber ser restringida en concordancia con la poltica de control de accesos y los requerimientos de las Polticas de uso de los servicios de red
A.11.4.2 A.11.4.3
A.11.4.4 A.11.4.5
A.11.4.6
28
ISO/IEC 27001:2005(E)
TABLA A.1 CONTROLES Y OBJETIVOS DE CONTROL aplicaciones del negocio (vase 11.1). Control Se debern implementar controles de enrutamiento en la red para garantizar que las conexiones de computadores y los flujos de informacin no incumplan las polticas de control de accesos a las aplicaciones del negocio.
A.11.4.7
Controles de enrutamiento en la red
A.11.5 Controles de acceso al sistema operativos Objetivo: Prevenir accesos no autorizados al sistema operativo. A.11.5.1 A.11.5.2 Procedimientos de inicio Control de sesin (log- on) El acceso a los sistemas operativos deber ser controlado por seguros procedimientos de inicio de sesin (log-on) seguros. Control Identificacin y Cada usuario deber tener un identificador nico (user id) autenticacin de solamente para su uso personal y se deber elegir una tcnica usuarios adecuada de autenticacin para corroborar la identificacin que afirma tener un usuario. Sistema de Control administracin de Los sistemas para la administracin de contraseas debern ser contraseas interactivos y garantizar contaseas de calidad. Control Uso de utilitarios del El uso de programas utilitarios que puedan anular los controles del sistema sistema y de la aplicacin deber ser restringido y rigurosamente controlado. Control Expiracin de sesin Las sesiones interactivas debern ser cerradas luego de un perodo de inactividad definido. Control Limite de tiempo de Se debern aplicar restricciones en la duracin de las conexiones conexin para brindar seguridad adicional en aplicaciones de alto riesgo.
A.11.5.3 A.11.5.4
A.11.5.5 A.11.5.6
A.11.6 Controles de acceso a las aplicaciones y a la informacin Objetivo: Prevenir accesos no autorizados a la informacin contenida en los sistemas de informacin. A.11.6.1 Control Restriccn de aceso a la El acceso a la informacin y a las funciones de los sistemas de informacin aplicacin por parte de los usuarios y del personal de soporte deber ser restringido de acuerdo con las polticas de control de accesos definidas. Control Aislamiento de sistemas Los sistemas sensitivos debern tener un ambiente de computacin sensitivos dedicado (aislado).
A.11.6.2
A.11.7 Computacin porttil y trabajo a distancia Objetivo: Garantizar la seguridad de la informacin cuando se utilizan computacin porttil y facilidades de trabajo a distancia. Control Deber ponerse en vigencia una poltica formal y se debrn adoptar adecuadas medidas de seguridad para protegerse contra los riesgos de la utilizacin de computacin y facilidades de comunicacin porttiles.
A.11.7.1
Computacin y comunicaciones porttiles
29
ISO/IEC 27001:2005(E)
TABLA A.1 CONTROLES Y OBJETIVOS DE CONTROL A.11.7.2 Trabajo a distancia Control Debern ser desarrollados e implementados una polca as como planes y procedmientos operativos para el trabajo a distancia.
A.12 ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIN A.12.1 Requerimientos de seguridad de los sistemas de informacin Objetivo: Garantizar que las seguridades son parte integral de los sistemas de informacin. Anlisis y especificaciones de los requerimientos de seguridad Control El enunciado de requerimientos de nuevos sistemas de informacin del negocio, o de mejoras a los existentes, deber incluir las especificaciones de los requerimientos de controles de seguridad.
A.12.1.1
A.12.2 Correcto procesamiento de las aplicaciones Objetivo: Prevenir errores, prdidas, modificaciones no autorizadas o mal uso de la informacin en las aplicaciones. A.12.2.1 A.12.2.2 Validacin de datos de entrada Controles del proceso interno Integridad de los mensajes Validacin de datos de salida Control Los datos de entrada a las aplicaciones debern ser validados para garantizar que son correctos y apropiados. Control Se debern incorporar chequeos de validacin en las aplicaciones para detectar cualquier corrupcin de la informacin debido a errores de procesamiento o a actos deliberados. Control Se debern identificar los requerimientos para garantizar la autenticidad y la proteccin de mensajes en las aplicaciones. Se debern identificar e implementar los controles adecuados. Control Los datos de salida de las aplicaciones debern ser validados para garantizar que el procesamiento de la informacin almacenada es correcto y apropiado para las circunstancias.
A.12.2.3
A.12.2.4
A.12.3 Controles criptogrficos Objetivo: Proteger la confidencialidad, autenticidad e integridad de la informacin por medios criptogrficos. A.12.3.1 A.12.3.2 Control Poltica acerca de los Se deber desarrollar e implementar una poltica acerca del uso de controles criptogrficos controles criptogrficos para proteccin de la informacin. Control Administracin de La administracin de claves deber estar en vigor de tal manera claves que soporte el uso de tcnicas criptogrficas.
A.12.4 Seguridad de los archivos del sistema Objetivo: Garantizar la seguridad de los archivos del sistema. A.12.4.1 Control del software operativo Control Deber haber procedimientos en vigor para la instalacin del software del sistema operativo. Control
30
ISO/IEC 27001:2005(E)
TABLA A.1 CONTROLES Y OBJETIVOS DE CONTROL A.12.4.2 A.12.4.3 Proteccin de datos de prueba del sistema Controles de acceso al cdigo fuente de los programas Los datos de prueba debern ser cuidadosamente seleccionados y protegidos y controlados. Control El acceso al cdigo fuente de los programas deber ser restringido.
A.12.5 Seguridades en los procesos de desarrollo y soporte Objetivo: Mantener la seguridad del software e informacin de los sistemas aplicativos. A.12.5.1 Control La implementacin de cambios deber ser controlada mediante el uso de procedimientos formales de control de cambios. Control Revisin tcnica de las Cuando ocurran cambios en los sistemas operativos las aplicaciones despus de aplicaciones crticas del negocio debern ser revisadas y probadas cambios en el sistema para garantizar que no hay impacto adverso en las operaciones operativo organizacionales o en la seguridad. Control Restricciones a cambios Se debern desaconsejar las modificaciones a paquetes de en los paquetes de software y limitarse a los que sean necesarios, que debern ser software estrictamente controlados. Control Fuga de informacin Se debern evitar oportunidades de fuga de informacin. Control Desarrollo de software El desarrollo de software por parte de terceros deber ser por terceros supervisado y monitoreado por la organizacin. Procedimientos de control de cambios
A.12.5.2
A.12.5.3
A.12.5.4 A.12.5.5
A.12.6 Administracin de vulnerabilidades tcnicas Objetivo: Reducir el riesgo casionado por vulnerabilidades tcnicas de conocimiento pblico. Control Se deber obtener informacin oportuna acerca de Control de vulnerabilidades tcnicas de los sistemas de informacin que se vulnerabilidades tcnicas utilicen. El grado de exposicin de la organizacin a tales vulnerabilidades debe ser evaluado y se debern tomar medidas apropiadas para tratar el riesgo asociado.
A.12.6.1
A.13 ADMINISTRACIN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIN A.13.1 Reporte de eventos y debilidades de la seguridad de la informacin Objetivo: Garantizar que los eventos de seguridad de la informacin y las debilidades asociadas con los sistemas de informacin sean comunicadas de tal forma que permita que se tomen oportunamente acciones correctivas. A.13.1.1 Reporte de eventos de seguridad de la informacin Reporte de debilidades en las seguridades Control Los eventos de seguridad de la informacin debern ser reportados tan pronto como sea posible y por medio de adecuados canales administrativos. Control Se deber exigir a todos los empleados, contratistas y el personal tercerizado usuario de los servicios y sistemas de informacin que estn atentos y reporten cualquier debilidad que se observe o se
A.13.1.2
31
ISO/IEC 27001:2005(E)
TABLA A.1 CONTROLES Y OBJETIVOS DE CONTROL sospeche que exista en las seguridades de los sistemas o servicios. A.13.2 Administracin de los incidentes y las mejoras a la seguridad de la informacin. Objetivo: Garantizar que se aplique un enfoque consistente y efectivo en la administracin de los incidentes de seguridad de la informacin. A.13.2.1 Control Debern establecerse responsabilidades y procedimientos administrativos para asegurar una rpida, efectiva y ordenada respuesta a los incidentes de seguridad de la informacin. Control Lecciones de los Deber haber mecanismos en vigencia que permitan que los tipos, incidentes de seguridad magnitudes y costos ocasionados por los incidentes de seguridad de la informacin sean cuantificados y monitoreados. Control Recoleccin de Si luego de alguna investigacin a una persona u organizacin a evidencias raiz de algn incidente de seguridad de la informacin surge alguna accin legal (sea civil o penal), se debern obtener, conservar y presentar evidencias a las respectivas jurisdicciones relevantes de acuerdo con las reglas que stas determinen para ello. Responsabilidades y procedimientos
A.13.2.2
A.13.2.3
A.14 ADMINISTRACIN DE LA CONTINUIDAD DEL NEGOCIO A.14.1 Aspectos relacionados con la seguridad de la informacin en la administracin de la continuidad del negocio. Objetivo: Contrarrestar las interrupciones a las actividades del negocio y proteger los procesos crticos del negocio de los efectos de fallas mayores en los sistemas de informacin o de desastres y garantizar su oportuna recuperacin. Inclusin de los temas de seguridad de la informacin en los procesos de administracin de la continuidad del negocio Control Se deber desarrollar y mantener un proceso controlado para la continuidad del negocio en toda la organizacin. Este proceso deber dar un adecuado tratamiento a los requerimientos de seguridad de la informacin indispensables para la continuidad del negocio. Control Continuidad del negocio Debern ser identificados los eventos que causen interrupciones a y evaluacin de riesgos los procesos del negocio, junto con su impacto y probabilidad, as como sus consecuencias para la seguridad de la informacin. Control Desarrollo e Debern desarrollarse e implementarse planes para mantener o implementacin de restablecer las operaciones, y garantizar la disponibilidad de la planes de continuidad informacin en los niveles y en las escalas de tiempo requeridos, que incluyan seguridad luego de una interrupcin o falla en los procesos crticos del de la informacin negocio. Control Se deber mantener un nico marco de referencia para la planificacin de la contunuidad del negocio y as garantizar que Marco de referencia para todos los planes sean consistentes, que se de un tratamiento la planificacin de consistente a los requerimientos de seguridad de la informacin y continuidad del negocio que se determinen prioridades para las pruebas y el
A.14.1.1
A.14.1.2
A.14.1.3
A.14.1.4
32
ISO/IEC 27001:2005(E)
TABLA A.1 CONTROLES Y OBJETIVOS DE CONTROL mantenimiento. Pruebas, mantenimiento Control y reevaluacin de los Los planes de continuidad del negocio debern ser probados y planes de continuidad del actualizados regularmente para garantizar que correspondan a las negocio. necesidades actuales y sean efectivos.
A.14.1.5
A.15 CUMPLIMIENTO DE NORMAS A.15.1 Cumplimiento de requerimientos legales Control Todos los requerimientos relevantes estatutarios, regulatorios y contractuales, as como el enfoque organizacional para cumplir con ellos, debern ser definidos explcitamente, documentados y actualizados; para cada sistema de informacin y para la organizacin. . Control Se debern implementar procedimientos adecuados para garantizar el cumplimiento de los requerimientos legales, regulatorios y contractuales relacionados con el uso del material que tiene derechos de propiedad intelectual y con la utilizacin de productos de software propietario. Control Los documentos importantes deben ser protegidos de prdida, destruccin y falsificacin, de acuerdo con los requerimientos, estatutarios, regulatorios, contractuales y del negocio. Control Se deber garantizar la proteccin y la privacidad de los datos en cuanto sea requerido por la legislacin, las regulaciones, y, si es aplicable, por las clusulas contractuales. Control Se deber impedir que los usuarios utilicen las facilidades de procesamiento para asuntos no autorizados.
A.15.1.1
Identificacin de la legislacin aplicable
A.15.1.2
Derechos de propiedad intelectual
A.15.1.3
Proteccin de los documentos organizacionales Proteccin de datos y privacidad de la informacin personal Prevencin de la mala utilizacin de las facilidades de procesamiento de datos
A.15.1.4
A.15.1.5
A.15.1.6
Control Regulacin de los Los controles criptogrficos debern ser utilizados de conformidad controles criptogrficos con todos los convenios, leyes y regulaciones relevantes.
A.15.2 Cumplimiento con las polticas y estndares de seguridad y cumplimiento tcnico Objetivo: Garantizar el cumplimiento de las polticas y estndares de seguridad intitucionales en los sistemas Control Los gerentes deben garantizar que todos los procedimientos de Cumplimiento con seguridad dentro de su rea de reponsabilidad sean llevados a cabo polticas y estndares de de una manera correcta para que cumplan con las polticas y seguridad estndares de seguridad. Control Revisin de Los sistemas de informacin debern ser revisados regularmente cumplimiento tcnico para determinar si cumplen con los estndares de implementacin de seguridad.
A.15.2.1
A.15.2.2
A.15.3 Consideraciones acerca de la auditora a los sistemas de informacin 33

ISO/IEC 27001:2005(E)
TABLA A.1 CONTROLES Y OBJETIVOS DE CONTROL Objetivo: Maximizar la efectividad y minimizar las interferencias de/a los procesos de auditora a los sistemas de informacin. A.15.2.1 Control Controles de auditora a Se debern planificar cuidadosamente y acordar requerimientos de los sistemas de auditora y actividades que involucren chequeos de sistemas informacin operacionales para minimizar los riesgos de interrupciones de los procesos del negocio. Proteccin de las Control herramientas de El acceso a las herramientas de auditora de los sistemas de auditora de los informacin deber ser protegido para evitar cualquier posible sistemas de mala utilizacin o puesta en peligro. informacin
A.15.2.2
34
ISO/IEC 27001:2005(E)
ANEXO B (Informativo) Los principios de la OECD y este Estndar Internacional

Los principios dados en el documento OECD Guidelines for the Security of Information Systems and Networks son aplicables a todos los niveles polticos y operacionales que gobiernan la seguridad de los sistemas y redes de informacin. Este Estndar Internacional provee el marco referencial de un sistema de administracin de la seguridad de la informacin, para la implementacin de algunos de los principios de la OECD mediante la utilizacin del modelo PDCA y los procesos descritos en las Clusulas 4, 5, 6 y 8, tal como se indica en la Tabla B.1.
TABLA B.1 LOS PRINCIPIOS DE LA OECD Y EL MODELO PDCA Principio estipulado en la OECD Proceso ISMS y fase PDCA correspondientes
Concienciacin Esta actividad es parte de la fase DO (ver 4.2.2 y Los participantes deben estar conscientes de la 5.2.2). necesidad de sistemas de seguridad de la informacin. Responsabilidad Esta actividad es parte de la fase DO (ver 4.2.2 y 5.1) Todos los participantes son responsables de las redes y sistemas de informacin. Respuesta Esto es en parte una actividad de monitoreo de la fase Los participantes deben actuar de una manera CHECK (vase 4.2.3 y 6 a 7.3), y una actividad de oportuna y cooperativa para prevenir, detectar y respuesta de la fase ACT (vase 4.2.4 y 8.1 a 8.3). responder a los incidentes de seguridad. Esto tambien puede estar cubierto por algunos aspectos de las fases CHECK y PLAN . Evaluacin de riesgos Esta actividad es parte de la fase PLAN (vase 4.2.1) y Los participantes deben llevar a cabo evaluaciones la reevaluacin de los riesgos es parte de la fase de riesgos. CHECK (vase 4.2.3 y 6 a 7.3). Diseo e implementacin de seguridades Como parte de la fase PLAN (vase 4.2.1), y una vez Los participantes deben incorporar las seguridades que se ha terminado la evaluacin de riesgos, son como un elemento escencial de las redes y seleccionados los controles para el tratamiento de stos sistemas de informacin. . Luego la fase DO (vase 4.2.2 y 5.2) cubre la implementacin y el uso operacional de estos controles. Administracin de las seguridades La administracin de los riesgos es un proceso que Los participantes deben adoptar un enfoque exhaustivo incluye la prevencin, la deteccin y respuesta a para la administracin de las seguridades. incidentes, el mantenimiento continuo, la revisin y la auditora. Todos estos aspectos estn comprendidos en las fases PLAN, DO, CHECK y ACT Reevaluacin La reevaluacin de las seguridades de la informacin Los participantes deben revisar y reevaluar las es parte de la fase CHECK (vase 4.2.3 y 6 a 7.3) en seguridades de los sistemas y redes de informacin y la cual se deben emprender revisiones regulares para hacer las modificaciones que sean apropiadas a las verificar la efectividad del sistema de administracin polticas, prcticas, medidas y procedimientos de de seguridad de la informacin. La mejora de las seguridad. seguridades es parte de la fase ACT (vase 4.2.4 y 8.1 a 8.3)
35
ISO/IEC 27001:2005(E)
ANEXO C (Informativo) Correspondencia entre las normas ISO 9001: 2000, ISO 14001:2004 y este Estndar Internacional
La Tabla C.1 muestra la correspondencia existente entre las normas ISO 9001:2000, ISO 14001:2004 y este Estndar Internacional.
Tabla C.1 Correspondencia entre las normas ISO 9001:2000, ISO 14001:2004 y este Estndar Internacional
Este estndar Internacional 0 Introduccin 0.1 General 0.2 Enfoque del proceso 0.3 Compatibilidad con otros sistemas de administracin 1 Alcance 1.1 General 1.2 Aplicacin 2 Referencias normativas 3 Trminos y definiciones ISO 9001:200 0 Introduccin 0.1 General 0.2 Enfoque del proceso 0.3 Relacin con ISO 9001:2004 0.4 Compatibilidad con otros sistemas de administracin 1 Alcance 1.1 General 1.2 Aplicacin 2 Referencias normativas 3 Trminos y definiciones 2 Referencias normativas 3 Trminos y definiciones 4 Requerimientos EMS 4.1 Requerimientos generales 1 Alcance ISO 14001:2004 Introduccin
4 Sistema de administracin de la 4 Sistema de administracin de seguridad de la informacin calidad 4.1 Requerimientos generales 4.1 Requerimientos generales 4.2 Establecimiento y administracin del ISMS 4.2.1 Establecer el ISMS 4.2.2 Implementar y operar el ISMS 4.2.3 Monitorear y revisar el ISMS 8.2.3 Monitoreo y revisin de los procesos 8.2.4 Monitoreo y medicin del 4.2.4 Mantenimiento y desarrollo producto del ISMS 4.3 Requerimientos de 4.2 Requerimientos de documentacin documentacin 4.3.1 General 4.3.2 Control de documentos 36 4.2.1 General 4.2.2 Manual de calidad 4.2.3 Control de documentos
4.4 Implementacin y operacin 4.5.1 Monitoreo y medicin
4.4.5 Control de documentacin

ISO/IEC 27001:2005(E)
Tabla C.1 Correspondencia entre las normas ISO 9001:2000, ISO 14001:2004 y este Estndar Internacional
Este estndar Internacional 4.3.3 Control de registros 5. Responsabilidades de la administracin 5.1 Comit de administracin ISO 9001:200 4.2.4 Control de registros 5. Responsabilidades de la administracin 5.1 Comit de administracin 5.2 Enfoque al cliente 5.3 Poltica de calidad 5.4 Planificacin 5.5 Responsabilidad, autoridad y comunicacin 6 Administracin de recursos 6.1 Provisin de recursos 6.2 Recursos humanos 6.2.2 Competencia, concienciacin 4.4.2 Competencia, entrenamiento y y entrenamiento concienciacin 6.3 Infraestructura 6.4 Ambiente de trabajo 8.2.2 Auditora interna 4.5.5 Auditora interna ISO 14001:2004 4.5.4 Control de registros
4.2 Poltica ambiental 4.3 Planificacin
5.2 Administracin de recursos 5.2.1 Provisin de recursos 5.2.2 Entrenamiento, concienciacin y competencia
6 Auditora interna del ISMS
7 Administracin de la revisin al 5.6 Administracin de la revisin 4.6 Administracin de la revisin ISMS 7.1 General 7.2 Revsar la entrada 7.3 Revisar la salida 8 Desarrollo del ISMS 8.1 Mejoramiento contnuo 8.2 Accim correctiva 8.3 Accin preventiva Anexo A Objetivos de control y controles Anexo B Los principios de la OECD y este Estndar Internacional Anexo C Correspondencia entre Anexo A Correspondencia entre Anexo B Corresondencia entre ISO 9001: 2000, ISO 14001:2004 yISO 9001:2000 e ISO 14001:1996 ISO 14001:2004 e ISO 9001:2000 este Estndar Internacional 5.6.1 General 5.6.2 Revisar la entrada 5.6.3 Revisar la salida 8.5 Desarrollo 8.5.1 Mejoramiento contnuo 8.5.3 Acciones correctivas 8.5.3 Acciones preventivas Anexo A Gua para el uso de este Estndar Internacional 4.5.3 No conformidades, acciones correctivas y preventivas
37
ISO/IEC 27001:2005(E)
Bibliografa
Estndares publicados [1] ISO 9001:2000, Quality management systems Requirements [2] ISO/IEC 13335-1:2004, Information technology Security techniques Management of informationand communications technology security Part 1: Concepts and models for information and communications technology security management [3] ISO/IEC TR 13335-3:1998, Information technology Guidelines for the management of IT Security Part 3: Techniques for the management of IT security [4] ISO/IEC TR 13335-4:2000, Information technology Guidelines for the management of IT Security Part 4: Selection of safeguards [5] ISO 14001:2004, Environmental management systems Requirements with guidance for use [6] ISO/IEC TR 18044:2004, Information technology Security techniques Information security incident management [7] ISO 19011:2002, Guidelines for quality and/or environmental management systems auditing [8] ISO/IEC Guide 62:1996, General requirements for bodies operating assessment and certification/registration of quality systems [9] ISO/IEC Guide 73:2002, Risk management Vocabulary Guidelines for use in standards Otras publicaciones [1] OECD, Guidelines for the Security of Information Systems and Networks Towards a Culture of Security. Paris: OECD, July 2002. www.oecd.org [2] NIST SP 800-30, Risk Management Guide for Information Technology Systems [3] Deming W.E., Out of the Crisis, Cambridge, Mass: MIT, Center for Advanced Engineering Study, 1986
38

ISO 27001 2005 Espa Ol

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

ISO 27001 2005 Espa Ol

Caricato da

Copyright:

Formati disponibili

ISO/IEC 27001:2005(E)

Estndar Internacional ISO 27001

Tecnologas de la informacin tcnicas de seguridad sistema de administracin de seguridad de la informacin requerimientos

Nmero de referencia: ISO/IEC 27001:2005(E)

ISO/IEC 2005 Derechos reservados

ISO/IEC 2005 Derechos reservados

Nota del traductor: En adelante ISMS por su sigla en ingls. 4

IMPLEMENTAR Y OPERAR EL ISMS

MANTENER Y MEJORAR EL ISMS

REQUERIMIENTOS Y ESPECTATIVAS ACERCA DE SEGURIDAD DE LA INFORMACION

MONITOREAR Y REVISAR EL ISMS

SISTEMA DE SEGURIDAD DE LA INFORMACIN ADMINISTRADO

FIGURA 1 -- MODELO PDCA APLICADO AL PROCESO ISMS

ISO/IEC 2005 Derechos reservados

PLAN: Establecer el Sistema de Administracin de Seguridad de la Informacin (ISMS)

CHECK: Monitorear y revisar el ISMS

ISO/IEC 2005 Derechos reservados

ISO/IEC 2005 Derechos reservados

ISO/IEC 2005 Derechos reservados

ISO/IEC 2005 Derechos reservados

ISO/IEC 2005 Derechos reservados

Objetivos de control y controles

ISO/IEC 2005 Derechos reservados

ISO/IEC 2005 Derechos reservados

Extincin de derechos de acceso

Separacin de las instalaciones de desarrollo, pruebas y produccin

Seguridad de los servicios de red

A.10.7 Administracin de medios de almacenamiento 25

A.10.8.1 A.10.8.2 A.10.8.3

Registros (logs) de auditora

A.11.2.2 A.11.2.3 A.11.2.4

Controles de enrutamiento en la red

Computacin y comunicaciones porttiles

Identificacin de la legislacin aplicable

Derechos de propiedad intelectual

A.15.3 Consideraciones acerca de la auditora a los sistemas de informacin 33

ISO/IEC 2005 Derechos reservados

ANEXO B (Informativo) Los principios de la OECD y este Estndar Internacional

ISO/IEC 2005 Derechos reservados

4.4 Implementacin y operacin 4.5.1 Monitoreo y medicin

4.4.5 Control de documentacin

4.2 Poltica ambiental 4.3 Planificacin

6 Auditora interna del ISMS

ISO/IEC 2005 Derechos reservados

ISO/IEC 2005 Derechos reservados

Potrebbero piacerti anche