INSTITUTO URUGUAYO = UNIT-ISONEC DE NORMAS TECNICAS 27001:2013 Adopeién UNIT ‘Octubre 2013, Edicion 2013-10-15 SS Tecnologia de la informacion - Técnicas de seguridad - Sistemas de Gestion de la seguridad de la informacion - Requisitos (ISONEC 270012013, 1DT) Information technology. Secuniy fochniques. Management Systems information secunty. Requirements Technologies de I'information. Techniques de sécurité. Systemes do tion de securité de l'information. exigences Numero de referencia UNIT-ISOMEC 27001:2013| INSTITUTO URUGUAYO DE NORMAS TECNICAS ha adoptade en Octubre de 2013 la Norma Internacional ISOMEC 27001 2013 ‘come Norma: UNIT-ISOMEC 27001:2013; Tecnologia de la informacion. ‘Técnicas de seguridad. Sistemas de Gestion de la seguridad de a informacién. Requisitos El texto de esta norma UNIT-ISO/IEC corresponde a la traduccién idéntica de la Norma Internacional sin modificaciones Esta norma anula y sustituye a UNITASO/IEC 27001:2008 A los efectos de le aplicacién de esia Norma UNIT-ISO. las referencias normativas de fa Norma ISO original se ajustan a las indicadas en la siguiente tabla Referencia original SO ~Seapiica [isonec 270 UNITISOREC 2 iguiente tabla se indica la correspondencia entre la En la ia ISOIIEC y documentos editados por UNIT Bibliografia de la nor Bibliografia ISOMEC Bocumentos UNIT SO IEC 270022013 UNIT ISO IEC 27002:2013, (on preparacién) UNIT ISO IEC 27003 UNIT ISO IEC 27004 INIT ISO IEC 27005 UNIT-ISO 31000 2008 (on preparacion) NORMA UNIT-SOIEC: Norma UNIT. que recoge en fama intagraelteata dela Norma Internacional ISOVNEC correspondents Yen la que las modiicacanes nacionsles,cuanda las hay, aparecen en la caratula en NOTAS UNIT a pie de pagina © en Seaxce naccnales A los elactos de la apleacion de las nowmas UNITISONEC, deberd considerase el contenido de Ia Norma Internacional ‘conjuniamente can ls mediicacenes naganales ate we z : P i} Ay DOCUMENTO PROTEGIDO ROR eek IE AUTOR (COPYRIGHT) OuNT 2019 : 180 2013 Tots ox Gavan sent, trun pave do et pian unde serous oulzada on cae oma 9 por medio alguno, elactrénice 0 macérico, ncuyendoflocopies: mice; sho permiso escito de Insti Uguaye Se Normas Tecricas (UNIT) en su alas erepreuentate eatin 98 a}S0 en Uruguay, o pola propa 'SO. unr iSO copyright tice Plaza independenese 812 piso 2CP 17°00, Montevileo Case potala 56 CH-1211 Geneva 20 Tel + $96 2601 2048 Fax * 898 2002 158% Tal 4122749 0111 Fax +41 22 74909 47 UNLIeo@uni org wy ~ vin unt ara ‘Sopunai@iso 1a ~ ven 0 oraindice Prefacio . 0 Introduccién... 0.1 Genoralidades .. 0.2 Compatibilidad con otras normas del sistema de gestion.. 1. OBJETO....... 2. REFERENCIAS NORMATIVAS 3. TERMINOS Y DEFINIGIONES 4, CONTEXTO DE LA ORGANIZACION. 4.1 Comprender la organizacién y su contexto .. 4.2 Comprender las necesidades y oxpectativas de las partes interesadas.. 4.3 Determinar el alcance del sistema de gestion de la seguridad de la informacién.......2 4.4 — Sistema de gestion de la seguridad de la informacién. 5. LIDERAZGO..... 5.1 Liderazgo y compromiso.. 5.2 Politica 5.3 Roles, responsabilidades y autoridades organizacionales 6. PLANIFICACION. 6.1 Acciones para hacer frente a los riesgos y oportunidades. 6.2 Objetivos de seg prin para alcanzarlos, 2 7. SOPORTE 7A Recursos. 7.2 Competencia. 7.3 Tomade conciencia 7.4 Comunicacién .. 7.5 Informacién documentad 8. OPERACION. 84 Planificacién y control operacional ...8.2 Evaluacién de riesgos de seguridad de la informacién ... 8.3 Tratamiento de riesgos de seguridad de la informacion. 9. EVALUACION DEL DESEMPENO . 9.4 Seguimiento, medici6n, analisis y evaluacién .. 9.2 Auditoria interna... - i 9 9.3. Revisién por la direccién : 40 10. MEJORA. so 10.1 No conformidades y acciones correctivas . 10.2. Mejora continua. i ANEXO A ce sessee BIBLIOGRAFIA.. INFORME CORRESPONDIENTE ALA NORMA UNIT-ISOIIEC 27001:2013.. [RangPrefacio 1SO (Organzacién Internacional de Normalizacion) e IEC (Comisién Electrotécnica Intemacional) constituyen el sistema especializado para la normalizacién a nivel mundial. Los organismos nacionales miembros de ISO o de IEC participan en el desarrollo de Normas Internacionales a través de los comités técnicos establecidos por las organizaciones respectivas para realizar acuerdos en los campos especificos de la actividad técnica. Los comités técnicos de ISO ¢ IEC colaboran en los campos de interés mutuos. Otras organizaciones _intemacionales, gubernamentales y no gubernamentales, en colaboracién con ISO @ IEC, también toman pane en estos trabajos. En el campo de la tecnologia de la informacién, ISO e IEC han establecido un comité técnico conjunto, ISO/IEC JTC 1 Las Normas Internacionales se redactan de acuerdo con las reglas establecidas en la Parte 2 de las Directivas ISC/EC La tarea principal ce los comités técnicos es elaborar Normas Internacionales. Los proyectos de Narmas Internacionales adoptados por los comités técnicos se envian a los organismos miembros. ara su votacién. La publicacién como Norma Internacional requiere la aprobacion de al menos el 75% de los organismos miembros con derecho @ voto. Se llama la atencién sobre la posibilidad de que algunos elementos de este documento pueden estar sujetos a derechos de patente. [SO e IEC no se hacen responsables por la identificacién de cualquiera o de todos los derechos de patente ISONIEC 27001 fue preparada por el Comité Técnico Conjunto ISONEC JTC 1, Tecnologia de fa informacion, Subcomité SC 27, Técnicas de seguridad. Esta segunda edicion sustituye y reemplaza la primer edicién (ISO/IEC 27001:2008), que ha sido técnicamente revisada SUERTE 0G0 No ES 045, £4 Oa Soria Wo avTOnuZADAO Introduccion 0.1 Generalidades Esta Norma ha sido preparada para proporcionar requisitos a fin de estabiecer, implantar, mantener y mejorar continuamente un sistema de gestién de la seguridad de la informacion. La adopcion de un sistema de gestion de la seguridad de la informacion es una decision estrategica para una organizacion. El establecimiento y la implantacién de un sistema de gestion de la Seguridad de [a informacion de una organizacién son influenciados por las necesidades y los objetivos de Ia organizacion, los requisitos de seguridad, los procesos organizacionales utiizados y el tamafio y la estructura de la organizacién. Se espera que todos estos factores influyentes cambien con el tiempo El sistema de gestion de la seguridad de la informacién preserva la confidencialidad, ia integridad y la disponibilidad de la informacién, mediante la aplicacién de un proceso de gestién de riesgos y Proporcicna confianza a las partes interesadas que los riesgos son gestionados adecuadamente. Es importante que el sistema de gestion de la seguridad de la informacion sea parte de y se encuentre integrado con los procesos de ta organizacion y con la estructura general de gestion, y que la seguridad de la informacién sea considerada en el disetio de los procesos y en las sistemas y controles de informacion Se espera que la implantacion de un sistema de gestion de la seguridad de la informacién se pueda ampliar de acuerdo con las necesidades de la organizacién. Esta Norma puede ser utilizada por partes intemas y externas para evaluar la capacidad de la onganizacién de satistacer los requisitos propios de seguridad de la informacion de la organizacién El orden en el que se presentan los requisitos en esta Norma no refleja su importancia ni implica el orden en que se van a impiantar. Los elementos de la lista son enumerados unicamente para fines de referencia La Norma ISO/IEC 27000 describe la vision general y el vocabulario de los sistemas de gestion de seguridad de la informacion, haciendo referencia a la familia de normas de los sistemas de gestion de seguridad de la informacién (incluyendo a las Normas ISO/IEC 27003, ISO/IEC 27004 e ISO/IEC 27005), con terminos y definiciones relacionados 0.2 Compatibilidad con otras normas del sistajiia de gestion ‘ Esta Norma aplica la estructura de altel ios tialde de sub-apartados idénticos, los textos, idénticos, los términos comunes, y las dBi jasicay definidas en el Anexo SL de la Parte 1 de las Directivas ISO/IEC det Supfemne jidado) de ISO, y por Io tanto mantiene la compa con crs noxmae do temas ERO de han adopted! Arex SL Este enfoque comin definido en el An&xSiSL va a sertii para aquellas organizaciones que elian foperar un dnico sistema de gestion eS cumpla’ con 7 requisitos de dos © mas normas del 7 {este Loce Hors sistema de gestién SYSSTE LOGO Wo EsIN 1 a Instituto UruGuayo be Ne UNIT-ISOMEC 27001:2013 TECNOLOGIA DE LA INFORMACION - TECNICAS DE SEGURIDAD - SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION - REQUISITOS 1- OBJETO Esta Norma especifica los requisitos para establecer, implantar, mantener y mejorar continuamente_un sistema de gestion de la seguridad de la informacién en el contexto de la organizacién, Esta Norma también incluye los requisitos para la evaluacion y el tratamiento de Tiesgos de seguridad de la informacion adaptados a las necesidades de la organizacion. Los Fequisitos establecidos en esta Norma son genéricos y se pretende que sean aplicables a todas las organizaciones, sin importar su tipo, tamafio 0 naturaleza. No es aceptable la exclusion de cualquiera de los requisitos especificados en los Capitulos 4 al 10 cuando una organizacion declara conformidad con la presente Norma. 2. REFERENCIAS NORMATIVAS. Los siguientes documentos, en su totalidad 0 en parte, estén referenciados normativamente en este documento y son incispensables para su aplicacion. Para las referencias fechadas, sdlo se aplica la edicién citada. Para las referencias sin fecha, se aplica la ultima edicion del documento referenciado (incluyendo cualquier modificacién), ISO/IEC 27000, Tecnologia de la informacién — Técnicas de seguridad — Sistemas de gestion de fa seguridad ge fa informacion — Visién generat eee von » MIN cin ICIONES. Para el propésito de este documentorson coe ess terminos y detnciones dados en la Norma ISO/IEC 27000. pasvsroco nos 4+ CONTEXTODEARORGANIZACION 44 Comprender la organizacién y su contexto Le organizacién debe determinar los asuntos extemos e internos que son relevantes para su propésito y que afectan su capacidad de lograr el (los) resultado (s) deseado (s) de su sistema de gestion de la seguridad de la informacionNOTA: La votermnnacién de esios asuntos se rafiere a establecer el contexte inteme y extemno de ls organizacion, Consiteradc en 6! spartade § 3 dela Norma ISO 31000, Gestion de rasgas — Prinepios y directrices 4.2 — Comprender las necosidades y expectativas de las partes interesadas nizacion debe determinar: 2) Las partes interesadas que son relevantes para el sistema de gestién de la seguridad de la informacion, wists de estas partes interesadas respecto de la seguridad de la informacion sitos de las paves interesadas pueden inclu raquisitos legalas y reglamentarios y obligaciones 4.3. Determinar el alcance del sistema de gestion de la seguridad de la informacién La organizacion debe determinar los limites y la aplicabilidad del sistema de gestion de la seguridad de la informacién para establecer su alcance. Al determinar este alcance, la organizacién debe considerar a} los problemas externos e intemios mencionados en 4.1 b) [os requisitos mencionados en 4.2: y ©) las interfeses y dependencias entre actividades desempefiadas por la organizacién y aquellas que son desempefiadas por otras organizaciones. El alcance debe estar disponible como informacién documentada. 4.4 Sistema de gestidn de la seguridad de la informacion La organizacion debe establecer, implantar, mantener y mejorar continuamente su sistema de gestion de |2 seguridad de la informacion, de acuerdo con los requisitos de esta Norma, 5- LIDERAZGO 5.1 Liderazgo y compromiso La alta direccion debe demostrar su EUR niso con respecto al sistema de gestién de la seguridad de la informacion: a) asequrando que la politica d Matec ifolmacion y los objetivos de seguridad de la informacion se encuentran co *epmpatibies con la direccion estrategica de la organizacién; b) asegurando la integracion de 1 ie lusts daAstema de gestion de la seguridad de ta informacién en los procesos dé'la organizacianes ROJO, ES UNA coma c) asegurando que los recursos hecSBAHOSBENBtel-cistema de gestion de la seguridad de la informacion se encuentren disponibles; ) comunicando la importancia de la gestién efectiva de la seguridad de la informacién y de ‘cumplir con los requisitos del sistema de gestion de la seguridad de la informacién; ©) asegurando que el sistema de gestion de la seguridad de la informacion alcance sus resultados previstos;unirasones 27001-2013 f) dirigiendo y apoyando a que las personas contribuyan con la efectividad del sistema de gestion de la seguridad de la informacién 9) promoviendo la mejora continua, y hn) apoyando otres roles de gestion relevantes para demosirar su lderazgo, como compete a sus 4reas de responsabilidad 5.2 Politica La alta direccién debe establecer una politica de seguridad de la informacion que a) sea adecuada al proposito de la organizacién: b) incluya los objetivos de seguridad de (a informacién (ver 6.2) © proporcione el marco para establecer los objetivos de seguridad de la informacion, ©) incluya un compromiso para cumplir con los requisites aplicables relacionados con la seguridad de la informacion; ¢ ) incluya un compromiso de mejora continua del sistema de gestion de la seguridad de la informacién La politica de seguridad de informacion debe: @) estar disponible come informacién documentada; f)_ ser comunicada dentro de ia organizacion; y g) estar a disposicién de las partes interesadas, seguin coresponda 5.3 Roles, responsabilidades y autoridades organizacionales La alta direccion debe asegurar que las responsabilidades y autoridades de los roles relevantes Para la seguridad de la informacion estén asignadas y comunicadas. La alta direccién debe asignar la responsabilidad y autoridad para a) garentizar que el sistema de gestion de la seguridad de la informacién cumple con los requisitos de esta Norma; e b) informar a la alta direccién sobre ef sevenfing del sistema de gestion de la seguridad de Ia informacion is np NOTA: La ata deccntmbnsund agnaeaf Elles fjords para interna sobre! desempoto del Soma de onion dots eyusande ware seta, % és, Sy éumtTsonEC 27908 2018 6- PLANIFICACION 6.1 Acciones para ha 6.4.1 Generalidades or frente a los riesgos y oportunidades Al planifcer el sistema stién de la seguridad de la informacién, la organizacién debe Considerar fos aspectos mencionados en 4.1 y los requisites referidos en 42 y determinar los riesgos y oporiunidades que necesitan ser gestionades para 3) asequrar que el sistema de gestiOn de la seguridad de la informacién puede alcanzar los resultados previstos b) prevenir, o reducir (0s efectos no deseados, y ©} lograr la mejora continua La organwzacién debe planificar ‘ones para gestionar estos rlesgos y oportunidades, y 1) integrar e impiantar las acciones a sus procesos del sistema de gestion de la seguridad de la informacion; y evaluar la efectividad de estas acciones. 6.1.2 Evaluacién de riesgos de seguridad de la informacion La organizacion deve definir y aplicar un proceso de evaluacién de riesgos de seguridad de la informacion que a) establezca y mantenga Jos criterios de riesgos de seguridad de la informacion que incluyen 1) los eriterios de aceptacién de riesgos; y 2) los criterios para la realizacién de las evaluaciones de los riesgos de seguridad de la informacién, b) garantice que las reiteradas, Guallldbres de Jos riesgos produzcan resultados Consistentes, validos y compardh iBed 2 c}_identifique los riesgos de seguri may 1) ape el Froceso de Way Sict: de seguridad de la informacién para identificar riescos asociaddg Ycon la. pérdida de confidencialidad, integridad y Gisponibilidad ce la informacion, dentro, déi-aicance del sistema de\ gestion de la Sogundad dela ntormaceén| Slag se a al 2)_ identifique 2 los propietarios del riesgo; 4) analice los riesgos de seguridad de la informacién 41) evale las consecuencias potenciales que se producirian si los riesgos identificados en 6.1.2.0) 1) legaran a materializarse;unit asonec 27001:2013 2) _evallie Ia probabilidad realista de ocurrencia de los riesgos identificados en 612e) 1h y 3) determine los niveles de riesgo ©}, valore los riesgos de seguridad de la informacion 1) compare los resultados de los analisis de riesgo con los eriterios de riesgos establecidos en 6.1.2 a): y 2) _ priorice los riesgos analizados para el tratamiento de riesgos. La organizacion debe conservar informacién documentada sobre el proceso de evaluacion de Tiesgos de seguridad de informacion 6.1.3 Tratamiento de riesgos de seguridad de la informacién La organizacion debe detinir y aplicar un proceso de tratamiento de nesgos de seguridad de la informacién para @) Seleccionar las opciones adecuadas de tratamiento de riesgo de seguridad de la informacién, teniendo en cuenta los resultados de la evaluacion de riesgos; b) determinar todos los controles que sean necesarios para poner en practica las opciones elegidas ce tratamiento de riesgos de seguridad de la informacion: NOTA: Las organizaciones pueden disefarlos controles segun sea necesario, o idenificarls de cualquier fuente ©) comparar los controles determinados en 6.1.3 b) anteriores, con los del Anexo A y verificar ue no se han omitido controles necesarios; NOTA 1 El Anexo A contiene una lista completa de objetvos de control y contfoles. Los usuarios de esta Norma son efardos al Anexo A para garantizar que no se pasen por ato los contrles necesanios NOTA 2 Los obetivs de control son incluidos implictamente en los contrales elegidos. Los objetivos de control y los controls inciuidos en e! Anexo A no son exhaustivos y pueden ser nacasariog objetivas de control y controles asicionales d) Elaborar una Decleracién de Aplicabilidad que contenga los controles necesarios (ver 6.1.3. 5) y ©) y la justificacion de las inclusiones, sean implantados 0 no, y la justificacion de las exclusiones de los controles del Anexo A. 0 DE DS, ©) Formular un plan de tratamiento,deiesgos déxSoguridad de la informaci6n; y Dal 2 a f) Obtener a aprobacién del p: pee esd Vet plan de tratamiento de siesgos de seguridad de la informacién ly ace} 7 Ios, Jiesgos residuales de seguridad de la informacion = 2 % é La organizacién debe conservar la infdrepicion docu fiesgos de seguridad de la informaciO¥-s esrr voce wo ce NOTA: proceso de tratamienioy evaluaci aegHSRUadeundal do a informacion en esta Noma ge elnea con los princes y las avetices genéricas properianadas en la Norma ISO 21000, Gestion de namgos -- Panchos drestrees,Objetivos de seguridad de la informacién y planificacién para alcanzarlos anizacén debe establecer objetivos de seguridad de la informacién en funciones y niveles pertinentes. Los objetivos de seguridad de la informacion deben Ser coherentes con la politica de seguridad de la informacién: b) Ser medibles (mensurables) (si corresponde), Tener en cuenta los requisites aplicables de seguridad de la informacién y los resultados de la evaluacién de riesgos y del tratamiento de riesgos; d) Ser comunicados, y Ser actualizados cuando corresponda, La organizacion debe conservar informacion documentada sobre los objetivos de seguridad de la informacion Al planificar como alcanzar estos abjetivos de seguridad de la informacién, la organizacién debe determinar f) Lo que se va a hacer, @) Qué recursos van a ser necesarios; h) Quién vaa ser responsable; ) Cuando se va a completar; y j) Cémo van a ser evaluados los resultados. 7- SOPORTE 7.4 Recursos La organizacion debe determinar y proporcionales revursos necesrios para el eatabecimianto, la implantacién, el mantenimiento y la mig cantifjua del sistema de gestién de la seguridad de 7.2 Competencia La organizacién debe ° a) Determinar la competencia nebeShria de la(s} pérsona(s) que realiza el trabajo bajo su control, que afecta el desemy noua #3 Gna eo , ) Asegurarse que estas personas isenvoompetenteh en cuanto a educacién, formacién 0 experiencia apropiada; ©) Cuando corresponda, adoptar acciones para adquirir las competencias necesarias, y evaluar la eficacia de ias acciones adoptadas; y d) Conservar la informacién documentada adecuada como evidencia de la competenciaUNIT ASOnEC 27001:2013 NOTA: Las acciones aplcates pueden incur, por 2jemple, la prowsion de capacitacion, la tutoria de, o fa reasignacion de empleados actuaies, ola contratacion de personas competontas 7.3. Toma de conciencia Las personas que real i trabajos bajo el control de la organizacién, deben tener en cuenta 2) la politica de seguridad de la informacion, 4) su contribucién a la eficacia del sistema de gestién de la seguridad de ta informacion, incluyendo los beneficios de un mejor desemperio de la seguridad de la informacion; y ©) les consecuencias de que no cumpian con les requisitos del sistema de gestion de la seguridad de la informacién 7.4 Comunicacion La organizacin debe determinar la necesidad de las comunicaciones intemas y extemnas pertinentes para el sistema de gestion de la seguridad de la informacién, incluyende a) qué comunicar; b) cuando comunicar; ©) con quién comunicarse, 4) quien debe comunicar, €) los procesos mediante los cuales se va a efectuar la comunicacion 7.6 Informacién documentada 7.8.1 Generalidades El sistema de gestion de la seguridad de la informacion de la organizacién debe incluir: a) informacién documentada requerida por la presente Norma; ») informacién documentada determinada por la organizacion como necesaria para la eficacia Gel sistema de gestion de la seguridad de la informacion NOTA: £1 clsnce do a ntrmacion decurentada par un ssuma de gestn de a seguridad eI inermacin puese varia de una organizacion» ola dobido pe Zgon Phags 1). eltamano deta ongavicacin y sus ipok wor roduc y soviion ‘s ~ 3). la competencia de as personas. 7.5.2 Creaci6n y actualizacion = Al crear y actualizar informacion documpéiiis tat eeorGarik ) Ia identificacion y la descripcién (por ejemplo, fitulo, fecha, autor o numero de referencia); én debe garantizar: b) el formato (por ejemplo, el idioma, la versi6n de software, los graficos) y los medios (papel, electrénico); y ©) la revision y aprobacién para la convenieneia y suficiencia,7.5.3 Control de informacién documentada La informacion documentada requerida por el sistema de gestion de la seguridad de Ia informacion y por la preserte Norma debe ser controlada para asegurar 2) que se encusntra disponible para su uso, donde y cuando sea necesaria; y b) que euentra protegida adecuadamente (por ejemplo, de la pérdida de confidencialidad, del uso indebido o de la pérdida de integricad) Para el control de la informacién documentada, la organizacién debe abordar las siguientes actividades, segin corresponda ©) la distribuctén, el acceso, la recuperacién y el uso, 4) el almacenamiento y la conservacién, inoluyendo la preservacién de la legibilidad: ©) el control de los cambios (por ejemplo, control de las versiones): y ) la retencién y la disposicién La informacién documentada de origen extemo, determinada por la organizacién como necesaria para la planiticacion y la operacion del sisterna de gestion de la seguridad de [a informacion, debe Ser identificada y controleda, Seguin corresponda NOTA: El accaso implica uns decision sobre et perso para ver solo Ia informacion documentada, © el pecmiso y la ‘utondad para ver y cambiar la informacion documentada, ete 8- OPERACION 8.1. Planificacién y control operacional La organizacion debe planificar, implantar y controlar los procesos necesarios para cumplir con los requisites de seguridad ¢e la informacion, y para implantar las acciones determinadas en 6.1. La erganizacion debe poner en préctica planes para alcanzar los objetivos de seguridad de la informacién determinados en 6 2. La organizacién debe mantener la informacion documentada en la medida necesaria para tener confianza en que los procesas se han teasers 4 510 Di | revistoSry Yevisar las consecuencias de los cambios gOS Ppables efectos adversce, segin see La organizacion debe controlar los cat no deseados, adoptando medidas /pdra necesario. ° La_organizacion debe garantizar yde lol ag /suoconttados son determinadosy conoatos CZ 8.2 Evaluacién de riesgos de segue Mernformacion La organizacién debe llevar a cabo levéiiAcibHAS*8é_riésgo de seguridad de la informacion a intervalos planificados o cuando ocurren o se proponen cambios significativos, teniendo en cuenta los criterios establecidos en 6.1.2 a) La organizacion debe conservar Ia informacién documentada de las evaluaciones de riesgo de seguridad de Ia informacion,unitsonee 27001:2013 8.3 Tratamiento de riesgos de seguridad de la informa {La organizacién debe impiantar el plan de tratamiento de rlesgos de seguridad de Ia informacion n La organizacién debe conservar la informacion documentada de los resultades del tratamiento de Tiesgos de seguridad de ia informacion 9- EVALUACION DEL DESEMPENO. 81 Seguimiento, medicién, andlisis y evaluacion La organizacion debe evaluar el desemperio de la seguridad de la informacion y la eficacia del sistema de gestidn de la seguridad de la informacion La organizacién debe determinar a) a que se debe hacer seguimiento y mediciones, incluyendo los procesos y cantroles de seguridad de la informacion; b) los métodos para el seguimiento, la medicién, el andlisis y la evaluacién, seain corresponda, para garantizar los resultados valides! NOTA: Los métodos seleccionades deben oroducirresulladas comparables y reproducibles para ser considerados ©) cuando se van a llevar @ cabo el seguimiento y la medicién; 4) quien debe realizar el seguimiento y medir, ©) cuando van a ser evaluados y analizados los resultados del seguimiento y ia medicién; y f) quién debe analizar y evaluar esos resultados La organizacion debe conservar la informacién documentada apropiada como evidencia de los resultados del seguimiento y la medicion. 9.2 Auditoria interna La organizacién debe llevar a cabo auditorias internas a intervalos planificados para proporcionar Informacion acerca de sie! sistema de SOT res de la informacion: EN pn @ Bes sistema de gestion de la seguridad de . ‘ i % s/ 2) los requisites de la present’ tixme; " A b)_@s implementado y mantenido Pfcagragaten wo a2 a) cumple con: 41) los requisitos propios de la org la informacion; y \ La organizacion debe: ©) planificar, establecer, implantar y mantener un programa de auditoria, incluyendo la frecuencia, los métodos, las responsabilidades, los requisitos de planificacion y la presentacion de informes; 4) definir los criterios y el aleance de cada auditoria para cada auditoria;selezcionar los auditores y realizar auditorias que gavanticen la objetividad y la rarcialidad del proceso de auditoria, f) garantizar que los resultados de las auditorias sean informados a la direcci6n pertinente; y 9) conservar Ia informacion documentada como evidencia del programa de auditoria y los resultados de ia auditoria 9.3 Revisién por la direccién Le alta direccién debe revisar el sistema de gestion de la seguridad de la informacion de la organizacion a intervalos planificados para garantizar su conveniencia, suficiencia y eficacia La revision por la direccién debe incluir la consideracién de a) el estado de las acciones de revisiones previas por la direccion, b) los cambios en los acuntos extemnos @ interncs que son pertinentes para el sistema de gestion de la seguridad de la informacién, ©) la retroalimentacién sobre el desempefio de la seguridad de la informacién, incluyendo las tendencias en: 1) las no conformidades y las acciones correctivas; 2) los resultados del seguimiento y la medicion 3) los resultados de la auditoria: y 4) el cumplimiento de los objetivos de seguridad de la informacion; d) retroalimentacion de las partes interesadas; €) resultados de la evaluacién de riesgos y estado del plan de tratamiento de riesgos; y f)_oportunidades para la mejora continua Los resultados de la revisién por la direccién deben incluir a las decisiones relacionadas con las ‘oportunidades de mejora continua y cualquier necesidad de cambios para el sistema de gestion de la seguridad de la informacion La organizacién debe conservar la informagian docymentada como evidencia de los resultados de las revisiones por la direccién, = a 10.1 No conformidadies y acciones torrectivas, < Cuando se produce una no conformianaiebctaaRlBAder febe: a) reaccionar a la no conformidad, y, segun corresponda 1) adoptar medidas para controlar y corregirla; y 2) haver frente a las consecuencias; 10UNITISONEC 27001:2019 b) evaluar la necesidad de adoptar medidas para eliminar las causas de la no conformidad a fin de que no se repita u ocurra en otros lugares. 1) revisando la no conformidad: 2) determinando las causas de la no conformidad; y 3) determinande si existen o podrian acurrir no conformidades similares, ©) implantar jas medidas oportunas ¢) revisar la eficacia de las acciones correctivas adoptadas; y ©) realizar cambios al sistema de gestién de la seguridad de la informacion, si es necesario Las acciones correctivas deben ser apropiadas a los efectos de las no conformidades encontradas, La organizacién debe conservar la informacion documentada como evidencia de 1) la naturaleza de las no conformidades y de cualquier accién adoptada posteriormante y 9) 108 resultados de cualquier accion corectiva 10.2 Mejora co La organizacion debe mejorar continuamente la conveniencia, suficiencia y eficacia del sistema de gestion de la seguridad de la informacién. SSO AUTORIEADA “UNIT-ISONE: 27001:2013 ANEXO A (Normative) OBJETIVOS DE CONTROL DE REFERENCIA Y CONTROLES Los objetivos de control y los controles indicados en la Tabla A.1 se derivan directamente de y se alinean con jos listados en la Norma ISOMEC 27002 Capitulos § al 18 y se van a utilzar en el contexto del apartado 6.1.3, Tabla A.1 — Objetives de control y controtes Objetivo: Proporci ;cuerdo con los requisites del [AS.14 'A.6 Politicas de sequridad de la inform A.6.1 Orientaci6n de la direccién para la seguridad de la inf i orientacién y apoyo de la direccion para la seguridad de la informacién de | | negoaio y leyes pertinentes _ Polticas para a seguridad de | fa informacion “Contror La direcci6n debe detinir y aprobar un conjunto de politicas para la seguridad de la informacion y éstas se deben publicar y comunicar a todos los empleados y a las partes externas pertinentes. . [ABT Revision de las politicas para la seguridad de la informacion Control Las poltticas de seguridad de la informacién deben ser revisadas a intervaios, planificados o si courren cambios significativos para garantizar su continua Conveniencia, suficiencia y eficacia A.6.1 Organizacion interna A.6 Organizacién de la seguridad de la informacién Objetiva: Establecer un marco de gestion pa inca yconiclar [a implemeniacién yf operecn de la seguridad de la informacién dentro dé Ig-orgahizacion fact “Fi y epee lidades 1acion, Control Todas las responsabilidades deben ser definidas y asignadas. Agi2 Eo ee es (Bie AASBTES ER BG Control Las funciones en conflicto y las areas de responsabilidad deben ser segregadas para reducir las oportunidades de modificaci6n no autorizada, no intencional o por mal uso de los activos de ia organizacién. [Aet3 Contacto con autoridades ‘Control Deben mantenerse contactos. apropiados con las autoridades relevantes. 2UNIT-ISoMEC 27001-2013, A.8.1 Responsabilidad por los activos [ Objetivo. Identiicar los activas de la organizaci y definir las responsabilidades de proteccion J inventario de actives ] Controf | Deben ser identificados fos actives asociados con los recursos de procesamiento de informaci6n y con la informacion y se debe ‘establecer y mantener un - inventario de estos activos. ROt2 Propiedad de los actives Control Los activos mantenidos en el inventario deben contar con un | __| propietario. Controt Deben identificarse, | documentarse e implantarse las reglas para el uso aceptable de la informacion y los activos asociados con la informacion y con las | | instalaciones de Devolucian de los actives Todos los empleados y los usuarios de partes externas deben devolver todos los actives de la organizacién en SU poder al termino de su ‘empleo, contrato 0 acuerdo, ‘Objetive: Garantizar que la informaci6n reciba un nivel adecuado de proteccién de acuerdo con su | importancia para la organizacion. = AB21 Clasiicacion de ia gfarmacion | Control La informacion debe ser clasificada en funcién de los requisitos legales, del vaior, de la crticidad y de la sensibilidad a la divulgacién no autorizada = a _|_ \¥%, ala modificacién. AB22 Eliquetddo de tainifopiiacion | Control Taiareiauewe oe Debe desarrollarse e oso Sava coma implantarse un conjunto adecuado de procedimientos para el etiquetado de la informacion de acuerdo con el esquema de clasificacién de la informacién, adoptado por la ‘organizacion 15UNTT-ISONEG 27001291 AB23 | Gestion de actives A.8.3 Manejo de medios Procedimientos para ia gestion de activos deben ser desarrollados ¢ implementados | de acuerdo con el esquema de la clasificacion de la informacion adoptado por la J organizacién. ‘Objetivo Prevenir a divulgacion no autorizada, la modificacon, la fa informacion almacenada en los medios eliminacién ola destruccion de AB3t ] Gestion de los medios | Contror { Deven imptantarse | procedimientos para la gestion de los medios removibles de acuerdo con el esquema de clasificacion adoptado por la | organizacion removibles Disposicién de los medios Los medios deben ser dispuestos cuando ya no son necesarios, utilizando procedimientos formales. Transferencia de medios fisicos Los medios que contienen informacién deben ser protegidos contra el acceso no autorizado, e! mal uso 0 la corrupcién durante el ,gocios del control de acceso [Objetivo: “| acceso a la informaci6n y alas instalaciones dk je procesamiento de informacion Agt4 Politica de control de acceso Logs 0E 5p a oN Una politica de control de acceso debe ser establecida, documentada y revisada en base a los requisitos de negocios y de la seguridad de fa informacion AQT bso, gs Dna come Ho 'auoweZann Los usuarios s6lo deben disponer de acceso a las redes yaa los servicios de red a los que han sido autorizados especificamente para su uso, 16| AS.2 Gestion de acceso del usuari UNITusonec 27001:2013 | Objelive. Garantizar el acceso autorizado a los UStIAnOS y Evitar el acceso no autorizado a los | sistemas y servicios, Ag21 [ Registro y baja de usuarios | Controf Un procese formal de registro y baja de usuarios debe ser Implementado para permit la asignacién de derechos de acceso. Provisién de acceso a los usuarios Control Debe implantarse un procese de provision de acceso de usuario para asignar o revocar los derechos de acceso para todos los tipos de usuarios de todos les sistemas y servicios. Gestién de derechos de acceso privlegiados Control La asignacién y Ia utilizacién de los derechos de acceso privilegiados deben ser festringidas y controladas. Gestién de informacion de autenticacién secreta de los usuarios Control La asignacion de informacion de autenticacién secreta debe ser controlada a través de un proceso de gestion formal AQ25 Revision de los derechos de Control acceso de los usuarios Los propietarios de los actives deben revisar los derechos de acceso de los usuarios a |__ intervalos planificados. AG26 Remocién o ajuste de los ‘Control derechos de acceso Los derechos de acceso de todos los empleados y de los usuarios externos a la informacién y a las instalaciones de procesamiento de la Informacion deben ser removidos luego de la finalizacién del empleo, contrato 0 acuerdo, 0 ser ajustados al cambio. ‘A9.3 Responsal idadios del us autenticacion. (Objetivo: Hacer que los usuarios seai "Tegpegalesste salvaguardar su informacion oe Agi Use de la informacién de autenticacion secreta Control Los usuarios deben seguir las practicas de la organizacion en €l uso de la informacion de autenticacion secreta. 7| A94 Control de acceso del sistema y la aplicacion a Obeetivo. Prevenir el acceso no autorizado alos sistemas y las aplicaciones Agd1 | Restriccién de acceso ala ‘| Control informacion El acceso a la informacion y a las funciones de aplicacion del sistema debe ser restringido de acuerdo con la politica de _ “control de acceso, ABA2 Procedimientos seguros de | Controf inicio de sesién (log on) Cuando lo requiera la politica de control de acceso, el ‘acceso alos sistemas y | | aplicaciones debe ser \ | controlado por un procedimiento seguro de inicio | _ - de sesion (log on) Sistema de gestion de Control | contrasefia Los sistemas de gestion de | contrasefias deben ser interactivos y deben garantizar contrasefias de calidad de programas utiitaios | Controf Privilegiados Eluso de programas utiltarios que podria ser capaz de anular los controles del sistema y de o|- las aplicaciones debe ser | restringido y estrechamente 7 controtado. Koas Control de acceso del cédigo | Control fuente del programa Elacceso al cédigo fuente det programa debe ser restringido, ‘A.10 Criptogratia ‘A.10.1 Controles criptograficos Objetivo: Garantizar el uso adecuado y eficaz de la criptografia para proteger la confidencialidad, Ia autenticidad 9 Ia integridad de Ia informacion. A10.1.4 Paltca sobre uso defor | Cont contislg ot ROSTéfiBog Debe desarrollarse e implantarse una politica sobre 3 Nn) el uso de los controies f criptogréficos para proteger la - informacion. Aq012 cating de lal ig Controf Debe desarroliarse e | rs ventnos wo implantarse una politica sobre o0, Es Una Coma el uso, proteccién y duracion de las claves criptogréficas a través de todo su ciclo de vida 18A.A1 Seguridad fisica y del ambiente A.11.1 Areas seguras ‘Objetivo: Evitar accesos fisicos no autorizados, dafios e interferencias contra las instalaciones de | procesamiento de informacion fa informacion UNITASONEC 27001-2013 111 Perimetvo de seguridad Wisc Deben definirse los perimetios | de seguridad y ser utlizados | para proteger las areas que contienen informacion sensible o critica e instalaciones de procesamiento de informacion Au12 Toniroles de acceso fisico Controf Las areas seguras deben estar protegidas por controles de entrada apropiados que aseguren que solo se permite el acceso de personal autorizado. '] Seguridad de oficinas, despachos € instalaciones Control Debe disefiarse y aplicarse seguridad fisica a oficinas despachos e instalaciones. Proteccin contra amenazas: externas y del ambiente Control Debe diseftarse y aplicarse proteccién fisica contra desastres naturales, ataques maliciosos o accidentes. ANTS | El trabajo en las areas seguras | Contror Deben disefiarse y aplicarse procedimientos para trabajar en areas seguras. ‘Areas de enirega y de carga Control Los puntos de acceso tales como areas de entrega y de ‘carga y otros puntos donde las. personas no autorizadas puedan acceder a las instalaciones deben ser JNO PERN controlados y, si es posible, /s N aislados de (as instalaciones /S jn & | de procesamiento de fe 4 informacion para evitar el L i \e4 8 acceso no auterizado, ‘AAtZEquipamiento %, = Objetivo; Prevenir perdidas, dari 9s, hultot”o comprdheler os aclvos, ast como la interrupcion de las operaciones de la organizacion._ ["srneve ace u ANN24 Ubipaeigerpatsesion Gel | Control equpamiento———— El equipamiento debe estar ubicado y ser protegido para reducir los riesgos cocasionados por amenazas y peligros ambientales, y oportunidades de acceso no autorizado. 19Servicios de apoyo ] Controf Bebe protegerse el equipamiento contra posibles fallas en el suministro de energia y otras interrupciones causadas por falias en los servicios de apoyo | Seguridad en a cabeads Control El cableado de energia y de telecomunicaciones que transporta datos 0 servicios de informacion de apoyo deben ser protegidos de la interceptacién, la interferencia AMZ _ _ alos dafios AYA Mantenimiento dat Contror equipamiento El equipamiento debe recibir el ‘mantenimiento correcto para asegurar su permanente _ : cssponibilidad e integacad AIa5 Remocibn de os actvos Control Los equipamientos, Ia informacion o el software no se deben sacar fuera de las instalaciones de la organizacién sin autorizacion previa. Seguridad del equipamiento y de los activos fuera de las instalaciones de la organizacién Controf Deben asegurarse todo los activos fuera de los locales de le organizacién, teniendo en cuenta los diferentes riesgos Ge trabajar fuera de las instalaciones de la organizacion ‘Seguridad en la reutiizacién o Control Todo aquel equipamiento que contenga medios de almacenamiento debe revisarse para asegurar que todos los datos sensibles y software licenciado se hayan removido 0 se haya sobrescrito con seguridad antes de su disposicién o reutilizacion Ati28 Equipodeusuricdesatendido era ToLeaon Controf Los usuarios deben asegurarse de que alos equipos desatendidos se les a proteccién adecuada. 20UNITASO) Ai728 Politica de escritori y pantalla | Contro? limpios Debe adoptarse una politica de escritorio limpio para papeles y | medios de almacenamiento | removibles y una politica de | pantalla limpia para las | instalaciones de | procesamiento de informacién | L ‘A.12 Seguridad de las operaciones : "A.12.1 Procedimientos y responsabilidades operacionales - Objetivo: Asegurar el funcionamiento correcto y seguro de las instalaciones de procesamiento de informacién A1214 Procedimientos documentados | Control de operacion Los procedimientos de operacién deben documentarse, mantenerse y ponerse a disposicion de todos oo los usuarios que los necesiten._ A212 Gestion de cambios Los cambios en fa organizacién, los procesos del negocio, las instalaciones de | procesamiento de informacion y los sistemas que afectan la seguridad de la informacién, | deben ser controlados. javats Gestion de Ta capacidad Controt Debe supervisarse y adaptarse | el uso de recursos, asi como proyecciones de los futuros requisitos de capacidad para asegurar el desempefio requerido del sistema Atala Separacion de los recursos | Control para desarrollo, prueba y Los recursos para el ambientes operacionales desarrollo, prueba y ambientes operacionales deben separarse para reducit los riesgos de acceso no autorizado 0 los cambios en el ambiente operacional, |AAZ2 Proteccién contra el malwale%, Objetivo. Asegurar que la informacion LSS instalacibije8 de procesamiento de informacion estan | protegidas contra el malware. AN224 Conthojes antes eppralivare | Controf Los controles de detecci6on, prevencién, y recuperacion ara proteger contra el ‘malware deben ser implementados, combinados con el conocimiento correspondiente del usuario. 2UNIT-ISOMEC 27001:2013 [AA2.3 Respaldo : — Objetivo ProtecciGn contra la parade de datos — Deben hacerse regularmente | copias de seguridad dela | | informacién y del software y probarse regularmente acorde | con la politica de respaldo. |AA24 Registro y seguimiento [ Objetvo, Registrar los eventos y generar evidencia Ai24t Registros de eventos Coniral Los registros de eventos que | registran actividades del | Usuario, excepciones, fallas y eventos de seguridad de la informacion deben ser producidos, mantenidos y _ revisados reqularmente Proteccién de la informacion | Control de registros (logs) Los medios de registro y la | informacion de registro se | deben proteger contra alteracion y acceso no - - _ autonzado. Registros del administrador y | Control del operador Las actividades del administrador y del operador del sistema se deben registrar y los registros deben ser protegidos y revisados regularmente. Aiea ‘Sincronizacion de relojes Los relojes de todos tos sistemas de procesamiento de informacién pertinente dentro de una organizacién o dominio de seguridad deben estar sincronizados a una sola fuente de referencia de tiempo, A154 Insta|zojon deSbftiare/en los | Control sistema’ operativds Deben implantarse procedimientos para controlar la instalacion de software en los sistemas operatives 22KAZE Gestion de la vulnerabilidad técnica Objelvo. Evitarla explotacion de vuinerabiigades tei fAt264 ] 35 jestion de vulnerabilidades tecnicas Unrraisome 27001-2013, Control Debe obtenerse informacion oportuna acerca de las vuinerabllidades técnicas de los sistemas de informacion, debe evaluarse la exposicion ge [a organizacién a estas wulnerablidades, y deben tomarse las medidas apropiadas para abordar el fesgo asociado. _ Control Deben establecerse © implantarse reglas relativas a la instalacion de software por los usuarios. AA27 Consideraciones de la auditoria de sistemas de inform ~ - cio de las actividades de auditoria en los sistemas operatives. | Controles de auditoria de sistemas de informacion Control Los requisites y las actividades de auditoria que implican la venificacién de los sistemas operatives se deben planificar y acordar cuidadosamente para minimizar las interrupciones en los procesos del negocio, KiB Seguridad de las comunicaciones ‘A.13.1 Gestion de seguridad de la red | procesamiento de informacion de apoyo. ‘Objelivo: Garantizar la proteccion de la informacion en las redes y en sus recursos de A131 Coniroles de la red Control Deben gestionarse y controlarse las redes para proteger Ia informacién en los sistemas y las aplicaciones. Atat2 Control Los mecanismos de seguridad, los niveles de servicio y tos requisitos de gestion de todos los servicios de red deben ser identificados e incluides en los acuerdos de servicios de red, ya sea que estos servicios Sean prestados en la empresa © subcontratados. 23sgacién en las redes iade informacion ntener la Seguridad de la informacion tranal |_cualquier entidad externa. AI324 Politicas y procedimientos de transferencia de informacion Acuerdos sobre la transferencia de informacion Mensajeria electronica sida dentro de fa org: Control Los grupos de servicios de informacion, los usuarios y los sistemas de informacion deben ser segregadas en las redes gacien yeon | | Coniror | Deben establecerse politicas, | | orocedimientos y controles | formales de transferencia, para | proteger la transferencia de informacion a través del uso de todo tipo de medios de comunicacion Control | Los acuerdos deben aborder ta transferencia de informacion | comercial entre la organizacién y las partes externas, Control La informacion involucrada en la mensajeria electronica se debe proteger apropiadamente Acuerdos de confidencialidad one divulgacion ion, desarrollo y mariten 1 Roquisitos de seguridad dd (fs ‘Objetivo. Garantizar que la seguridad de la iff informacion, 2 través de todo el cicio'Yewvida. ES sistemas de informacion que proporci servic; pe fe log sistemas \a8,de informacién fe una parte integral de los sistemas de ibign incluye los requisitos para los a través de redes publicas. | Control Deben identificarse, revisarse regularmente y documentarse los requisitos sobre acuerdos de confidencialidad o no divulgacién que reflejan las necesidades de la ‘organizacién para la proteccién de la informacion. Al4tA ‘Ani Tse esDeuieae de los rei A SONG je La infotmacion Control Los requisites relacionados ‘con la seguridad de la informacién se deben incluir en los requisitos para los nuevos sistemas de informacién o para las mejoras a los sistemas de informacion existentes. 24Servicios de aplicacion de seguridad en las redes publicas, de los servicios de aplicacion Transacciones de proteccion untrasoiee 27001-2013, Controt LLa informacion implicada en los servicios de aplicacion que pasa a través de las redes piblicas debe estar protegida contra la actividad fraudulent la disputa contractual y la divulgacién y modificacién no autorizada. Control La informacién impiicada en las transacciones de los servicios de aplicacién debe estar protegida para prevenit la transmision incompleta, a ‘omision de envio, la alteracién no autorizada del mensaje, la divulgacién ne autonzada, la duplicacién 0 repeticion no autorizada del mensaje Kad? Sequ iad en los proces 565 de desarrollo y soporte ‘Objetivo. Garantizar que la segundad de la informacidn se ha disefiado e implementado en el ciclo de vida del desarrollo de los sistemas de informacion. At422 Police de desarrollo seguro Conirot Deben establecerse y aplicarse reglas para et desarrollo de software y sistemas dentro de la organizacién. Procedimientos de control de cambios del sistema TTI ‘Control Los cambios en os sistemas dentro del ciclo de vida de desarrollo se deben controlar por el uso de procedimientos de control de cambios formales. Ai23 ica set ane ica oy tee coho oy opbratva fj Control Cuando las plataformas. operativas cambian, las aplicaciones criticas del negocio se deben revisar y poner a prueba para asegurar que no hay impacto adverso fen las operaciones o en la ‘seguridad de la organizacion. 25UNITASONEC 27001 2012 [araza Restricciones en los cambios a | Control | los paquetes de software Debe desalentarse la realizacion de modificaciones a los paquetes de software, que se deben limitar alos cambios} | necesarios, y tados los ‘cambios se deben controlar a estrictamente A Pancipios dela ingenieria de] Controf sistemas segura Los principios de la ingenieria de sistemas segura deben ser ‘establecidos, documentados, mantenidos y aplicados a los, sstuerzos de implementacion | ce cualquier sistema de : _ informacion, | Enforno de desarralo seguro | Controf Las organizaciones deben | establecer y proteger aalecuadamente los entornos de desarrollo seguro para los esfuerzos de desarrollo e | imegracion de sistemas, que cabren todo el ciao de vida de | esarrolio del sistema A1427 Desarrollo subcontratado Control La organizacién debe supervisar y realizar el | seguimiento de las actividades: de desarrollo de sistemas : | __| subcontratadas, At4ze Pruebas de seguridad de Contro’ | sistemas Deben llevarse a cabo pruebas de las funcionalidades de seguridad, durante el a _| desarrollo. [Ataze | Pruebas. eae goin de Controt Deben establecerse programas de pruebas de apeptacién y los criterios relacionados para nuevos sistemas de informacion, actualizaciones y nuevas versiones, po eet 1 sn de ass UAE fara tx pra | Protectiondelos-datos de Control | prueba Los datos de prueba se deben seleccionar, proteger y 26UNIT ASOIEC 27001-2013, (AiS Relaciones con los proveedores ~ ‘A151 Soguridad de Ia informacion en las rolaciones con los proveodores_ | Objetivo Garantizar ia protecci6n de los activos de la organizacion, accesibles por proveedores A111 Politica de seguridad de la Control | informacion para las Los requisitos de seguridad de relaciones con los informacion para ia mitigacién proveedores de los riesgos asociados con el acceso del proveedor a los | activos de a organizacion deben ser acardados con el a | proveedor y documentados. ‘Abordar la seguridad dentro de | Contro! Jos acuerdos con los | Todos los requisitos proveedores pertinentes de seguridad de ta Informacion deben ser establecidos y acordados con cada proveedor que pueda | acceder, procesar, almacenar, | comunicar o propercionar Componentes de ia infraestructura de TI para la | _ informacion de la organizacién Cadena de suminisiro de las | Control tecnologias de la informacién y | Los acuerdos con los las comunicaciones | proveedores deben incluir requisitos para gestionar los | riesgos de seguridad de la informacion asociados con la cadena de suministro de | informacion y de servicios y productos dé teenologias de las comunicaciones. >I & jany de Ta prestacion de | Contra? Las organizaciones deben realizar el seguimiento, revisar y auditar regularmente ia prestacion de servicios de los proveedores. obo, Es'ona coma Ne 'aurorteKon arISOHIE 27001:2013, Gestion de cambios enlos | Control servicios de los proveedores | Los cambios en ta prestacion de servicios de los proveedores, incluyendo mantenimiento y mejora de politicas, procedimientos y | controles existentes de seguridad de la informacién even ser gestionados, teniendo en cuenta la crticidad de la informacién, sistemas y procesos de negocios involucrados y la reevaluacién de los riesgos Ai522 2 Seguridad de la informacion ncidentes y mejoras de seguridad dela informacion “| Objetivo Garantizar un enfoque coherente y eficaz a la gestion de incidentes de seguridad de la informacion, inciuyendo la comunicacién de eventos de seguridad y debiidades. A116 14 "| Responsabilidades y ‘Control procedimientos Deben establecerse responsatilidades y procedimientos de gestion para asegurar una respuesta rapida, eficaz y metddica a los ineidentes de seguridad de la i - informacién. ATe12 Reporte de eventos de Control seguridad de la informacién Los eventos de seguridad de la informacion se deben reportar através de los canales de gestion apropiados, lo més rapidamente posible. A16.1.3. Reporte de las debilidades de | Control seguridad de la informacién | Los empleados y contratistas que utlizan los sistemas y os setvicios de informacion de la ‘organizacion, deben observar y teportar cualquier debilidad en la seguridad de sistemas 0 servicios, observada 0 que se | —_ sospeche. AI i4 Evauiagion’ xFspbre | Control ioe avtitos de seguhyind Gola | Loo eventos de seguridad deta inf ORES wit informacion deben ser ifoga, eon Be evaluados y se debe decidir si et son clasificados como | incidentes de seguridad de la informacién. 28UNITASOnEG 27001:2013 Ai61S Respuesta a incidentes de | Control seguridad de la informacion _| Los incidentes de seguridad de la informacion deben ser respondidos de acuerdo con los procedimientos documentados, ‘Aprende de los ineidentes de | Controf seguridad de la informacion | Los conocimientos adquiridos fen el andlisis y la resolucién de | los incidentes de seguridad de | la informacién deben ser utilizados para reducit la probabilidad o ef impacto de futuros incidentes, Aiei7 Recopilacién de evidencia Controi La organizacion debe definir y aplicar procedimientos para la identificacion, recopilacion, adquisiain y conservacién de informacién, que puede servir come evidencia ‘AAT Aspectos de seguridad dela informacién en la gestion de la continuidad del negocio ‘A.17A Continuidad de la seguridad de la informacion Objetivo: La continuidad de la Seguridad de la informacion debe ser incluida en los sistemas de gestion de continuidad del negacio de la organizacién, AIA Planificacion de la continuidad_] Control de la seguridad de la La organizacion debe informacion determinar sus requisitos para | la seguridad de la informacién yla continuidad de Ia gestion | de la seguridad de la informacion en situaciones | adversas, por ejemplo, durante una crisis 0 desastre Implementacion dé Ta Control contiguldge ea aayrided de | La orgarizacién debe establecer, documentar, implantar y mantener procesos, procedimientos y ‘controles para garantizar el nivel requerido de continuidad para la seguridad de la informacion durante una situacion adversaUNIT-ISOnEC 27001:2013 AIS Vetificar, revisar y evaluarla | Control | continuidad de la seguridad de | La organizacion debe verificar la informacion los controles establecidos € implementados de la continuidad de la seguridad de la informacién a intervalos regulares, con el fin de asegurar que sean validas y efectivas en situaciones adversas. (AaT2 Redundancia ‘Objetivo: Garantizar la disponibilidad de las instalaciones de procesamiento de informacion. AA72A Disponibilidad de las Controf instalaciones de Debden impiantarse las Procesamiento de informacion | instalaciones de procesamiento de informacién con la suficiente redundancia como para cumplir con los | requisites de disponibilidad. ‘Acta Cumplimiento ‘A.48.1 Cumplimiento con los requisitos legales y contractuales ‘Objetivo: Evitar el incumplimiento de las obligaciones legales, estatutaria, reglamentaria 0 contractual relacionada con la seguridad de la informacion y Con los requisites de seguridad A181. Identificacion de la legislaci6n | Controf aplicable y los requisitos Todos los requisitos | contractuales legisiativos estatutarios, reglamentarios, contractuales y el enfoque de ia organizacion para cumplirlos deben ser explicitamiente identificados, documentados y actualizados para cada sistema de informacion y para la longanizacién Aiei2 Derechos de propiedad Controf intelectual Deben implantarse procedimientos apropiados para asegurar el cumplimiento de los requisitos legislativos, reglamentarios y contractuales relacionados con los derechos de propiedad intelectual y el uso de productos de software patentad Control Los registros se deben proteger contra pérdida, destruccion, falsificacién, acceso no autorizado y divuigacién no autorizada, de acuerdo con los requisitos iegislativos, reglamentarios, les y de negocios.UNITASOMES z7001:2013 Aleta Privacidad y proteccién de Control datos personales Debe asegurarse la privacidad y la proteccién de los datos Personales, como se exige en la legistacion y en la regulacién, segin _ corresponda. A1B15 Regulacion de los controles | Controf criptograficos Deben utiizarse controles Criptograficos que cumplan con todos los acuerdos, leyes y regiamentos relevantes. A.18.2 Revisiones de seguridad de la informacion Objetivo: Garantizar que la seguridad de la informacion sea impiementada y que funciona de spoliticas y procedimientos de la organizacién Revision independiente de | Controf seguridad de ia informacion _| El enfoque de la organizacién para gestionar seguridad de la informacion y su implementacion (es deci, objetivos de control, controles, politicas, procesos y procedimientos para ia seguridad de la informacion) eben ser revisados independiantemente a intervalos planificados 0 ‘cuando se produzcan otros, _ cambios significative Conformidad con las politicas | Contro ylas normas de seguridad —_| Los direetivos deben revisar regularmente la conformidad con el procesamiento y los procedimientos de informacion, | dentro oe su area de | responsabilidad con las | 9 politicas, normas y otros § % requisitos de seguridad adecuados. Control Los sistemas de informacion deben ser revisados regularmente por su conformidad con las politicas y las normas de seguridad de la | informacisn de ta organizacion. | A122UNIT-ASONEC 27001:2013 BIBLIOGRAFIA [1] ISONEC 27002:2013, Tecnologia de la informacién — Técnicas de seguridad — Cédigo de buenas précticas para los controles de seguridad de la informacién. [2] ISO/IEC 27008, Tecnologia de la informacién — Técnicas de seguridad — Directrices para la implantacion de un sistema de gestién de la seguridad de la informacion. [3] ISO/IEC 27004, Tecnologia de Ia informacién — Técnicas de seguridad — Gestién de la seguridad de la informacion — Medici6n [4] ISOMEC 27005, Tecnologia de la informaciin — Técnicas de seguridad — Gestion del riesgo de seguridad de la informacion. 15] ISO 31000:2009, Gestién del riesgo — Principios y directrices, {6] _Directivas ISO/IEC, Parte 1, Suplemento Consolidado de ISO, Procedimientos especificos de ISO, 2012UNITAsonEC 27001:2013 INFORME CORRESPONDIENTE A LA NORMA UNIT-ISO/IEC 27001:2013 . TECNOLOGIA DE LA INFORMACION TECNICAS DE SEGURIDAD - SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION - REQUISITOS 4 -INTRODUCCION la gestion eficaz de la seguridad de los sistemas de informacion es un aspecto primordial para Ssalvaguarar @ las organizaciones de los riesgos e inseguridades procedentes de una amplia variedad de fuentes que pueden daftar de forma importante sus sistemas de informacion La Organizacion Intemacional de Normalizacion (ISO) y la Comision Electrotécnica Intemacional (IEC), de las cuales UNIT es miembro, han desarroliado una serie de normas internacionales de amplisima dfusion a nivel mundial al respecto a esta problematica, Se entendio oportuno considerar la adopcién como normas técnicas nacionales de estas mencienadas normas internacionales y para ello se constituyé en nuestro Instituto un Comite Tecnico Especializado para la elaboracion de Notmas Técnicas UNIT sobre Seguridad de la informacién, Esta Norma especifica los requisitos para establecer, implantar, operar, hacer el seguimiento, revisar, mantener _y mejorar sistemas de gestién de seguridad de la informacion (SGSI) formalizados dentro del contexto del riesgo de negocio general de la organizacion. Especifica los Fequisitos para la implantacién de controles de seguridad de la informacion adaptados a las necesidades de cada una de las organizaciones o parte de ellas. Esta Norma puede ser utlizada Por todo tipo de organizacién, independientemente del tipo, tamafio o naturaleza 2. COMITE ESPECIALIZADO A los efectos de integrar dicho Comité Especializado se solicitaron delegados a: Ministerio de Defensa Nacional, Ministerio de Desarrollo Social, Cémara Uruguaya de Tecnologia Informatica (CUT), URSEC, Facultad de Ingenieria — Universidad de la Republica, Asociacion de Bancos del Uruguay, Asociacion de Ingenieros del Uruguay, ISACA Capitulo Montevideo, ISSA Capitulo Uruguay, BPS, ANTEL, UTE, ANCAP IMM, LATU, IBM del Uruguay, Microsoft Uruguay A. Banco Central del Uruguay, BROU, Banco Hipotecario del Uruguay, Comision Local dé ‘Aseguradores, BSE y Citybank National Association Sucursal Uruguay 3 ANTECEDENTES Para la elaboracion de la presente norma ek Colitg, Especializado tuvo en cuenta los siguientes antecedentes (s aN Organizaciéyj international de Normalizacion ISOMEC 27001:2013 Information techyelogy Sey tgelfnques = Information security management systems - Requirements\ “9, aS 4F-CONSIDERACIONES Esta norma comesponde integraments coli NHS Rterhacional ISOVIEC 270012018 sta norma anulay sustiuye a la Nota UNIT-ISO/EC 27001 2008 n esta Norma UNIT-ISO/IEC ne se han iniraducido modifieeciones al texto original de la norma rternacional refenda proyecto correspondiente a esta norma fue aprobado et 03 de octubre de 2018 por el Comte Especiaizaco y el 10 de octubre de 2013 por el Comite GoncralInstITuTo URUcUAYO Tike DE NORMAS TEGNICAS. NORMALIZACION Fealizada anivelnacional mediante comités especializados,integrados por representantes de todos los seciores involucrados, que dan respuesta a solicitudes formuladas por insttuciones oficiales yio empresas privadas, ‘eferentes a os requistos teonioos que deben cumplt determinados productos, alos metodos de ensayo que s¢ deben utlizar en su medicién, elementos de seguridad, ele. Las noimas UNIT encaran temas tan diversos como: Gestion de la Calidad, Gestién Ambiental, Materiales do Gonstrucedn, Elecrotecni, Seguridad y Salud OcupacionalProductos Alimentos, Textiles, Dibujos, Fertlzantes, Cueros, Metales, Sanitaria, Pinturas, Material de Lucha contra Incendios, Recipientes para Gases, Madoras, Papeles, otc Muchas ce ellas han sido decleradas de cumpimiente obigatorio por el Poder Ejecutivo y diversas Intendencias Municipals ‘nivel internacional se participa en{a elaboracién de normas SO, 1EC, COPANT y MERCOSUR. CAPACITACION Fue UNIT quien inicio en Uruguay la capacitacion en Calidad (1971), asi como en otras areas de gestion Los més de 120.cursos diferentes en dreas relacionadas que dicta pueden ser realizados en formaindependiente ‘aun cuando han sido estructurados en forma de los siguientes Diplomas: Especialista y Téenieo en Gestion de la Calidad UNIT-ISO 9000; Especialista en Gestion Ambiental UNIT-ISO 14000, Especialista UNIT en Gestion de la Seguridad y Salud Ocupacional UNIT 18000 y Especialista UNIT enRecursos Humanos para Sistemas de Gestion. ‘A quienes obtengan estos é Diplomas de Especialsta se les otorga ademas el Diploma Superior en Sistemas. UNIT de Gestion. ° Otros diplomas que integran el programa de Capacitacion son, Especialista UNITenLogistica Empresarial. Internacional; Especialista UNIT en Gestion Forestal Sostenibic: Especialista UNITen Gestion de la Seguridad en a Informacién; Especialista UNIT en Gostion dela Energia; Especialista UNIT en Gestién de os Servicios de Tecnologia de la Informacién (UNIT-ISO/IEC 20000) Espocial’sta UNIT en Gestion de a Calidad enlos Laboratorios de Andlisis y Ensayo (UNIT-ISO/IEC 17025) Especialista UNIT en Gestidn dela Calidad en los Laboratorio de Analisis Clinicos (UNIT-ISO 15189) Especialista UNIT en Gestién de la Calidad en Servicios de Salud; Especialista UNIT en Inocuidad Alimentaria; Supervisor en Gestion dela Calidad UNIT-ISO 9000 y Formacion en Proteccion contraincendios DNB-UNIT. Quienes obtengan el titulo de eEspecialista 0 Técnico», estaran en condiciones de conducit la Implantacionde os respectivos sistemas, en tanto os quereciban eltitulede «Supervisoren Gestion de Calidad» testaran an condiciones de cooperar con ios Especiallstas en esa tarea, Se 6ician, ademés, cursos parala Formacién de Auditores de Calidad y SYSO, Alta Gerencia y de aplicacion de lasnotrnes para Sistemas de Gestionen areas espectticas(Educaciin, Salud, Construccion, Agropecuaria, etc) asi como cursos complementarios en las teméticas de Software, Turismo, Gestion ambiental, Laboratorios, Inocuded! alimentaria. GestiGn empresatial @ Interaceién con el cliente, ademas de cursos Técnicos y para Operarios Se cestace que cualquiera de éstos cursos pueden dictarse «in situ» en las empresas, [través de UNIT se tiene la posibilidad de paricioar en diversos seminarios y simposins en el extentor. CERTIFICACION DE PRODUCTOS®Y,SERVICIOS ee ‘Median la Marca de Conformitad con Nofing) Certiieatiin We Productos y Servicios, los que UNIT evalua durante la elaboraciin en abrica o en sufedii2 IEE dusantg sy comercializacion, certificando cuando vcapondeue ih tess oseraco crsle iia con una norma UN Seoicrua aextnlores, ecargade extiniores, caleptagoras de aba, envases para gases, equipos de proteccién org s,recargade extn, cease para pos de pro INSTITUTO URUGUAYO DE NORMAS TECNICAS Mas de 70 afios dedicados a la promocion y el mejoramiento de la calidad en beneficio de la comunidad personal, material santario, material el€etrigo, mi te. construcci6n ete CERTIFICACION DE SISTEMAS DE GESTION — ealizada por expertes c way ER aC Se UNIT tue quien! <6 Uuncionamiento en Uruguay los pAipiSyesteQeR\AS ppra la Ceriicacion de Sistemas de Ia Calidad, igs Gestion Ambiental y Sistemos de\Gesvordo a Seguridad y la Salud Ocupacional, desarollados Ss eee 180 14000 ONT (OHSAS) 18000, siendo ramen quén cerieo alas brimeras @@WVesas uruguayas en cumpliriasrespectvas notmas rons dMR@RMACION ESPECIALIZADA Eyes uad pibliotece a dispasicion dei pibice con masde 350 00D normas y especiicaciones miernacionales fie! enpertador debe conocer cuanda desea vender sus productos en dierentes mercados yu b, imo antecedentes patalaelaboracién de las notmas nacioneles.