Norma Espafiola UNE-EN ISO/IEC 27001 Mayo 2017 Tecnologia de la informacion Técnicas de seguridad Sistemas de Gestién de la Seguridad de la Informacién Requisitos (ISO/IEC 27001:2013 incluyendo Cor 1:2014 y Cor 2:2015) Esta norma ha sido elaborada por el comité téenico CTN 71 Tecnologia de la informacisn.UNE-EN ISO/IEC 27001 Tecnologia de la informacion Técnicas de seguridad Sistemas de Gestién de la Seguridad de la Informacién Requisitos (1S0/1EC 2700: 013 incluyendo Cor 1:2014 y Cor 2:2015) Information technology. Security techniques. information security management systems Requinements (150/186 27001:2013 including Cor 12014 and Cor 2.2019), Technotogies de l'information, Techniques de sécurité. Systemes de management de la sécurité de Noformation Exigences (ISO/IEC 27001-2082 compris Cor 12014 ct Cor 2.2015). Esta norma es la versién oficial, en espanol, de la Norma Europea EN ISO/IEC 27001-2017, que a su vez adopta las Normas Internacionales ISO/IEC 27001-2013, ISO/IEC 27001;2013/ Cor. 1:2014 e ISO/IEC 27001:2013/Cor2:2015. Esta norma anula y sustituye a las Normas UNE-ISO/1EC 27001:2007, UNE-150/IEC 27001:2007/1M:2009, UNE-ISO/IEC 27001:2014 y UNE-ISO/IEC 27001:2014/COR 1:2015, Asociacién Espafiola de Normalizacién Info@une-ore Prublicade por AENOR Internacional, SA. Bato cencla de a Asoclacién Espanola de Normallzsctn,EUROPEAN SPANDARD EN ISO/IEC 27001 NORME EUROPEENNE EUROPAISCHE NORM Febrero 2017 Ics 03,100.70; 35.030 Version en espanol Tecnologia de la informacion ‘Técnicas de seguridad Sistemas de Gestién de la Seguridad de la Informacién Requisitos (GS0/1EC 27001:2013 incluyendo Cor 1:2014 y Cor 2:2015) nortan echatogy.Securty Techmotogies de Intormationstecath ‘Sanagletntaystema Requirements, ‘monagementdetevccerne do {nvormationssichermetts- (Soviet 27001-2013 eimsemuetstien foedi201¥ und Cor23005) eo /teesyook 2083 inciting foetiors amacor 22015) Esta norma europea ha side aprobada por CEN/CENELEC el 2017-01-26, Los miembros de CEN/CENELEC estin sometidos al Reglamento Interior de CEN/CENELEC que define las condiciones dentro de las cuales debe adoptarse, sin modificacién, la norma europea como norma nacional. Las correspondientes listas actualizadas y las referencias bibliograficas relativas a estas normas nacionales pueden obtenerse en la Secretaria Central de CENBLEC o en el Centro de Gestion de CEN, 0 a través de sis miembros. Esta norma europea existe en tres versiones oficiales (alemin, francés e inglés). Una versién en otra lengua realizada bajo la responsabilidad de sm miembro de CEN/CENELEC en su idioma nacional, ¥ notificada a la Secretarfa Central de CENELEC o al Centro de Gestion de CEN, tiene el mismo rango que aquéllas. Los miembros de CEN/CENELEC son los organismos nacionales de normalizacién y los comités electrotéenicos nacionales de los paises siguientes: Alemania, Antigua Republica Yugoslava de Macedonia, Austria, Belgica, Bulgaria, Chipre, Croacia, Dinamarea, Eslovaquia, Eslovenia, Espana, Estonia, Finlandia, Francia, Grecia, Hungria, Irlanda, Islandia, Italia, Letonia, Litwania, Luxemburgo, Malta, Noruega, Pases Bajos, Polonia, Portugal, Reino Unido, Repiblica Checa, Rumanta, Serbia, Suecia, Se CENELEC cracrno Dr GESTION DE CEN stecrania cenrnat or cenene (© 2017 CEN/CENELEC. Derechos de reproduccidn reservados a los Miembros de CEN/CENELEC.UNE-EN ISO/IEC 27001:2017 4 PrOlogo CUrOpeO wnesensenninnensennn Dectaracién, Prélogo o Introduceién.. 01 — Generalidades : 0:2 Compatibilidad con otras normas de sistemas de gestion 1 Objeto y campo de aplicacion.. 2 Normas para consulta. a ‘Términos y definiciones. 4 Contexto de Ia organizacion 44 — Comprenaién de In arganizaddny de su contexto. a 4.2 Comprensién de las necesidades y expectativas de las partes interesadas zs 43° Determinacién del alcance del sistema de gestién de la segurl a Informacion... +4 fema de gestion de la seguridad de la informacion 5 Liderazg0 wn 5. Liderazgoy compromisa,. sz 53 6 Planificacién.. 6.1 Acciones para tratar los riesyos y oporiunidades, 6.2 _Objetivos de seguridad de la informacién y planilicacién para su 7 7A 7.2 Competencia.. 73 Concienciacion. 74 Comunicacion. 7.5 Informacion documenta 8 Operacion 81 Planificacidn y control operacional Es 82 —_Apreciacién de los riesgos de seguridad dela informacion, &3 ‘Tratamiento de los riesgos de seguridad de la informacion 2 Evaluaci6n del desempeno. 9.4 Seguimiento, medicion, anailisis y evaluacion.. 7 92 — Auditoria interna. 83 Revistén por ladireccUNE-EN ISO/IEC 27001:2017 10 Mejora_..— sti mast ssceceseas sll? 10.1 No conformidad yacciones correctivas.. 19 10.2 Mejora continua.. 19 Anexo A (Normative) Objetivos de control y controles de referencia Bibliografia...UNE-EN ISO/IEC 27001:2017 -6 Prélogo europeo El texto de Ia Norma ISO/IEC 27001:2013 incluyendo Cor 1:2014 y Cor 2:2015 ha sido elaborado por ‘el Comité Técnico ISO/IEC JTC 1 Tecnolagia de la Informacién de la Organizacion Internacional de Normalizacién (ISO) y de la Comision Electrotécnica Internacional (IEC) y ha sido adeptada como EN ISO/IEC 27001:2017, Esta norma europea debe recibir el rango de norma nacional mediante la publicacién de un texto idéntico a ella o mediante ratificacién antes de finales de agosto de 2017, y todas las normas nacionales téenicamente divergentes deben anularse antes de finales de agosto de 2017. Se llama la atencién sobre la posibilidad de que algunos de los elementos de este documento estén Sujetos a derechos de patente, CEN y/o CENELEG no es(son) responsable(s) de la identificacion de dichos derechos ce patente. De acuerdo con el Reglamento Interior de CEN/CENELEC, estan obligados a adoptar esta norma europea los organismos de normalizacion de los siguientes paises: Alemania, Antigua Repablica Yugoslava de Macedonia, Austria, Bélgiea, Bulgaria, Chipre, Croacia, Dinamarca, Eslovaquia, Esloveni, Espafia, Estonia, Finlandia, Francia, Grecia, Hungria, Inlanda, Islandia, Italia, Letonia, Lituania, Luxemburgo, Malta, Noruega, Patses Bajos, Polonia, Portugal, Reino Unido, Reptiblica Checa, Rumanfa, Serbia, Suecia, Suiza y Tarquta, Declaracién El texto de la Norma ISO/IEC 27001:2013 incluyendo Gor 1:2014 y Cor 2:2015 ha sido aprobado por CEN como Norma EN ISO/IEC 27001:2017 sin ninguna modifi7 UNE-EN ISO/IEC 27001:2017 Prélogo 150 (Organizacién Internacional de Normalizacién) e HEC (la Comisién Electrotécnica Internacional) constituyen el sistema especializado para la normalizacién a nivel mundial, Los organismos nacionales que son miembros de ISO 0 IEC participan en el desarrollo de normas internacionales a través de ‘comités tecnicos establecidos por las organizaciones respectivas para realizar acuerdos en los campos tespecificos de Ia actividad técnica. Los comités téenicos de ISO e IEC colaboran en campos de interés mutuo. Otras organizaciones internacionales, piblicas y privadas, en coordinacién con ISO € TEC, también participan en el trabajo. En el campo de tecnologias de la informacién, 180 © IEC han establecido un comité téenico conjunto, el denominade ISO/IEC TC 1 Las normas internacionales se redactan de acuerdo con las reglas establecidas en la Parte 2 de las Directivas 180/1EC. La tarea principal de los comités téenicos es preparar normas Internacionales. Los proyectos de ormas internacionales adoptados por los comités tecnicos se envfan a los organismos miembros para votacidn, La publicacién como norma internacional requiere la aprobacién por al menos el 75% de los organismos miembros que emiten voto. Se llama la atenelén sobre la posibilidad de que algunos de los elementos de este documento puedan estar sujetos a derechos de patente. ISO e IEC no asumen la responsabilidad por la Wdentificacion de cualquiera o todos los derechos de patente, La Norma ISO/IEC 27001 fue preparada por el Comité Técnico conjunto ISO/IEC JTC 1 Tecnologia de a Informacién, Subcomité SC 27 Téenicas de seguridad. Esta segunda edicién anula y sustituye a la primera edicién (ISO/IEC 27001:2005) que ha sido revisada téenicamente,UNE-EN ISO/IEC 27001:2017 0 Introduccién 0.1 Generalidades Esta norma internacional se ha preparado para proporcionar los requisitos para el establecimiento, implementacién mantenimiento y mejora continua de un sistema de gestion de la seguridad de la informacion. La adopcion de un sistema de gestion de la seguridad de [a informacion es una decision estratégica para una organizacion. E] establecimiento e implementacidn de un sistema de gestion de la seguridad de la informacién por una organizacién est condicionado por sus necesidades y objetivos, sus requisitos de seguridad, los procesos organizatives utilizados y su tamano y estructura. Lo previsible es que todos estos factores condicionantes cambien con el tiempo. B] sistema de gestién de Ia seguridad de Ia informacién preserva la confidencialidad, integridad » disponibilidad de la informacion mediante la aplicacién de un proceso de gestion de riesgos y otorga a las partes interesadas confianza sobre la adecuada gestion de los Pesgos. Es importante que el sistema de gestién de la seguridad de la informacién forme parte y esté integrado. con los procesos de In organizacion y con Ia estructura de gestidn global, y que la seguridad de Ia informacién se considere durante el diseno de procesos, de los sistemas de informacion y de los controles. Es de esperar que la implementacion del sistema de gestion de la seguridad de la informacion se ajuste a las necesidades de la organizacton, Esta norma internacional puede ser utilizada por partes internas y externas para evaluar la capacidad de la organizacién para cumplit con sus propios requisites de seguridad. El orden en que esta norma internacional presenta los requisites no es reflejo de su importancia ni implica el orden en el cual deben implementarse, Los diferentes elementos de cada listado se enumeran sélo a titulo de referencia. aa Norma ISO/IEC 27000 deseribe la visién de conjunto y el vocabulario de los sistemas de gestién de la seguridad de la informacion, haciendo referencia a la familia de normas de sistemas de gestion de la Seguridad de la informacion (neluyendo las Normas ISO/IEC 270030, ISO/IEC 27004) © ISO/IEC 270051), junto con los términos y definiciones relacionados. 0.2 Compatibilidad con otras normas de sistemas de gestion Esta norma internacional emplea Ja estructura de alto nivel, texto esencial tdéntico, términos y definiciones esenciales comunes contenides en el anexo SL de la Parte 1 de las Directivas ISO/IEC, Suplemente ISO consolidado y por lo tanto mantiene Ia compatibilidad con otras normas de sistemas: de gestion que han adoptado el anexo SL. Este enfoque comin definido en el anexo SL. sera itt] para aquellas organizaciones que deciden implantar un sistema de gestién que cumpla con los requisites de dos o mas normas de sistemas de gestion.UNE-EN ISO/IEC 27001:2017 1 Objeto y campo de aplicacién Esta norma internacional especifica los requisitos para el establecimiento, implementacion, mantenimiento y mejora continua de un sistema de gestion de la seguridad de la informacién en of contexto de la organizacién, Esta norma también incluye los requisites para la apreciacién y el tratamiento de los riesgos de seguridad de informacion a la medida de las necesidades de la longanizacion, Los requisitos establecidos en esta norma internacional son genéricos y aplicables a to- das las organizaciones, cualquiera que sea su tipo, tamavio o naturaleza. No se acepta la declaracion de conformidad con respecto esta norma internacional habiendo exciuido alguno de los requisitos ‘especificados en los eapitulos 4 al 10, 2 Normas para consulta Los documentos indicados a continuactén, en su totalidad o en parte, son normas para consulta indispensables para la aplicacién de este documento, Para las referencias con fechs, sélo se aplica la fedicign citada, Para las referencias sin fecha se aplica la Gltima edicién (Inchiyendo cualquier modificacion de ésta. 150/1E¢ 27000, Tecnologia de la informecién. Téenicas de seguridad. Sistemas de Gestién de la Seguridad dea Informacion (SGSI). Vision de conjunto y vocabulario. 3 Términos y definiciones Para los fines de este documento, se aplican los términos y definiciones incluides en la Norma Iso/1E¢ 27000. 4 Contexto de la organizacion 44 Comprensién de la organizacién y de su contexto La organizacién debe determinar las cuestiones externas @ Internas que son pertinentes para su propésito y que afectan a su capacidad para lograr los resultados previstos de su sistema de gestion de Ia seguridad de la informacion. 4.2 Comprensién de las necesidades y expectativas de las partes interesadas La organizacién debe determinar: a) las partes Interesadas que son relevantes para el sistema de gestién de la seguridad de la informaciot »b) os requisitos de estas partes interesadas que son relevantes para la seguridad de la informacionUNE-EN ISO/IEC 27001:2017 -10- 4.3. Determinacién del alcance del sistema de gestién de la seguridad de la informacion La organizacién debe determinar los limites y la aplicabilidad del sistema de gestién de la seguridad de la informacién para establecer su aleance. Cuando se determina este alcance, la organizacién debe considerar: a) las euestiones externas e internas referidas en el apartado 4.1; 1b) los requisitas referidos en el apartado 4.2; ©) las interfaces y dependencias entre las actividades realizadas por a organi levan a cabo por otras organizaciones. én y las que se El alcance debe estar disponible como informacién documentada. 4.4 Sistema de gestién de la seguridad de la informacion La organizacién debe establecer, implementar, mantener y mejorar de manera continua un sistema de gestion de la seguridad de la informacion, de acuerdo con los requisitos de esta norma internacional. 5 Liderazgo 5.1 Liderazgo y compromiso La alta direccién debe demostrar liderazgo y compromiso con respecto al sistema de gestién de la seguridad de la informacion: a) asegurando que se establecen la politica y los objetivos de seguridad de la informacién y que estos Sean compatibles con la direcciGn estratégica de la organizacion; 1b) asegurando Ia integracién de los requisites del sistema de gestién de la seguridad de la Informacion en los procesos de la organizacién: ©) asegurando que los recursos necesarios para el sistema de gestion de la seguridad de la informacién estén disponibles; 4) comunicando Ia importancia de una gestién de la seguridad de la informacién eficaz y conforme con los requisites del sistema de gestidn de la seguridad de la informacion; ©) asegurando que el sistema de gestién de la seguridad de l previstos; informa 46m consigue los resultados 1) dirigiendo y apoyande a las personas, para contribuir a la efieacia del sistema de gestidn de la Seguridad de la informacisn, 1) promoviendo la mejora continua: y 1h) apoyando otros roles pertinentes de la direccién, para demostrar su liderazgo aplicado a sus Sreas de responsabilidad.-1- UNE-EN ISO/IEC 2700. 017 5.2 Politica La alta direccién debe establecer una politica de seguridad de la informacién que: a) sea adecuada al propésite de la organizacién, b)_incluya objetivos de seguridad de la informacion (véase 6.2) o proporcione un marco de refe~ rencia para el establecimiento de los objetivos de seguridad de la informacion; ©) incluya el compromiso de cumplir con los requisites aplicables a la seguridad de la informacién: & 4) incluya el compromiso de mejora continua del sistema de gestion de la seguridad de la informacién. La politica de seguridad de Ia informacién debe: ©) estar disponible como informacién documentada; 1) comunicarse dentro de ta organizacién: y 8) estar disponible para las partes interesadas, sextin sea apropiado, 5.3 Roles, responsabilidades y autoridades en la organizacion La alta direceién debe asegurarse que las responsabilidades y autoridades para los roles pertinentes a Ja Soguridad de Ia informacién se asignen y comuniquen dentro de la organizacién, Laalta direceién debe asignar la responsabilidad y autoridad para a) asegurarse que el sistema de gestion de la seguridad de la informacion es conforme con los Fequisitos de esta norma internacional: ¢ b)__informar a la alta direceién sobre el comportamiento del sistema de gestién de Informacion, -guridad de la Sistema de gestion de la seyridad dela inormacion dentro dela organtzacton, 6 Planificacién 6.1 Acciones para tratar los riesgos y oportunidades 6.1.1 Consideraciones generales Al planificar el sistema de gestién de la seguridad de Ia informacién, la organizacién debe considerar las cuestiones a las que se hace referencia en el apartado 4.1 y los requisitos incluidos en el apartado 4.2, y determinar los Flesgos y oportinidades que es necesario tratar con el fin de: a) asegurar que el sistema de gestion de la seguridad de Ia informacion pueda conseguir sus resultados previstos: b) _preveniro reducir efectos indeseados: y ©) lograr la mejora continua,UNE-EN ISO/IEC 27001:2017 -12- La organizactén debe planificar: 4) las acciones para tratar estos rlesgos y oportunidades: y ©) Tamanera de: 1) integrar e implementar las acciones en los procesos del sistema de gestién de la seguridad de a informacion, ¥ 2). evaluar Ia eficacia de estas acciones. 6.1.2 Apreciacién de riesgos de seguridad de la informacion La organizacién debe definie y aplicar un proceso de apreciacién de riesgos de seguridad de la infor- macion que, a) _establezca y mantenga criterios sobre rlesgos de seguridad de la informacion incluyendo: 1) Ios eriterios de aceptacion de los riesgos, y 2) los criterios para evar a cabo las apreciaciones de los riesgas de seguridad de la informacion: b)_asegure que las sucesivas apreciaciones de los riesgos de seguridad de Ia informacion generan resultados consistentes, vilidos y comparables; 6) identifique los riesgos de seguridad de fa informacién 1) Ilevando a cabo el proceso de apreciacién de riesgos de seguridad de la informacién para identificar los riesgos asociados a la pérdida de confidencialidad, integridad y disponibilidad dela informacién en el aleance del sistema de gestion de la seguridad de la informacion, 2). Adentificande a los duiefos de los riesgos: 4) _analice los rleagos de seguridad de la Informactéw: 1) valorando las posibles consecuencias que resultarian si los riesgos identificados en el punto 6.1.2 €) 1) Hegasen a materializarse, 2) valorando de forma realista la probabilidad de acurrencia de los riesgos identificadas en et punto 6.1.2 ¢) 1), 3). determinando los niveles de riesgo: ©) evalde los riesgos de seguridad de la informacién 1) comparando os resultados del ansiisis de riesgos con los eriterios de riesgo establecidos en el punto 6.1.2), 2). priorizando el tratamiento de los riesgos analizados. La organizacién debe conservar informacién documentada sobre el proceso de apreciacién de riesgos de seguridad de Ia informacion.-13- UNE-EN ISO/IEC 27001:2017 6.4.3. Tratamlento de los rlesgos de seguridad de la Informacion, La organizacién debe definir y efectuar un proceso de tratamiento de los riesgos de seguridad de la Informacion pars 1a) seleccionar las opciones adecuadas de tratamiento de riesgos de seguridad de la informacion teniendo en cuenta los resultados de la apreciacién de riesgos; b) determinar todos los controles que sean necesarios para implementar la(s) opeién(es) elegica(s) de tratamiento de riesgos de seguridad de la informacion; [NOTA Las organizactones pueden disenarcontrules sein Sea necesario,o identificarlos a portirde cualquier fuente ©) comparar los controles determinados en el punto 6.1.3 b) con los del anexo Ay comprobar que no se han omitide controles necesarios, NOTA Elaneno A contene una amplls sta de objtivos de control y contoles Se indica Jos usuarios de ext norma Tos conttoles sumerados en el anexo Ano san exhaustives, por fo que pueden ser Aocesation ubjetivas de control y controtesadlonales 4) elaborar una “Declaracién de Aplicabilidad” que contenga: = los controles necesarios [véase 6.1.3 b) y ©}: = la justificacion de las inclusiones: ~ silos controles necesarios estan implementados 0 no: ¥ a justificacién de las exclusiones de cualquiera de los controles del anexo A. ©) formutar un plan de tratamiento de riesgos de seguridad de la informacién: y 1) obtener Ia aprobacién del plan de tratamiento de rieszos de seguridad de la informacién y la \ceptacion de los riesgos residuales de seguridad de Ia informacion por parte de los duchos de los Hesgos, La organizacién debe conservar informacién documentada sobre el proceso de tratamiento de riesgos dle Seguridad de la informa 6.2 — Objetivos de seguridad de la informacién y planificacién para su consecucién La organizacién debe establecer los objetivos de seguridad de la Informacion en las funciones y niveles pertinentes, Los objetivos de seguridad de la informacién deben: a) _ ser coherentes con la politica de seguridad de la informacién; b) ser medibles (si es posible);UNE-EN ISO/IEC 27001:2017 -14- ©) tener en cuenta los requisites de seguridad de la informacién aplicables y los resultados de la apreciacién y del tratamiento de los riesgos: 4) ser comunicados: y €) ser actualizados, seqiin sea apropiado. La organizacin debe conservar informacién documentada sobre los objetivos de seguridad de la informacion. Cuando se hace la planificacién para la consecuctén de los objetivos de seguridad de la informacisn, la organizacion debe determinar: 1) toque se va ahacer; 8) qué recursos se requeriran; hh) quién serd responsable: 1) cuando se finalizars:y 3) cémo se evaluardn tos resultados. 7 Soporte 7.4 Recursos La organizacién debe determinar y proporcionar los recursos necesarios para el establecimiento, implementacién, mantenimiento y mejora continua del sistema de gestion de la seguridad de la informacién, 7.2 Competencia La organizacién debe: a) determinar la competencia necesaria de las personas que realizan, bajo su control, un trabajo que afecta a su desempeno en seguridad de la informacion; y b) asegurarse que estas personas sean competentes, basindose en la educacién, formaciéon 0 experiencia adecuadas; cuando sea aplicable, poner en marcha acciones para adquirir la competencia necesaria y evaluar Ta efleacia de las acciones levadas a cabo; y 4) conservar la informacién documentada aproplada, como evidencia de la competencia, NOTA las acciones aplieables pueden ineuin. nor sjomplo: Ia Formac, Ia titorla 0 Ia reasimnacién de Ie porsanas ‘mpleadas actualmente; la contratalcn Ge personas competentes-15- UNE-EN ISO/IEC 27001:2017 7.3 Concienciacién Las personas que trabajan bajo el control de la organizacién deben ser conscientes de a) _lapolitica de la seguridad de la informacién: b) su contribucién a la eficacia del sistema de gestién de la seguridad de la infermacién, incluyendo, los beneficios de una mejora del desempeno en seguridad de la informacién; ©) las implicaciones de no cumplir con los requisitos del sistema de gestidn de la seguridad de la informacion, 7.4 Comunicacion La organizacién debe determinar la necesidad de comunicaciones internas y externas pertinentes al sistema de gestion de la seguridad de la informacién, que incluyan: 2) el contenido de ta comuntcaciin; b)eundo comuntear; 2) squién comunicar; 2) quién debe comuniear: ©) los procesos por los que debe efectuarse la comunicacién, 7.5 Informacién documentada 7.5.4 Consideraciones generates El sistema de gestidn de la seguridad de la tnformacién de la organizacién debe inclute a) Ia informacién documentada requerida por esta norma internacional: ) Ia informacién documentada que la organizacién ha determinado que es necesaria para la eficacia del sistema de gestién de la seguridad de la informacién, NOTA El aleance de la informacin documenta para un sistema de gestién de I seguridad de I informacion puode ser ‘irene de una organtzacion str, debido 2) tomatoe a organizncion ya su tipo de actividades, proceso, producto y servicios, 2) le complelidad de oe procesory aus interaccionss.y 2) a compatenca de ae personasUNE-EN ISO/IEC 2700 017 -16- 7.8.2 Creaciény actualizacién Cuando se erea y actualiza la informacién documentada, la organizacién debe asegurarse, en la manera que corresponda, de lo siguiente: a) la identificacion y descripeién (por ejemplo, titulo, fecha, autor o niimero de referencia); b) el formato (por ejemplo, Idioma, versién del software, graficas) y sus medios de soporte (por ejemplo, papel, electrénico): ©) _larevisi6n y aprobacién con respecto ala idoneidad y adecuacién, 7.8.3 Control de la informacion documentada La informacion documentada requerida por el sistema de gestién de la seguridad de la informacisn y por esta norma internacional se debe controlar para asegurarse que: a) _esté disponible y preparada para su uso, dénde y cuando se necesite; b)__esté protegida adecuadamente (por ejemplo, contra pérdida de la confidencialidad, uso inade~ cuado, 0 pérdida de integridad). Para el control de la informacién dacumentas sseguin sea aplicable: la organizacién debe tratar las siguientes actividades, ©} distribucién, acceso, recuperacién y uso; )_almacenamiento y preservactén, incluida la preservacién de la legibilidad: ©) control de cambios (por ejemplo, contral de versién): 1) retencién y disposicion. La informacién documentada de origen externo, que Ia organizacién ha determinade que es necesaria para la planificacion y operacion del sistema de gestion de la seguridad de la Informacién se debe identifica y controlar, segan sea adecuad NOTA acceso implica una decisiin concemiente al permise solamente para consular la informactin documentada, 0 permis ya autora para constitary modifica la Informacion documentada, te 8 Operacion 8.1 Planificacién y control operacional La organizacién debe planificar, implementar y controlar los procesos necesarios para cumplir los requisitos de seguridad de la informacién y para implementar las acciones determinadas en el Apartado 6.1, La organizacion debe implementar también planes para aleanzar los objetivos de seguri= dad dela informacion determinadas en el apartado 6.2. En la medida necesaria Ia organizacién debe mantener informacién documentada, para tener Ia confianza de que los procesos se han llevado a cabo segsin lo planifieado,-17- UNE-EN ISO/IEC 27001:2017 La organizacién debe controlar los cambios planificados y revisar las consecuencias de las cambios no previstos, levando a cabo acciones para mitigar los efectos adversos, cuando sea necesario. La organtzacién debe garantizar que los procesos contratados externamente estén controlados. 8.2 Apreciacién de los riesgos de seguridad de Ia informacion La organizacién debe efectuar apreciaciones de riesgos de seguridad de la informacion a intervalos planificados, y cuando se propongan o se produzcan modificaciones importantes, tentendo en cuenta Tos criterios establecidos en el punta 6.1.2 8) La organizacién debe conservar Informacion documentada de los resultados de las aprect resgos de seguridad de informacisn. tones de 8.3 Tratamiento de los riesgos de seguridad de la informacion La organizacién debe Implementar et plan de tratamiento de los rlesgos de seguridad de la Informacion de los resultados del La organizacién debe conservar informactén doc jento de los rlesgos de seguridad de Ia Informacidn, 9 Evaluacién del desempefo 9.1 Seguimiento, medicién, .ilisis y evaluacién La organizacién debe evaluar el desempeno de la seguridad de la informacién y la eficacia del sistema de gestion de la seguridad de Ia informacion. La organizacién debe determinar: 1a) a qué es necesario hacer seguimiento y qué es necesario medir, ineluyendo procesos y contrales de seguridad de la informacion; 1) los métodos de seguimiento, medicién, andlisis y evaluacién, segtin sea aplicable, para garantizar resultados validos: 6) cuindo se deben llevar a cabo el seguimiento y la mediciéns 4) quién debe hacer el seguimiento y la medicion; 2) cudndo se deben analizar y evaluar los resull dos del seguimienta y la medicién; 1) quién debe analizar y evaluar esos resultados. La organizacién debe conservar la informacién documentada adecuada como evidencia de los resultados.UNE-EN ISO/IEC 270012017 -18- 9.2 Auditorfa interna La organizacién debe llevar a cabo auditorias internas a intervalos planificados, para proporcionar informacion acerca de si el sistema de gestidn de la seguridad de la informacion: a) cumple con: 1) Ios requisitos propios de la organizacin para su sistema de gestion de la seguridad de la informacién, 2). los requisitos de esta norma intemacional, b) _esté implementado y mantenido de manera eficaz. La organizacién debe: ©) _planificar, establecer, implementar y mantener uno 0 varios programas de auditorfa que incluyan la frecuencia, los métodos, las responsabilidades, los requisitos de planificacién, y la elaboracién, de informes. Los programas de auditoria deben tener en cuenta la importancia de los procesos Involucrades y los resultados de las auditorias previas: 4) para cada auditoria, definir sus criterios y su atcance; @) _seleccionar los auditores y llevar a cabo auditorfas para asegurarse de la objetividad y la smpar- clalidad del proceso de auditoria; 9) asegurarse de que se informa a la direccién pertinente de los resultados de las auditorfas; y 2) conservar informacién documentada como evidencia de la implementacién del programa de auditoria y de los resultados de ésta, 9.3 Revision por la direcci6n La alta direecién debe revisar el sistema de gestién de la seguridad de la informacién de Ia organizacién a intervalos planificados, para asegurarse de su conveniencia, adecuacién y eficacia continuas. La revisién por la direccién debe incluir consideraciones sobre: a) elestade de las acciones desde anteriores revisiones por la direcci6n; b) Ios cambios en las cuestiones externas ¢ internas que sean pertinentes al sistema de gestidn de la seguridad de la informacion; ©) Ia informacion sobre el comportamlento de la seguridad de la Informacion, Incluidas las endencias relativas a: 1) no conformidades y aeciones correctivas, 2) seguimiento y resultados de las mediciones, 3). resultados de auditoria, y 4) el cumplimiento de los objetivos de seguridad de la informacién,-19- UNE-EN ISO/IEC 27001:2017 4) los comentarios provenientes de las partes interesadas; €) los resultados de la apreciacién de los riesgos y el estado del plan de tratamiento de riesgos; y A) as oportunidades de mejora continua Los elementos de salida de la revision por la direcci6n deben incluir las decisiones relacionadas con las oportunidades de mejora continua y cualquier necesidad de cambio en el sistema de gestion de Ia seguridad de la informacion. La organizacién debe conservar informacién documentada como evidencia de los resultados de las revistones por la direceién, 10 Mejora 10.1. No conformidad y acciones correctivas Cuando ocurra una no conformidad, la organizacién debe, 1a) reaccionar ante la no conformidad, y segin sea aplicable: 1) levara cabo acciones para controlarla y corregirla, y 2). hacer frente a las consecuencias, b) _evaluar la necesidad de acciones para eliminar las causas de la no conformidad, con el fin de que hho vuelva a ocurrir, ni acurra en otra parte, mediante: 1). larevisién de la no conformidad, 2), ladeterminacién de las causas de la no conformidad, y 3) la determinacién de si existen no conformidades similares, o que potencialmente podrfan curr; ©) implementar cualquier accién necesari 4) _revisar la eficacia de las acciones correctivas levadas a cabo: ¥ ©) tes necesarlo, hacer cambios al sistema de gestidn de la seguridad de la informacion. Las acciones correctivas deben ser adecuadas a los efectos de las no conformidades encontradas. La organizacién debe conservar informacion documentada, como evidencia de: ) ta naturateza de Ias no conformidades y cualquier accién posterior levada a cabo: ¥ 19) los resultados de cualquier accién correctiva, 10.2, Mejora continua La organizactén debe mejorar de manera continua la tdoneidad, adecuacién y eficacia del sistema de {gestidn de la seguridad de la informacion.UNE-EN ISO/IEC 27001:2017 -20- Anexo A (Normativo) Objetivos de control y controles de referencia Los objetivas de control y controles que se enumeran en la tabla A.1 se corresponden directamente con los que figuran en la Norma ISO/IEC 27002-20130!) capitulos 5 a 18, y deben ser empleados en el contexto del apartade 6.1.3 ‘Tabla A.1 - Objetivos de control y controles As Informacién AS. Directrices de gesti6n de la seguridad de Ia informacion Objetivo: Proporcionar orientacién y apoyo a la gestiSn de la seguridad de Ia informacion de acuerdo con loz Fequisitos del negocio, las leves y normativa pertinentes (controt Asaa_ |Politicas para ta seguridad |y3n eonjumto de politicas para la seguridad de Ia informacion debe ser dela intormacisn definida, aprobado por la direccion, publicade ¥ comunicado a los fempleados y partes externas relevantes Controt Revisién delas paliticas |tas pottticas a Mind do ta informacion debs 6 politieas de seguridad de la informacién deben revisarse a) A512 |paralaseguridad dels | ntervalos planificados o sempre que se produzcan cambios signif cativos, a fin de asegurar que se mantenga st idoneidad, adecuacion ¥ AG Organtzacion de la seguridad de la informacion AGA _Organizacién interna ‘Objetivo; Establecer un marco de gesti6n para iniclar y controlar Ia implementacidn y operacién de la seguridad Roles y responsabitidades | “0"e0! AoA |enseguridad deta ‘Todas las responsabilidades en seguridad de la informacién deen ser Tnformactén definidas y asigoadas. ‘controt las funciones y areas de responsabilidad deben segregarse para’ A612 |Segreqaciéndetareas —|yeducir la posibilidad de que se produzean modifleaciones no auto- izadas ono Intenclonadas 0 uses Indebldos de los actives de la organizacion (contrat Contacto con las A613 | suoridader eben mantenerse los contactos aproplados con las autoridades: pertinentes. Agia |Cantactocon grupos de |peben mantenerse los contactos apropiados con grupos de interés Interés espectal ‘especial, otros foros y asoclacioner proferionaies especializados en sepuridad,-21- UNE-EN ISO/IEC 27001:2017 ‘Seguridad de la informacion en la gestion de proyectos (Controt La seguridad de la informactn debe tratarse dentro de la gestién de proyectos, independientemente dela naturaleza del proyecto, [A.6.2 Los dispositivos méviles y el teletrabajo [Objetivo: Garantizar la seguridad en el teletrabajay en al uso de dlapasitivos méviles. [Controt Jas21 _|Peliticadedispositivos — |ge debe adoptar una politica y unas medidas de seguridad adecuadas advo para la proteccién contra los Hlesgos de In utlizacion de dispositives| ndviles. Controt [62.2 |Tetetrabaio [se debe implementar una politica y unas medidas de seguridad ade- ‘cuadas para protegor Ia informacion aecedida, tratada 0 almacenada en emplazamientos de teletrabalo. A? Seguridad relativa a los recursos humanos A7A_ Antes del empleo objetivo: Para asegurarse que los emp) Jeados y contratistas entiondan sus rosponsabilidades y son adecuados ara las funeiones para las que se consideran, Investigacion de antecedenter (Contrat La comprobacién de los antecedentes de todos los candidatos al puesto [codigos ticos que sean de aplicacién y debe ser proporcional a las| hecesidades del negocio, la clasificacion de la informacion a la que se accede ylos rlesgos pereibidos. ‘Términos y condiciones [contrat ‘Gémo parte de sus obligaciones contractuales, os empleados y contra- tistas deben establecer los términos y condiciones en su contrato de {trabajo en lo que respecta ala seguridad de la informacion, tanto haca Jclompleado como hacia la organizacion A7.2 Durante elempleo JObjetivo: Asegurar que los empleados y contatistas conozean y cumplan con sus Fesponsabilidades| seguridad dela informacton, A721 |Responsabilidades de | gireccion debe exigi a los empleados y contratistas, que apliquen la weston seguridad de la informacion de. acuerdo con las politcas ¥ procedi rlentos establecidos en In organizacion, Concienciacién, educacién |rrados los empleados de la organizacidn y, cuando corresponda, los Jazze |¥sapacitacion en contratistas, deben recibir una adecuada edueacton, concienelaclon Seguridad deta procedimientos de la organtzacion, segun corresponda a su puesto de trabajo.UNE-EN ISO/IEC 27001:2017 -22- 1472.3 | Proceso disciplinario [conor Debe existir un proceso disciplinario formal que haya sido comunieade a los empleados, que recoja las acciones a tomar ante aquellos que| hayan pravocade alguna brecha de segurldad. 7a Finalizacion del empleo 0 cambio en el puesto de trabajo Objetivo: Proteger los intereses de la orgaplzacion come parte del proceso de cambio o finalizacion del empleo. Responsabilidades ante la A734 | faltzaciin o cambio contro! las responsabilldades en seguridad de la informacion y obligaciones que siguen vigentes despuds del cambio o finallzacién del empleo se| eden detinir, comunicar al empleado o contratista y se deben cumpltr ‘A@ Gestién de actives ‘AB. Responsabilidad sobre los activos Objetivo:[dentificar los activos de la organizacién y definit las responsabilidades de proteceién adecuadas, 1.1 | inventario de activos conerot La informacion y otros actives asoclados a la informacion y a tos recur-| sos para ol tratamiento de la informacién deben estar claramente| entiticados y debe claborarse y mantenerse un inventario. 481.2 | Propiedad delos actives Uso aceptable de los A813 | sctives [contrat frodes los aetivos que flguran en el inventario deben tener un [contrat Se deben identiicar, documentar € implementar las reglas de uso] ceptable de Ia informacion y de los activos asaciados con los recursos para el tratamiento de la informacion, 'Aa24 — |Devoluciin de activos [controt ‘Todos tos empleados y tereeras partes deben devolver todos los actves| Jdo ln organizacion que estén en su poder al flnalizar su empleo, [sontrate 0 acuerdo. ‘AB.2 _Clasificacién de Ia informacion Objetivo: Asegurar que la informacion para la organtzacion. reelba un nivel adecuado de proteccidn de acuerdo con su importancia Informactén [conor gaa |[Clasiflescién dela La informacién debe ser clasificada en términos de la tmportancia de su informers revelacién frente a requisitos legates, valor, sensibiidad y critieklad| ante ravelacion 9 modificncion no autorteadas An2.g | taquetade deta Dehe desatrallarse © implantarse wn conjunto adecundo de procedi- mientos para etiquetar la informacion, de acuerdo con el esquema de| clasiicacion adoptade parla organieacion,-23- UNE-EN ISO/IEC 27001:2017 agza Manipulado deta (coneroi Debe desarrollarse ¢ implantarse un conjunto adecuado de procedi mientos para la manipulacion de Ia informacion, de acuerdo con el esquema te clasiicacign adoptado por la organtzacion, inipulaciin de los soportes ‘Objetvo: Evitar la yevelacion, modificaciOn, eliminacion © destruction no autorizadas de la taformacion Jstmacenada et soportes. conerot lags |Sestiindesoportes | ss dben umplementar procedimentos para la gesién de Tos aoports| xeatles everaties, de acuerdo co el exema de easifiescton adoptade por Ta srganteacon 1483.2 |sliminacion desoportes | 9s soportes deben eliminarse de forma segura cuando ya no vayan a For neteuarios mediante procedimientesformales conerot ‘aes |Seportesiscos en Durant el ransportefera de los limites fscor de a organizseio, ts transite soportes que contengan informacion deben estar protegidas contra accesos ne autorizads, sos indebides 0 deteriora, ‘AS Control de acceso [ASA Requisitos de negocio para cl ‘control de acceso [objetivo: Limitar el acceso alos recursos de tratamiento de la informacion y ala informacién, [concrot ‘soar |Politicadecontrotde ——|s¢ debe establecer, documentar y revisar una politica de control de cease facceso hasada en los reguisitos de negocio y de seguridad de la informacién, Conerot laoaz |Accesoatasredesyalos | pnicamente se debe proporcionar a los usuarios el acceso a las redes y ervicios deed alos. servicios en red para cuyo uso hayan sido. especificamente autorizatos. [AO Gestidn de acceso de usuark [Objetivo: Garantizar el acceso de usuarios autorizados y evitar el acceso no auforizado a los sistemas y servicios. Goneroi A921 |Registoy baja deusuario [peho implantarse un procedimiento formal de registro y retirada de usuarios que haga posible la asignacién de les derechos de acceso ‘ao22 |Frovisiondeacceso de [phe implantarse un pracedimiento formal para asignar o revocar Ios) usuario Jéerechos de acceso para todos Ios tipos de ustarios de todos Ios sistemas] - [Control las2a | Gestién de privilegios de La atacon yo wna de priilegos de aeceno debe ertarretringa yUNE-EN ISO/IEC 2700 017 -24- Gestién dela informacién (Contra! A924 |secretade autenticacton |, asignacién de la informacién secrota de autenticacién debe ser} de los usuarios controlada a través de un proceso formal de gestion. Controt Jaszs | Reviston de los derechos Aeaccesodeusuarie |LOs propletarios de los actives deben revisar los derechos de acceso de tosuario' intervalos regulates, ‘Contre [aoa |Retiradao reasignacion de |Los derechos de acceso do todos los empleados y tercoras partes, a ta Informacion y a fos recursos de tratamiento de Ia informacion deben justados en caso de cambio. A903 Responsabilidades del usuarl objetivo: Para que los usuarios se hagan responsables de salvaguardar su informacion de autenticacién. Agaa secreta de autentieacién Contre Se debe requerir 9 los usuarios que sigan las practicas de Ia organiza | A94 Control de acceso a sistemas y aplicaciones [Objetivo: Preventr el acceso no autorizado a los sistemas y aplicaciones: Controt Jasa.a | Restriceién del acceso ala informacion Se debe restringlr el acceso a In informacién y a las funciones de Ins aplicaciones, de acuerdo con la politica de control de acceso definida, contro! Jasaz — |Procedimlentos seguros | Cuando asi se requiera en la politica de control de acceso, el acceso a los le inicio ce sesion sistomas ya las aplicaciones se debe controlar por medio de un rocedimienta seguro de inicio de seston, “Gutemadepentionae (corel A943 |concrasenas os sistemas para la gestion de contrasefias deben ser interactivas | fstablecer contrasefins segurusy robustas Contra Java [Usodeutitidadescon se debe restringir y controlar rigurosamente ol uso de utiidades que! Dprvitegiondelsistems | pyedan ser capaces de invalidar los controles del sistema y de la plicacion. ‘Control de acceso al contro! ass |eodigo tuente de tos Se debe restringir el acceso al cédigo fuente de los programas. 10 Griptogratia [A.10.4 Controles eriptograficos Ovjetive: y/o integridad de la informacion, Atos Politica de uso de los controles eniptogralices jarantizar un uso adecuado y efiaz de la eriptografia para proteger la confidencialidad, autenticidad Contra Se debe dessrrollar e implementar una politica sabre el uso de los controles criptograficos para proteger la informacion.-25- UNE-EN ISO/IEC 27001:2017 A012 Gestion de claves ¢ tmplementar una politica sobre el uso, la proteccion y Ia duractin de las claves de cifrada a lo largo de todo elclo de vida. Aad Seguridad fisicay del ontorno aaa Are as seguras objetivo: i "revenir el acceso fisico no autorizado, los datos @ interferencia a la informacién de la organizacion y| a los recursos de tratamiento de a informacion. [control Jariia |Perfmetro de seguridad |e qetven utilizar perimetros de seguridad para proteger las reas que Fisica [Sontionen informacion sensible asi camo los recursos de tratamiento de ia informacion. leonerot Jara |Controles fsicos de las reas seyuras dehen estar protegidas mediante controles de entrada entrada adecuados, para asegurar que dnicamente se permite el acceso al personal autorizado, [conerot Jariaa [Seguridad de ofcinas, lespachosy recursos | Para las ofleinas, despachos y recursos, se debe disenar y aplicar la seguridad Fisica, Proteccién contralas | Gomtrol A114 Jamenazasextemasy Ise debe disenar y aplicar una proteccién fisica contra desastres natu- Jambientales rales, ataques provocados por el hombre o accidentes. [control A.111.5 | Bt erabajo en éreas seguras se geben disehar © implementar procedimientos para trabajar en las areas seguras. [control Jari. |Arease carga descarga {Deen controlar los puntos de acceso tales come ls aeas de carga y descarga y otros puntos, donde pueda acceder personal no sutorizado 3 las instalaciones, y ses posible, alslar dichos puntos de los recursos de tratamiento dela informacion para evitar acceso’ no autorizados [A.11.2 Seguridad de los equipos objetivo: forganizacian. witar Ia pérdida, dato, robe o el compromise de los activos y a interrupeisn de las operaciones de la jan22 Emplazamiento y proteceidn de equipos Instalaciones de Los equipos deben situarse 0 protegerse de forma que se reduzcan los Fesgos de las amenazas 9 los Flesgos ambientales asi como las oportie| nidades de que se produzean accesos no autorizados. [conerot Los equipos deben estar protesidos contra fallos de alimentacién y| Jotras valteraciones causadas por fallos en. las instalaciones "de suministro,