Professional Documents
Culture Documents
NORMA
ISO/IEC
INTERNACIONAL
27001
Primera edicin
2005-10-15
Tecnologa de la informacin
Tcnicas de seguridad Sistemas de
gestin de seguridad de la informacin
Requisitos
Information technology Security techniques Information
security management systems Requirements
Nmero de referencia
ISO/IEC 27001:2005(E)
BS ISO/IEC 27001:2005
0 Introduccin
0.1 Generalidades
Esta Norma Internacional se ha elaborado con el fin de proporcionar un modelo para
establecer, implementar, operar, revisar, mantener y mejorar un Sistema de Gestin de
Seguridad de la Informacin (SGSI). La adopcin de un SGSI debera ser una decisin
estratgica para una organizacin. El diseo y la implementacin del SGSI de una
organizacin estn influenciados por sus necesidades y objetivos, los requisitos de
seguridad, los procesos empleados y el tamao y estructura de la organizacin. Se
espera que stos y sus sistemas de apoyo cambien con el tiempo. Se espera que la
implementacin de un SGSI se ajuste de acuerdo con las necesidades de la
organizacin, por ejemplo, una situacin sencilla requiere una solucin sencilla del SGSI.
Esta Norma Internacional puede utilizarse para evaluar la conformidad por partes
interesadas internas y externas.
0.2 Enfoque basado en procesos
Esta Norma Internacional adopta un enfoque basado en procesos para establecer,
implementar, operar, monitorear, revisar, mantener y mejorar el SGSI de una
organizacin.
Una organizacin tiene que identificar y gestionar muchas actividades para que funcione
de manera eficaz. Se puede considerar como un proceso cualquier actividad que utiliza
recursos y se gestiona con el fin de permitir que los elementos de entrada se transformen
en elementos de salida. Con frecuencia el elemento de salida de un proceso constituye
directamente el elemento de entrada del siguiente proceso.
A la aplicacin de un sistema de procesos dentro de una organizacin, junto con la
identificacin e interacciones de estos procesos, y su gestin se les puede denominar
enfoque basado en procesos.
El enfoque basado en procesos para la gestin de seguridad de la informacin
presentado en esta Norma Internacional estimula a los usuarios para que pongan nfasis
en la importancia de:
a)
b)
c)
d)
ii
BS ISO/IEC 27001:2005
La adopcin del modelo PDCA tambin reflejar los principios establecidos en las
Directrices de la OECD (2002) 1 que regulan la seguridad de los sistemas y redes de
informacin. Esta Norma Internacional proporciona un modelo slido para implementar
los principios de aquellas directrices que regulan la evaluacin de riesgos, el diseo e
implementacin de la seguridad, la gestin y reevaluacin de la seguridad.
EJEMPLO 1
Un requisito podra ser que las violaciones de la seguridad de la informacin no produzcan graves
daos financieros a una organizacin y/o causen dificultades econmicas a la organizacin.
EJEMPLO 2
Una expectativa podra ser que, si se produce un incidente grave quiz el hacking del sitio web
de eBusiness de una organizacin debera haber personal con la suficiente capacitacin en
procedimientos apropiados para minimizar el impacto.
Planificar
Partes
Interesadas
Partes
Interesadas
Establecer
el SGSI
Ejecutar
Implementar y
operar el SGSI
Mantener y
mejorar el SGSI
Actuar
Monitorear y
revisar el SGSI
Requisitos de
seguridad de la
informacin y
expectativas
Verificar
Seguridad de
la informacin
gestionada
Planificar (establecer el
SGSI)
Ejecutar (implementar y
operar el SGSI)
Verificar (monitorear y
revisar el SGSI)
Actuar (mantener y
mejorar el SGSI)
iii
BS ISO/IEC 27001:2005
iv
BS ISO/IEC 27001:2005
NORMA INTERNACIONAL
ISO/IEC 27001:2005(E)
1 Objeto
1.1 Generalidades
Esta Norma Internacional cubre todos los tipos de organizaciones (por ejemplo, empresas
comerciales, organismos gubernamentales, organizaciones sin fines de lucro). Esta
Norma Internacional especifica los requisitos para establecer, implementar, operar,
monitorear, revisar, mantener y mejorar un SGSI documentado dentro del contexto de los
riesgos generales del negocio de la organizacin. Especifica los requisitos para la
implementacin de controles de seguridad adaptados a las necesidades de
organizaciones individuales o partes de las mismas.
El SGSI est diseado para asegurar la seleccin de controles de seguridad adecuados y
proporcionales que protejan los activos de informacin y den confianza a las partes
interesadas.
NOTA 1: Las referencias a negocio en esta Norma Internacional deberan interpretarse
en trminos generales para referirse a aquellas actividades que son bsicas para la
existencia de la organizacin.
NOTA 2: ISO/IEC 17799 proporciona directrices para la implementacin que pueden
utilizarse al disear controles.
1.2 Aplicacin
Los requisitos establecidos en esta Norma Internacional son genricos y se pretende que
sean aplicables a todas las organizaciones, independientemente de su tipo, tamao y
naturaleza. La exclusin de cualquiera de los requisitos especificados en los Captulos 4,
5, 6, 7 y 8 no es aceptable cuando una organizacin alega la conformidad con esta
Norma Internacional.
Cualquier exclusin de controles que se comprueba que es necesaria para cumplir los
criterios de aceptacin de riesgos, tiene que ser justificada y se tiene que proporcionar
evidencia de que las personas responsables han aceptado los riesgos asociados. Cuando
se excluye cualquier control, las alegaciones de conformidad con esta Norma
Internacional no son aceptables a menos que dichas exclusiones no afecten la capacidad
o responsabilidad de la organizacin para proporcionar una seguridad de la informacin
que cumpla con los requisitos de seguridad determinados mediante una evaluacin de
riesgos y los requisitos legales y reglamentarios aplicables.
NOTA: Si una organizacin ya tiene funcionando un sistema de gestin de procesos del
negocio (por ejemplo, en relacin con ISO 9001 o ISO 14001), es preferible, en la
mayora de casos, cumplir con los requisitos de esta Norma Internacional dentro del
sistema de gestin existente.
BS ISO/IEC 27001:2005
2 Referencias normativas
Los siguientes documentos son indispensables para la aplicacin de este documento. En
el caso de referencias fechadas, slo se aplica la edicin mencionada. En el caso de
referencias sin fecha, se aplica la ltima edicin del documento al que se hace referencia
(incluyendo cualquier modificacin).
ISO/IEC 17799:2005, Tecnologa de la informacin Tcnicas de seguridad Cdigo
de prctica para la gestin de seguridad de la informacin.
3 Trminos y definiciones
Para los fines de este documento, se aplican los siguientes trminos y definiciones.
3.1
activo
cualquier cosa que tenga valor para la organizacin
[ISO/IEC 13335-1:2004]
3.2
disponibilidad
propiedad de ser accesible y utilizable cuando lo requiera una entidad autorizada.
[ISO/IEC 13335-1:2004]
3.3
confidencialidad
propiedad por la cual no se pone a disposicin o revela informacin a personas,
entidades o procesos no autorizados.
[ISO/IEC 13335-1:2004]
3.4
seguridad de la informacin
conservacin de la confidencialidad, integridad y disponibilidad de la informacin;
adems, otras propiedades como autenticidad, rendicin de cuentas, no repudio y
confiabilidad tambin pueden estar implicadas.
[ISO/IEC 17799:2005]
3.5
hecho de seguridad de la informacin
ocurrencia identificada del estado de un sistema, servicio o red que indica un posible
incumplimiento de la poltica de seguridad de la informacin o falla de las protecciones, o
situacin previamente desconocida que puede estar relacionada con la seguridad.
[ISO/IEC TR 18044:2004]
3.6
incidente de seguridad de la informacin
hecho nico o serie de hechos no deseados o inesperados de seguridad de la
informacin que tienen una probabilidad significativa de comprometer las operaciones del
negocio y amenazar la seguridad de la informacin.
[ISO/IEC TR 18044:2004]
3.7
sistema de gestin de seguridad de la informacin SGSI
aquella parte del sistema de gestin general, basada en un enfoque de riesgos del
negocio, para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la
seguridad de la informacin.
BS ISO/IEC 27001:2005
NOTA: El sistema de gestin incluye la estructura organizativa, polticas, actividades de
planificacin, responsabilidades, prcticas, procedimientos, procesos y recursos.
3.8
integridad
propiedad de proteger la exactitud e integridad de los activos
[ISO/IEC 13335-1:2004]
3.9
riesgo residual
riesgo que se mantiene despus del tratamiento de los riesgos
[Gua ISO/IEC 73:2002]
3.10
aceptacin del riesgo
decisin de aceptar un riesgo
[Gua ISO/IEC 73:2002]
3.11
anlisis del riesgo
uso sistemtico de informacin para identificar fuentes y estimar el riesgo
[Gua ISO/IEC 73:2002]
3.12
evaluacin del riesgo
proceso general de anlisis y evaluacin del riesgo
[Gua ISO/IEC 73:2002]
3.13
valoracin del riesgo
proceso de comparacin del riesgo estimado con determinados criterios de riesgo para
determinar la importancia del riesgo
[Gua ISO/IEC 73:2002]
3.14
gestin del riesgo
actividades coordinadas para orientar y controlar una organizacin con respecto al riesgo
[Gua ISO/IEC 73:2002]
3.15
tratamiento del riesgo
proceso de seleccin e implementacin de medidas para modificar el riesgo
[Gua ISO/IEC 73:2002]
NOTA: En esta Norma Internacional, el trmino control se utiliza como sinnimo de
medida.
3.16
declaracin de aplicabilidad
declaracin documentada que describe los objetivos de control y controles que son
pertinentes y aplicables al SGSI de la organizacin.
NOTA: Los objetivos de control y controles se basan en los resultados y conclusiones de
los procesos de evaluacin y tratamiento del riesgo, los requisitos legales o
BS ISO/IEC 27001:2005
reglamentarios, las obligaciones contractuales y los requisitos del negocio de la
organizacin para la seguridad de la informacin.
b)
2)
3)
4)
5)
NOTA: Para los fines de esta Norma Internacional, la poltica del SGSI es
considerada como un superconjunto de la poltica de seguridad de la informacin.
Estas polticas pueden describirse en un solo documento.
c)
2)
BS ISO/IEC 27001:2005
NOTA: Existen diferentes metodologas para la evaluacin de riesgos. En ISO/IEC
TR 13335-3, Tecnologa de la Informacin Directrices para la gestin de la
Seguridad Informtica Tcnicas para la gestin de la Seguridad Informtica, se
consideran ejemplos de metodologas para la evaluacin de riesgos.
d)
Identificar los activos que estn dentro del alcance del SGSI, y los
propietarios2 de estos activos.
Identificar las amenazas para esos activos.
3)
Identificar las vulnerabilidades que podran ser explotadas por las amenazas.
4)
e)
Evaluar los impactos del negocio sobre la organizacin que podran resultar de
las fallas de seguridad, tomando en cuenta las consecuencias de una prdida
de confidencialidad, integridad o disponibilidad de los activos.
2)
3)
4)
f)
2)
3)
evitar riesgos; y
4)
transferir los riesgos relacionados del negocio a otras partes, por ejemplo,
compaas aseguradoras, proveedores.
g)
BS ISO/IEC 27001:2005
Los objetivos de control y controles mencionados en el Anexo A no son exhaustivos
y tambin se pueden seleccionar objetivos de control y controles adicionales.
NOTA: El Anexo A contiene un lista completa de objetivos de control y controles que
se ha comprobado que son comnmente pertinentes en las organizaciones. Se
recomienda a los usuarios de esta Norma Internacional remitirse al Anexo A como
punto de partida para la seleccin de controles con el fin de asegurar que no se
pasen por alto opciones de control importantes.
h)
i)
j)
2)
3)
b)
c)
d)
e)
f)
g)
BS ISO/IEC 27001:2005
h)
a)
2)
3)
4)
5)
b)
c)
Medir la eficacia de los controles para verificar que se han cumplido los requisitos
de seguridad.
d)
e)
1)
la organizacin;
2)
la tecnologa;
3)
4)
5)
6)
Llevar a cabo auditoras internas del SGSI a intervalos planificados (vase 6).
NOTA: Las auditoras internas, a veces llamadas auditoras de primera parte, son
realizadas por la misma organizacin o en nombre de sta para fines internos.
f)
Realizar una revisin por la direccin del SGSI regularmente para asegurar que el
alcance siga siendo adecuado y se identifiquen mejoras en el proceso del SGSI
(vase 7.1).
g)
Actualizar los planes de seguridad para tomar en cuenta los hallazgos de las
actividades de monitoreo y revisin.
BS ISO/IEC 27001:2005
h)
Registrar las acciones y hechos que podran tener un impacto sobre la eficacia o el
desempeo del SGSI (vase 4.3.3).
b)
c)
d)
b)
c)
d)
e)
f)
g)
h)
i)
la Declaracin de Aplicabilidad.
NOTA 1: Cuando aparezca el trmino procedimiento documentado dentro de esta
Norma Internacional, esto significa que el procedimiento sea establecido,
documentado, implementado y mantenido.
NOTA 2: La extensin de la documentacin del SGSI puede diferir de una
organizacin a otra debido a:
- el tamao de la organizacin y el tipo de sus actividades; y
- el alcance y complejidad de los requisitos de seguridad y los sistemas
gestionados.
10
BS ISO/IEC 27001:2005
NOTA 3: Los documentos y registros pueden estar en cualquier formato o tipo de
medio.
4.3.2 Control de documentos
Se deben proteger y controlar los documentos exigidos por el SGSI. Se debe establecer
un procedimiento documentado que defina las acciones de gestin necesarias para:
a)
b)
c)
d)
e)
asegurarse de
identificables;
f)
asegurarse de que los documentos se encuentren disponibles para aquellos que los
necesitan, y sean transferidos, almacenados y finalmente eliminados de acuerdo
con los procedimientos aplicables a su clasificacin;
g)
h)
i)
j)
que
los
documentos
permanezcan
legibles
fcilmente
11
BS ISO/IEC 27001:2005
b)
c)
d)
e)
proporcionando
recursos
suficientes
para
establecer,
implementar, operar, monitorear, revisar, mantener y mejorar el SGSI (vase 5.2.1);
f)
g)
h)
b)
c)
d)
e)
f)
necesario
reaccionar
b)
c)
d)
12
BS ISO/IEC 27001:2005
6 Auditoras internas del SGSI
La organizacin debe llevar a cabo a intervalos planificados auditoras internas del SGSI
para determinar si los objetivos de control, controles, procesos y procedimientos de su
SGSI:
a) cumplen con los requisitos de esta Norma Internacional y la legislacin o regulaciones
pertinentes;
b) cumplen con los requisitos de seguridad de la informacin;
c) se han implementado y se mantienen de manera eficaz; y
d) estn dando el resultado que se esperaba.
Se debe planificar un programa de auditoras tomando en consideracin el estado y la
importancia de los procesos y las reas a auditar, as como los resultados de auditoras
anteriores. Se deben definir los criterios de auditora, el alcance de la misma, su
frecuencia y metodologa. La seleccin de los auditores y la realizacin de las auditoras
deben asegurar la objetividad e imparcialidad del proceso de auditora. Los auditores no
deben auditar su propio trabajo.
Se deben definir en un procedimiento documentado las responsabilidades y requisitos
para la planificacin y la realizacin de auditoras, para el informe de los resultados y para
el mantenimiento de los registros (vase 4.3.3).
La direccin responsable del rea que est siendo auditada, debe asegurarse de que se
toman acciones sin demora injustificada para eliminar las no conformidades detectadas y
sus causas. Las actividades de seguimiento deben incluir la verificacin de las acciones
tomadas y el informe de los resultados de la verificacin (vase 8).
NOTA: ISO 19011:2002, Directrices para la auditora de sistemas de gestin de la calidad
y/o ambiental, puede proporcionar una til orientacin para realizar las auditoras internas
del SGSI.
7 Revisin por la direccin del SGSI
7.1 Generalidades
La alta direccin debe, a intervalos planificados (por lo menos una vez al ao), revisar el
SGSI de la organizacin para asegurar su conveniencia, adecuacin y eficacia continuas.
Esta revisin debe incluir la evaluacin de las oportunidades de mejora y la necesidad de
efectuar cambios en el SGSI, incluyendo la poltica de seguridad de la informacin y los
objetivos de seguridad de la informacin. Se deben documentar claramente los resultados
de las revisiones y se deben mantener registros (vase 4.3.3).
7.2 Informacin para la revisin
La informacin de entrada para la revisin por la direccin debe incluir:
a)
b)
c)
d)
e)
13
BS ISO/IEC 27001:2005
f)
g)
h)
i)
b)
c)
2)
3)
los procesos del negocio que afectan los requisitos del negocio existentes;
4)
5)
6)
d)
e)
b)
c)
14
BS ISO/IEC 27001:2005
d)
e)
f)
c)
d)
e)
La organizacin debe identificar los cambios de los riesgos e identificar los requisitos para
acciones preventivas centrando la atencin en los cambios significativos de los riesgos.
Se debe determinar la prioridad de las acciones preventivas en base a los resultados de
la evaluacin de riesgos.
NOTA: Las acciones para prevenir las no conformidades son con frecuencia ms eficaces
en funcin de los costos que las acciones correctivas.
15
BS ISO/IEC 27001:2005
Anexo A
(normativo)
Objetivos de control y controles
Los objetivos de control y controles mencionados en la Tabla A.1 se obtienen
directamente de los mencionados en los Captulos 1 al 15 de ISO/IEC 17799:2005 y se
han alineado con stos. Las listas de la Tabla A.1 no son exhaustivas y una organizacin
puede considerar que son necesarios objetivos de control y controles adicionales. Los
objetivos de control y controles de estas tablas deben seleccionarse como parte del
proceso del SGSI especificado en 4.2.1.
Los captulos 5 al 15 de ISO/IEC 17799:2005 proporcionan consejos para la
implementacin y orientacin sobre la mejor prctica en apoyo de los controles
especificados en A.5 a A.15.
Tabla A.1 Objetivos de control y controles
A.5 Poltica de seguridad
A.5.1 Poltica de seguridad de la informacin
Objetivo: Proporcionar a la direccin orientacin y apoyo para la seguridad de la
informacin de acuerdo con los requisitos del negocio y las leyes y regulaciones
pertinentes.
A.5.1.1
A.5.1.2
Documento de
poltica de
seguridad de la
informacin
Revisin de la
poltica de
seguridad de la
informacin
Control
La direccin debe aprobar, publicar y comunicar a
todos los empleados y partes externas pertinentes un
documento de poltica de seguridad de la informacin.
Control
Se debe revisar la poltica de seguridad de la
informacin a intervalos planificados o si se producen
cambios significativos para asegurar su conveniencia,
adecuacin y eficacia continuas.
A.6.1.2
Compromiso de la
direccin con la
seguridad de la
informacin
Control
Coordinacin de la
seguridad de la
informacin
Control
16
BS ISO/IEC 27001:2005
A.6.1.3
A.6.1.4
Asignacin de
responsabilidades
con respecto a la
seguridad de la
informacin
Control
Proceso de
autorizacin de
recursos de
procesamiento de
informacin
Control
A.6.1.5
Acuerdos de
confidencialidad
A.6.1.6
Contacto con
autoridades
A.6.1.7
Contacto con
grupos de inters
especiales
A.6.1.8
Revisin
Control
independiente de la Se debe revisar de manera independiente el enfoque
seguridad de la de la organizacin para la gestin de la seguridad de
informacin
la informacin y su implementacin (es decir,
objetivos de control, controles, polticas, procesos y
procedimientos para la seguridad de la informacin) a
intervalos planificados o cuando se producen cambios
significativos en la implementacin de la seguridad.
Control
Se deben mantener contactos con grupos de inters
especiales u otros foros de seguridad especializados
y asociaciones profesionales.
A.6.2.2
Identificacin de
riesgos
relacionados con
partes externas
Abordar la
seguridad al tratar
con clientes
Control
Se deben identificar los riesgos para la informacin y
los recursos de procesamiento de informacin de la
organizacin debido a los procesos del negocio y se
deben implementar los controles apropiados antes de
dar acceso.
Control
Se deben abordar todos los requisitos de seguridad
identificados antes de dar a los clientes acceso a la
informacin o activos de la organizacin.
17
BS ISO/IEC 27001:2005
A.6.2.3
Abordar la
seguridad en
acuerdos con
terceros
Control
Los acuerdos con terceros que impliquen el acceso,
procesamiento, comunicacin o gestin de la
informacin o los recursos de procesamiento de
informacin de la organizacin o la adicin de
productos o servicios a los recursos de procesamiento
de informacin deben cubrir todos los requisitos de
seguridad pertinentes.
A.7.1.2
A.7.1.3
Inventario de
activos
Control
Propiedad de
activos
Control
Uso aceptable de
activos
Control
A.7.2.2
Etiquetado y
manipulacin de la
informacin
Control
Se debe desarrollar e implementar un conjunto
apropiado de procedimientos para el etiquetado y
manipulacin de la informacin de acuerdo con el
esquema de clasificacin adoptado por la
organizacin.
18
BS ISO/IEC 27001:2005
A.8.1.2
A.8.1.3
Funciones y
responsabilidades
Seleccin
Trminos y
condiciones de
empleo
Control
Se deben definir y documentar las funciones y
responsabilidades de los empleados, contratistas y
usuarios de terceros con respecto a la seguridad de
acuerdo con la poltica de seguridad de la informacin
de la organizacin.
Control
Deben realizarse verificaciones de los antecedentes
de todos los candidatos para el empleo, contratistas
y usuarios de terceros de acuerdo con las leyes y
regulaciones pertinentes y la tica y deben ser
proporcionales a los requisitos del negocio, la
clasificacin de la informacin a la cual se va a tener
acceso, y los riesgos percibidos.
Control
Como parte de su obligacin contractual, los
empleados, contratistas y usuarios de terceros
deben acordar y firmar los trminos y condiciones de
su contrato de empleo, los cuales deben establecer
sus responsabilidades y las de la organizacin en
materia de seguridad de la informacin.
Explicacin: Se supone que aqu el trmino relacin laboral cubre todas las siguientes
situaciones diferentes: contratacin de personal (temporal o prolongado), asignacin de categoras
de trabajo, cambio de categoras de trabajo, cesin de contratos y la terminacin de cualquiera de
estos acuerdos.
19
BS ISO/IEC 27001:2005
A.8.2.3
Proceso
disciplinario
Control
Debe haber un proceso disciplinario formal para los
empleados que han cometido una violacin de
seguridad.
A.8.3 Terminacin de relacin laboral o cambio de empleo
Objetivo: Asegurarse de que los empleados, contratistas y usuarios de terceros salgan
de una organizacin o cambien de empleo de manera ordenada.
A.8.3.1
Responsabilidades Control
con respecto a la
Se deben definir y asignar claramente las
terminacin de
responsabilidades de ejecutar la terminacin de la
relacin laboral
relacin laboral o el cambio de empleo.
A.8.3.2
Devolucin de
Control
activos
Todos los empleados, contratistas y usuarios de
terceros deben devolver todos los activos de la
organizacin que se encuentran en su poder al
terminar su relacin laboral, contrato o acuerdo.
A.8.3.3
Eliminacin de
Control
derechos de
Deben eliminarse los derechos de acceso de todos
acceso
los empleados, contratistas y usuarios de terceros a
informacin y recursos de procesamiento de
informacin al terminar su relacin laboral, contrato o
acuerdo, o ajustarse al cambiar de empleo.
A.9 Seguridad fsica y del entorno
A.9.1 reas seguras
Objetivo: Evitar accesos fsicos no autorizados, daos e interferencias contra los locales y
la informacin de la organizacin.
A.9.1.1
A.9.1.2
A.9.1.3
A.9.1.4
A.9.1.5
Permetro de
seguridad fsica
Control
Controles fsicos de
entradas
Control
Seguridad de
oficinas, salas y
recursos
Control
Proteccin contra
amenazas del
entorno externas e
internas
Control
Trabajo en reas
seguras
Control
20
BS ISO/IEC 27001:2005
Acceso pblico,
reas de carga y
descarga
Control
Se deben controlar los puntos de acceso como reas
de carga y descarga y otros puntos por donde
personas no autorizadas pueden entrar a los locales
y, si es posible, aislarse de los recursos de
procesamiento de informacin para evitar el acceso
no autorizado.
Instalacin y
proteccin de
equipos
Control
Se deben situar o proteger los equipos de tal manera
que se reduzcan los riesgos de amenazas del entorno
y peligros, as como las oportunidades de accesos no
autorizados.
Control
Se deben proteger los equipos contra cortes de
electricidad y otras interrupciones causadas por fallas
en los servicios de apoyo.
Control
Se debe proteger el cableado de energa y
telecomunicaciones que porten datos o soporten
servicios de informacin, contra interceptacin o
daos.
A.9.2.2
Servicios de apoyo
A.9.2.3
Seguridad del
cableado
A.9.2.4
Mantenimiento de
equipos
Control
Seguridad de
equipos fuera de
los locales
Control
Eliminacin o
reutilizacin segura
de equipos
Control
Retiro de bienes
Control
A.9.2.5
A.9.2.6
A.9.2.7
21
BS ISO/IEC 27001:2005
A.10.1.1
A.10.1.2
A.10.1.3
A.10.1.4
Procedimientos de
operacin
documentados
Control
Gestin de
cambios
Control
Segregacin de
obligaciones
Control
Separacin de
recursos para
desarrollo, prueba
y operacin
Control
A.10.2.2
Prestacin de
servicios
Monitoreo y
revisin de
servicios de
terceros
Control
Se debe asegurar que el tercero implemente, opere
y mantenga los controles de seguridad, definiciones
del servicio y niveles de prestacin incluidos en el
contrato de prestacin de servicios externos.
Control
Se deben monitorear y revisar regularmente los
servicios, informes y registros proporcionados por el
tercero, y deben realizarse auditorias
peridicamente.
Control
Se deben gestionar los cambios en la prestacin de
servicios, incluyendo el mantenimiento y mejora de
las polticas, procedimientos y controles de
seguridad de la informacin existentes tomando en
cuenta la criticidad de los sistemas y procesos del
negocio implicados y la reevaluacin de riesgos.
A.10.3 Planificacin y aceptacin de sistemas
A.10.2.3
Gestin de
cambios en los
servicios de
terceros
22
BS ISO/IEC 27001:2005
A.10.3.2
Aceptacin del
sistema
Control
Se deben establecer los criterios de aceptacin para
nuevos sistemas de informacin y versiones nuevas
y mejoradas y deben realizarse pruebas adecuadas
del sistema(s) durante el desarrollo y antes de la
aceptacin
Copias de
seguridad de
informacin
Control
Se deben sacar y probar regularmente copias de
seguridad de la informacin y el software de acuerdo
con la poltica de copias de seguridad acordada.
Controles de redes
Control
Se deben gestionar y controlar adecuadamente las
redes para protegerlas contra amenazas y mantener
la seguridad para los sistemas y aplicaciones que
utilizan la red, incluyendo informacin en trnsito.
A.10.6.2
Seguridad de
servicios de red
Control
Se deben identificar e incluir las caractersticas de
seguridad, niveles de servicio y requisitos de gestin
en cualquier contrato de servicios de redes, ya sea
que estos servicios se proporcionan internamente o
se contraten externamente.
23
BS ISO/IEC 27001:2005
A.10.7.1
A.10.7.2
A.10.7.3
A.10.7.4
Gestin de
soportes extrables
Control
Eliminacin de
soportes
Control
Procedimientos
para la
manipulacin de
soportes
Control
Seguridad de la
documentacin de
sistemas
Control
A.10.8.5
Mensajera
electrnica
Control
Sistemas de
informacin del
negocio
Control
24
BS ISO/IEC 27001:2005
A.10.9.2
Transacciones en
lnea
A.10.9.3
Informacin
pblicamente
disponible
autorizada.
Control
Se debe proteger la informacin implicada en
transacciones en lnea para evitar transmisiones
incompletas, enrutamiento errneo, alteracin no
autorizada de mensajes, divulgacin no autorizada,
reproduccin o duplicacin no autorizada de
mensajes.
Control
Se debe proteger la integridad de informacin que se
pone a disposicin en un sistema pblicamente
disponible, para evitar la modificacin no autorizada.
A.10.10 Monitoreo
Objetivo: Detectar actividades de procesamiento de informacin no autorizadas.
A.10.10.1
A.10.10.2
A.10.10.3
A.10.10.4
A.10.10.5
Control
Registros de
auditorias
Control
Proteccin de
informacin de
registros
Control
Diarios de
administradores y
operadores
Control
Registro de fallas
Control
Sincronizacin de
relojes
Control
Se deben sincronizar los relojes de todos los
sistemas de procesamiento de informacin
pertinentes dentro de una organizacin o dominio de
seguridad con una fuente de tiempo exacta
acordada.
25
BS ISO/IEC 27001:2005
Poltica de control
de accesos
Control
Se debe establecer, documentar y revisar una
poltica de control de accesos en base a los
requisitos del negocio y de seguridad para el acceso.
A.11.2.2
A.11.2.3
A.11.2.4
Registro de
usuarios
Control
Gestin de
privilegios
Control
Gestin de
contraseas de
usuarios
Control
Revisin de los
derechos de
acceso de usuarios
Control
A.11.3.2
A.11.3.3
Uso de
contraseas
Control
Equipos de usuario
desatendidos
Control
Poltica de puesto
de trabajo
despejado y
bloqueo de pantalla
Control
26
BS ISO/IEC 27001:2005
A.11.4.2
A.11.4.3
A.11.4.4
Poltica de uso de
servicios de red
Control
Autenticacin de
usuarios para
conexiones
externas
Control
Identificacin de
equipos en redes
Control
Proteccin de
puertos de
configuracin y
diagnstico remoto
Control
A.11.4.5
Segregacin en las
redes
A.11.4.6
Control de
conexin a redes
A.11.4.7
Control de
enrutamiento en la
red
Procedimientos de
conexin seguros
Control
Se debe controlar el acceso a los sistemas
operativos mediante un procedimiento de conexin
seguro.
A.11.5.2
Identificacin y
autenticacin de
usuarios
Control
Todos los usuarios deben tener un identificador nico
(user ID) slo para su uso personal y se debe
seleccionar una tcnica de autenticacin adecuada
para confirmar la identidad alegada de un usuario.
A.11.5.3
Sistema de gestin
Control
27
BS ISO/IEC 27001:2005
A.11.5.4
A.11.5.5
A.11.5.6
de contraseas
Uso de utilitarios
del sistema
Control
Desconexin
automtica de
sesiones
Control
Limitacin del
tiempo de conexin
Control
A.11.6.2
Restriccin del
acceso a la
informacin
Control
Aislamiento de
sistemas sensibles
Control
A.11.7.2
Informtica mvil y
comunicaciones
Control
Teletrabajo
Control
28
BS ISO/IEC 27001:2005
informacin.
A.12.1.1
Anlisis y
especificacin de
los requisitos de
seguridad
Control
Las declaraciones de requisitos del negocio para
nuevos sistemas de informacin o mejoras a los
sistemas de informacin existentes deben especificar
los requisitos para controles de seguridad.
A.12.2.2
A.12.2.3
A.12.2.4
Validacin de los
datos de entrada
Control
Control de
procesamiento
interno
Control
Integridad de
mensajes
Control
Validacin de los
datos de salida
Control
A.12.3.2
Poltica de uso de
controles
criptogrficos
Control
Gestin de claves
Control
Control de software
Control
29
BS ISO/IEC 27001:2005
A.12.4.2
A.12.4.3
operativo
Proteccin de los
datos de prueba
del sistema
Control
Control de acceso
a cdigo fuente de
programas
Control
A.12.5.2
A.12.5.3
A.12.5.4
A.12.5.5
Procedimientos de
control de cambios
Control
Revisin tcnica de
aplicaciones
despus de
cambios en el
sistema operativo
Control
Restricciones en
los cambios a los
paquetes de
software
Control
Fuga de
informacin
Control
Desarrollo
externalizado de
software
Control
Control de
vulnerabilidades
tcnicas
Control
Debe obtenerse informacin oportuna sobre las
vulnerabilidades tcnicas de los sistemas de
informacin utilizados, se debe evaluar la exposicin
de la organizacin a dichas vulnerabilidades y tomar
las medidas apropiadas para abordar el riesgo
30
BS ISO/IEC 27001:2005
relacionado.
A.13 Gestin de incidentes de seguridad de la informacin
A.13.1 Comunicacin de hechos y debilidades de seguridad de la informacin
Objetivo: Garantizar que los hechos y debilidades de seguridad de la informacin
relacionados con sistemas de informacin sean comunicados de una manera que permita
tomar oportunamente las acciones correctivas.
A.13.1.1
A.13.1.2
Comunicacin de
hechos de
seguridad de la
informacin
Control
Comunicacin de
las debilidades de
seguridad
Control
A.13.2.3
Aprendiendo de los
incidentes de
seguridad de la
informacin
Control
Se debe implementar mecanismos que permitan
cuantificar y monitorear los tipos, volmenes y costos
de los incidentes de seguridad de la informacin.
Recopilacin de
evidencias
Control
Cuando una accin de seguimiento contra una
persona u organizacin despus de un incidente de
seguridad de la informacin implica una accin legal
(civil o penal), se deben recopilar, conservar y
presentar evidencias para cumplir con las normas
para evidencia establecidas en la jurisdiccin(es)
pertinente.
A.14 Gestin de la continuidad del negocio
A.14.1 Aspectos de seguridad de la informacin de la gestin de la continuidad del
negocio
Objetivo: Reaccionar a las interrupciones de actividades del negocio y proteger sus
procesos crticos frente a los efectos de fallas importantes de los sistemas de informacin
o desastres y asegurar su reanudacin oportuna.
A.14.1.1
Inclusin de la
Control
seguridad de la
Se debe desarrollar y mantener un proceso
informacin en el
gestionado para la continuidad del negocio en toda la
31
BS ISO/IEC 27001:2005
A.14.1.2
A.14.1.3
A.14.1.4
A.14.1.5
proceso de gestin
de continuidad del
negocio
Continuidad del
negocio y
evaluacin de
riesgos
Desarrollo e
implementacin de
planes de
continuidad,
incluyendo la
seguridad de la
informacin
Marco de
planificacin para
la continuidad del
negocio
Prueba,
mantenimiento y
reevaluacin de los
planes de
continuidad del
negocio
A.15 Cumplimiento
A.15.1 Cumplimiento de los requisitos legales
Objetivo: Evitar los incumplimientos de cualquier ley, requisito reglamentario, regulacin u
obligacin contractual y cualquier requisito de seguridad.
A.15.1.1
A.15.1.2
A.15.1.3
Identificacin de la
legislacin
aplicable
Control
Derechos de
propiedad
intelectual (IPR)
Control
Proteccin de los
registros de la
organizacin
Control
32
BS ISO/IEC 27001:2005
A.15.1.5
A.15.1.6
Proteccin de
datos y privacidad
de informacin
personal
Control
Control
Reglamentacin de
controles
criptogrficos
Control
Conformidad con
polticas y normas
de seguridad
A.15.2.2
Verificacin de
conformidad
tcnica
Control
Los gerentes deben garantizar que se realicen
correctamente todos los procedimientos de seguridad
dentro de su rea de responsabilidad para lograr la
conformidad con las polticas y normas de seguridad.
Control
Se debe verificar regularmente la conformidad de los
sistemas de informacin con las normas de
implementacin de la seguridad.
A.15.3.2
Controles de
auditora de
sistemas de
informacin
Control
Proteccin de
herramientas de
auditora de
sistemas de
Control
33
BS ISO/IEC 27001:2005
informacin
34