ISO/IEC 27001:2005 TECNOLOGIA DE LA INFORMACION - TECNICAS PARA LA SEGURIDAD — SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION - REQUISITOS Information technology - Security techniques - Information security management systems — Requirements COPIA PARA USO INTERNO COPIA PARA USO FORMATIVO. Destruir al término de la actividad de formacion TSOMEC 27007:2005 Pag. 1de 35 Ed. 017 ROOindice Pag, Prefacio a 3 Introduccié 7 4 1 Alcance 7 2 Referencias 8 normativas 3 Términos y 8 definiciones : 4 Sistema de gestion de la informacion 10 4.1 Requisitos 10 legales 4.2 Esteblecer y gestionar S68) t10 4.3 Requisitos de la documentacién’ 5 Responsabilidad de la Direccién 5.1 Empefio de la Direccién 5.2 Gestion de los recursos 6 Auditoria interna del sGsi 7 Revision del SGSI por parte de la Direccion 71 Generalidades 7.2 Entrada de la revision 7.3 Salida de la revision 8 Mejora del SGS 8.1 Mejora continua 8.2 Acciones 7 correctivas 8.3 Acciones 17 preventivas Anexo A (normativa) Cont / objetivos del control 18 Anexo B {informativo) Los principios de la OCDE y la presenté norma 34 internacional Anexo C (informative) Correspondencias entre ISO 9001:2000, 14001:2004 y la presente norma internacional 35 TSONEC 27001:2005 Pag. 2 de 35 Ed, 047 ROOPrefacio La ISO (Internazional Organization for Standardization - Organizacién internacional para la estandardizacién} y la IEC Unternational Electrotechnical Commission - Comisién electrotécnica internacional) forman un sistema especializado para la estandarizacién mundial. Organismos nacionales miembros de ISO y IEC participan en el desarrallo de las Normas Intemacionales a través de las comisiones técnices, instituidas por las respectivas organizaciones, para ocuparse de particulares campos de actividades técnicas. Las comisiones técnicas de ISO y IEC colaboran en campos de interés mutuo. También otras organizaciones internacionales, gubernamentales y no gubernamentales participan de los trabajos en colaboracién con ISO y IEC. En el campo de la tecnologia de la informacién, ISO y IEC han tuido una comisién técnica conjunta (joint technical committee), ISO/IEC JTC 1. Las normas internacionales son redactadas de acuerdo con las reglas dictadas por las Directivas ISO/IEC, Parte 2. La principal funcién de la comisién técnica conjunta es preparar Normas Internacionales. Se hacen circular los borradores de las normas internacionales adoptadas por la comisién técnica conjunta entre los organismos internacionales para su votacién. La publicacién como Norma Intemacional exige la aprobacién de por lo menos el 75% de los organismos internacionales que participan de la votacién. Se desea poner en evidencia la posibilidad de que algunos elementos de este documento pueden estar sujetos a proteccién industrial. ISO y IEC no deberén ser consideradas responsables por la identificacién de dichos derechos. La ISO/IEC 27001 ha sido preparada por la Comisién técnica Conjunta ISO/IEC JTC 1, Tecnologia de la Informacién, Subcomisién SC 27, Técnicas para la seguridad de /a TI. ISONEC 27001:2005 Pag. 3 de 35, Ed 017 ROO0 _ Introduccién 0.1 Generalidades Esta norma intemacional ha sido preparada con el objetivo de proporcionar un modelo para establecer, implementar, operar, monitorizar, revisar, mantener y mejorar un sistema de gestion de la seguridad ‘de la informacién (SGSI). La adopcién de un SGSI deberia ser una decisién estratégica para una organizacién. E! disefio y la implementacién del SGSI estan influenciados por las necesidades y los objetivos, los requisites de la seguridad, los procesos empleados y las dimensiones y la estructura de la organizacion. Se espera que tanto éstos como sus sistemas de soporte cambien a Io largo del tiempo, y que la implementacién de un SGSI aumente segin las necesidades de la organizacién, p. ej. una situacién simple requiere una solucién simple para el SGSI. Las partes internas y externas interesadas pueden usar esta norma internacional con el fin de evaluar la conformidad. 0.2 _ Enfoque por procesos Esta norma internacional adopta un enfoque por procesos para establecer, implementar, operar, monitorizar, revisar, mantener y mejorar el SGSI de una organizacion. Una organizacién debe identiticar y gestionar muchas actividades para poder funcionar eficazmente. Su puede considerar un «proceso» cualquier actividad que emplee recursos y sea administrada con el fin de permitir la transformacién de entrada en salida; a menudo los elementos de salida de un proceso constituyen directamente la entrada del proceso siguiente. Se puede llamar «enfoque por procesos» a la aplicacién de un sistema de procesos dentro de una organizacién, junto con la identificacion y la repeticién de estos procesos y su gestién. El enfoque por procesos para la gestién de la seguridad de la informacién presentado en esta norma internacional anima a los usuarios para que enfaticen la importancia de: a) Comprender los requisitos para la seguridad de la informacién y la necesidad de establecer una politica y objetivos para la seguridad de la informacion de una organizacién; b) Implementar y operar controles para gestionar los riesgos inherentes a la seguridad de la informacién de una organizacién en el entorno de la gestién de riesgos empresariales globales de una organizacién; c) Monitorizar y revisar las prestaciones y la eficacia del SGSI; d) Mejorar continuamente a partir de la medicin de los objetivos. Esta norma internacional adopta el modelo PDCA («Plan—Do—Check—Act», «Planificar- Realizar-Comprobar-Mejorar»), aplicado para estructurar todos los procesos del SGSI. La figura 1 ilustra como un SGSI toma como entrada los requisitos de la seguridad de la informacién y las expectativas de las partes interesadas y, a través de las acciones y los procesos necesarios, produce un resultado para la seguridad de la informacién (es decir, seguridad de la informacién gestionada) que satisface dichos requisitos y expectativas. La figura 1 ilustra también las conexiones entre los procesos presentados en las cléusulas 4, 5, 6, 7y8. La implementacién del modelo PDCA reflejaré también los principios enunciados en las Directrices OCDE (2002)' que tratan de la seguridad de los sistemas y las redes de informacién. Esta norma internacional proporciona un modelo exhaustivo para implementar los principios contenidos en las directrices respecto a la evaluacién del riesgo y al disefio, implementacién, gestién y revalorizacién de la seguridad. EJEMPLO 1 Un requisito podria ser que las violaciones de la seguridad de la informacién no causen dafios financieros serios a la organizacién y/o que no le causen problemas. EJEMPLO 2 OCDE (Organizacién para lo cooperacién y el desarrallo econémico/OECD,Organization for Economic Cooperation ond Development). Direcrices OCDE para la soguridad do los sistemas y las redes informacion. Hacia una eultura de la seguridad IOECD Guidelinas for the Security of Information Systems and Networks. Towards 2 Culture of Secunty), Paris: OCDE, [alo de 2002, www.08cd.or3 ISOMEC 27001:2005 Pag. 4 de 35 Ed. 077 ROOUna expectativa podria ser que se verifique un incidente grave, p. ej. pirateria en un sitio web empresarial. Deberla haber personas con suficiente formacién en los procedimientos apropiados, para minimizar el impacto. Fianificare tstiuire i 2 8GSI Pa Realizzare interessato operare il ‘SGSI coat Gv aspettative ‘Monitorare & perla riesaminare Sicurezza sicurezza ‘SGSI delle delle a Informazioni Informazioni gestita migliorare i ‘SGSI ( Attuare e (mess e Figura 1 — modelo PDCA aplicado a los procesos del SGSI TEXTO DE LA IMAGEN italiano Espafiol Parti interassate Partes interesadas Requisiti © aspettative per Ia sicurezza delle | Requisitos y expectativas para la seguridad de informazioni la informacién. [Pianificare Planificar Istituire i SGST Establecer el SGST jealizzare Realizar ‘Attuare e operare | SGST Implementar y operar el SGSI | Controllare Controlar Monitorare @ rlesaminare i SGSt Monitorizar y revisar 6! SGST Migiiorare Mejorar Mantenere 6 migliorare 1 SGST Mantener y mejorar el SGST Parti interessate Partes interesadas icurezza delle informazioni gestita eguridad de la informacion gestionada Planiticar Establecer le polltica para el SGSI, Tos objetivos, los procesos y los (establecer el procedimientos de seguridad necesarios para la gestién de riesgos y la scsi) mejora de la seguridad de la informacién, para conseguir resultados arménicos con las politicas y los objetivos globales de la organizacién. Roalizar limplementar y ejecutar la politica para el SGSI, los controles, los limplementar y | procesos y los procedimientos. ejecutar el SGSI) oot 7 [Controlar Evaluar y, en su caso, medir las prestaciones de los procesos en relacion {monitorizar y con la politica del SGSI, los objetivos y la experiencia practica, y elaborar revisar el SGSI)_|un informe a la Direccién sobre los resultados, para una revision. Mejorar (mantener |Emprender acclones correctivas y preventivas basdndose én [os y mejorar el SGSI} | resultados de las auditorlas internas del SGSI y la revisién por parte de la Direccién _o en otra _informacién _pertinente, para__conseguir el [TSO/nEC 27001:2005 I Pag. 5 de 35 Ed, 01/ ROOTiejoramiento continuo del SGSI, 7 0.3 _Compatibilidad con otros sistemas de gestion Esta norma internacional esté alineada con la ISO 9001:2000 y la ISO 14001:2004 con la finalidad de sostener una implementacién y un funcionamiento coherentes e integrados con las respectivas normas de gestidn. Por ello, un sistema de gestién disefiado en modo idéneo puede satisfacer los requisitos de todas estas normas. La Tabla C.1 ilustra la relacién entre las clausulas de estas normas internacionales, ISO 9001:2000 e ISO 14001:2004. Esta norma internacional ha sido disefiada para permitir que una organizacién pueda alinear 0 integrar su SGSI con los respectivos requisitos de los sistemas de gestién. ISONEC 27007:2005 Pag. 6 de 35 Ed 077 ROO ]Tecnologia de la informacién - Técnicas para la seguridad — Sistemas de gestién de la seguridad de la informacién - Requisitos IMPORTANTE ~ Esta publicacién no pretende abarcar todas las clausulas necesarias de un contrato. Los usuarios son los responsables de su correcta aplicacién. La conformidad con una norma internacional no exonera del cumplimiento de otras obligaciones legales. 1 Alcance 1.1 Generalidades Esta norma internacional cubre todos los tipos de organizaciones (p. ej. empresas comerciales, entidades gubernamentales y organizaciones sin fines de lucro). Esta norma internacional especifica los requisitos para establecer, implementar, ejecutar, monitorizar, revisar, mantener y mejorar un SGSI documentado ‘dentro del entorno de los riesgos empresariales globales de una organizacién. Especitica también los requisitos para la implementacién de controles de seguridad personalizados de acuerdo con las exigencias de las organizaciones o de sus partes. EI SGSI ha sido disefiado para garantizar la seleccién de controles de seguridad adecuados y proporcionados, que protejan los activos relacionados con la informacién y den seguridad a las partes interesadas. NOTA 1: los términos «negocios» o «empresarial» deberan ser interpretados en sentido amplio, los mismos designan las actividades que son centrales para la existencia de la organizacién. NOTA 2: la ISO/IEC 17799 proporciona una guia para la implementacién, que se puede usar cuando se proyectan los controles. 1.2. Aplicacin Los requisitos enunciados en esta norma internacional son genéricos y estan destinados a ser aplicados en todas las organizaciones, independientemente del tipo, las dimensiones y la naturaleza de las mismas. No se puede excluir ninguno de los requisitos especificados en las clausulas 4, 5, 6, 7 y 8 cuando una organizacién garantiza su conformidad con esta norma internacional. Cualquier exclusién de controles considerada necesaria para satisfacer los criterios de aceptacién del riesgo deberd ser justificada, y se deberé suministrar la prueba de que los riesgos inherentes han sido aceptados por las personas responsables. Cuando se realizan exclusiones, no se admiten declaraciones de conformidad con esta norma, salvo que dichas exclusiones no tengan consecuencias sobre la capacidad y/o responsabilidad de la organizacién de suministrar una seguridad de la informacién que cumpla los requisitos de seguridad determinados por la valoracin de riesgos y los requisitos legales o inderogables a aplicar. NOTA: _ si una organizacion dispone ya de un sistema de gestion operante para sus procesos de negocio {p. gj. con referencia a ISO 8001 0 ISO 14001), en la mayor parte de los casos es preferible cumplir los ‘equisitos de esta norma internacional dentro del sistema de gestion existente. ISONEC 27007-2005 Pag. 7de 35 Ed, 077 ROO.2 Referencias normativas Los siguientes documentos de referencia son indispensables para la aplicacién de este documento. Para referencias con fecha, se aplica sdlo la edicién citada. Para referencias sin fecha, se aplica la Ultima edicién del documento de referencia (incluidas las eventuales modificaciones). ISO/IEC 17799:2005, Tecnologia de la informacién ~ Técnicas para la seguridad — Cédigo de prdcticas para la gestién de la Seguridad de !a informacién 3 Términos y definiciones A los efectos de este documento, se aplican los siguientes términos y definiciones 3.1 activo (asset) Cualquier cosa que tenga valor para la organizacién [ISO/IEC 13335-1:2004) 3.2 disponibilidad (availability) La propiedad de ser accesible y poder usarse bajo demanda de una entidad autorizada USO/EC 13335-1:2004) 3.3 confidencialidad (confidentiality) La propiedad por la cual la informacién no esta disponible ni es divulgada a individuos, entidades 0 procesos no autorizados [ISONEC 13335-1:2004] 3.4 seguridad de la informacién (information security) Preservacién de la confidencialidad, integridad y disponibilidad de la informacién; ademés de otras propiedades tales como autenticidad, responsabilidad, no repudio y fiabilidad [ISO/IEC 17799:2005) 3.5 evento de seguridad de Ia informacién (information security event) Ocurrencia de un evento relacionado con la seguridad de la informacién, identificado sobre un sistema, servicio 0 red, que indica una posible brecha en la politica de seguridad de la informacién o un posible ‘allo en la salvaguardia, o una situacién precedentemente desconocida que puede ser relevante para la seguridad [ISO/IEC TR 18044:2004) 3.6 incidente de seguridad de la informacién (information security incident) Un incidente de seguridad de la informacién consiste en un evento relacionado con la seguridad de la informacién, o una serie de eventos, que tienen una gran probabilidad de comprometer las operaciones empresariales y amenazar la seguridad de la informacién ISO/IEC TR 18044:2004) 3.7 sistema de gestién de la seguridad de la informacién - SGSI (information security management system — ISMS) La parte del sistema de gestién global basada en un enfoque del riesgo ompresarial, para establecer, implementar, ejecutar, monitorizar, revisar, mantener y mejorar la seguridad de la informacion NOTA: el sistema de gestion comprende la estructura, las politicas, las actividades de planiffcacién, las responsabilidades, las practicas, los procedimientos, los procesos y los recursos de la organizacién. 3.8 integridad (integrity) La propiedad de salvaguardar la precision y completitud de los actives USO/IEC 13335-1:2004] 3.9 riesgo residual (residual risk) El riesgo remanente después del tratamiento del riesgo [ISO/IEC Guia 73:2002} 3.10 aceptacién de riesgos (risk acceptance) Decisién de aceptar un riesgo ISO/IEC Guia 73:2002] ([ sonec 27007:2005 Pag. 6 de 35 Ed. 017 ROO3.11 anilisis de riesgos (risk analysis) Uso sistemético de la informacién para identificar las fuentes del riesgo y para evaluarlo [ISO/IEC Gufa 73:2002) 3.12 valoracién de riesgos (risk assessment) Proceso global de andlisis del riesgo y evaluacién del riesgo [ISO/IEC Guia 73:2002) 3.13 evaluacién de riesgos (risk evaluation) Proceso de comparacién del riesgo estimado mediante determinados criterios de riesgo, para determinar la importancia del mismo {ISO/IEC Guia 73:2002] 3.14 gestién de riesgos (risk management) Actividades coordinadas para dirigir y controlar una organizacién por lo que se refiere al riesgo [ISO/IEC Guia 73:2002) 3.15 tratamiento de riesgos (risk treatment) Proceso de tratamiento de la seleccién y la implementacién de mediciones para modificar el 73:2002) 3.16 declaracién de aplicabilidad (statement of applicability) Declaracién documentada que describe los objetivos del control y los controles pertinentes y aplicables al SGSI de la organizacion. NOTA: los objetivos del control y los controles se basan en los resultados y las conclusiones de los procesos de valoracién del riesgo y tratamiento del riesgo, en requisitos legales o inderogables, en ‘obligaciones contractuales y en los requisitos empresariales de la orgenizacion para la seguridad de la informacion, ISONEC 27007:2005 Pag. 9 de 35 Ed. 077 ROO4 Sistema de gestién de la seguridad de la informaci6n (BS 7799-2:2002 - punto 4) 4.1 Requisitos generales (BS 7799-2:2002 — punto 4.1) La organizacién debera establecer, implementar, operar, monitorizar, revisar, mantener y mejorar un SGSI documentado dentro del entorno de las actividades empresariales globales y los riesgos que enfrenta. A los efectos de esta norma internacional, el proceso empleado se basa en el modelo PDCA mostrado en la Figura 1. 4.2 Establecer y gestionar el SGSI (BS 7799- :2002 — punto 4.2) 4.2.1 Establecer el SGSI (BS 7799-2:2002 ~ punto 4.2.1) La organizacién deberd: a) Establecer el alcance y los limites del SGSI en términos de caracterfsticas de la empresa, organizacién, ubicaciones, recursos y tecnologia, y también detalles y justificantes para cualquier posible exclusién del alcance (v. 1.2). b) Definir una politica para el SGSI en términos de las caracteristicas de la empresa, organizacién, ubicacién, activos y tecnologia, que: 1) incluya un marco para establecer los objetivos y defina una Direccién general y los principios de accién por lo que respecta 2 la seguridad de la informaci 2) tenga en cuenta requisitos de negocios o inderogables, y obligaciones contractuales inherentes a la seguridad; 3) se alinee con el entorno estratégico de la gestién de riesgos de la organizacion en el que tendré lugar ol establecimiento y el mantenimiento del SGSI; 4) establezca algunos criterios en relacién con los cuales se evaluardn los riesgos [v. 4.2.10)]; 5) haya sido aprobada por la Direccién. NOTA: a los efectos de esta norma internacional, la politica para el SGSI es considerada una extensién de la politica de la seguridad de la informacién. Se pueden describir ambas pollticas en un solo documento. ¢) Definir ef enfoque de valoracién del riesgo de la organizacién. 1) Identificar una metodologfa para la valoracién del riesgo que sea idéneo al SGSI, a la seguridad de la informacién empresarial establecida y a los requisitos legales e inderogables. 2) Desarrollar criterios para la aceptacién del riesgo y para identificar los niveles de riesgo aceptables [v. 5.1f)] NOTA: existen diferentes metodolégicas para la valoracién de riesgos, se han discutido algunos ejemplos en la ISO/IEC TR 13335-3, Tecnologia de la informacién ~ Directrices para la gestion de la seguridad de la Ti - Técnicas para fa gestién de la seguridad de la Ti. d) Identificar los riesgos. 1) Identificar los activos dentro del alcance del SGSI y los responsables* de dichos actives. 2) Identificar las amenazas contra dichos activos. 3) Identificar las vulnerabilidades que podrian ser aprovechadas por las amenazas. 4) Identificar los impactos que podria tener sobre los activos la pérdida de confidencialidad, integridad y disponibilidad. e) Analizar y evaluar los riesgos. 1) Evaluar los impactos empresariales sobre la organizacién que podrian resultar de fallos en la seguridad, teniendo en cuenta las potenciales consecuencias de una pérdida de confidencialidad, integridad o disponibilidad de los activos. EI t6tmnino wresponsablen" lowner en idioma criginall identifica un individuo o una entided cuya responsabiidad de gestion ha sido aprabada para controlar la preduccién, el desarrollo, el mantenmionto, el uso y la seguridad de los activos. El término owner {esha igtiotdprimara es ebreitro posed) no stniice tub persona tne reimente derechos de propiedad ste jos actives. ISOMEC 27001:2005 Pag. 10 de 36 Ed. 017 ROOf) 9) h) D 2) Evaluar las probabilidades reales de que se verifique un fallo de este tipo teniendo en cuenta las amenazas principales y las vulnerabilidades y los impactos relacionados con dichos activos, basandose en los controles ejecutados actualmente. 3) Evaluar los niveles de riesgos 4) Determinar si el riesgo es aceptable o requiere un tratamiento, usando los criterios establecidos en 4.2.1,¢.2). Identificar y evaluar las opciones de tratamiento de riesgos Las acciones posibles comprenden: 1) aplicar controles apropiados; 2) aceptar los riesgos consciente y objetivamente, siempre que cumplan claramente la politica y los criterios para la aceptacién de los riesgos [v. 4.2.1¢)] de la organizacién; 3) avitar los riesgos; 4) transferir los riesgos empresariales asociados a otras partes, p. ej. seguros o proveedores. Seleccionar controles y objetivos del control para el tratamiento de los riesgos Se deben seleccionar e implementar controles y objetivos de control para satisfacer los requisitos establecidos en el proceso de valoracién y de tratamiento de riesgos. Esta seleccién debe tener en cuenta los criterios para la aceptacién de los riesgos [v. 4.2.1,¢.2)] y también los requisitos legales, inderogables y contractuales. Como parte de este proceso, se tienen que escoger los controles y los objetivos del control del Anexo A de acuerdo con lo que sea adecuado para la cobertura de los requisitos identificados. Los controles y los objetivos de control listados y el anexo A no son exhau: que se pueden escoger otros. /08, por lo NOTA: el anexo A contiene una lista completa de controles y objetivos del control que par lo general son comunes a todas las organizaciones. Los usuarios de esta norma internacional tendrian que consular et Anexo A como punto de partida para seleccionar los controles con el fin de asegurarse de que no se desatienda ninguna opcién importante para los controles. Obtener la aprobacién por parte de la Direccidn de los riesgos residuales propuestos. Obtener la autorizacién por parte de la Direccién para actuar y operar el SGSI. Preparar una Declaracién de aplicabilidad. Se debe preparar una Declaracién de aplicabilidad que comprenda: 1) Los controles y los objetivos del control seleccionados en 4.2.19) y las razones de su seleccién; 2) Los controles y los objetivos del control que se ejecutan actualmente [v. 4.2.1.¢)2)]; 3) La exclusién de eventuales controles y objetivos del control del Anexo A y la justificacion de su exclusién. NOTA: la Declaracién de aplicabilidad proporciona un sumario de las decisiones sobre el tratamiento de riesgos. Justificar las exclusiones proporciona un control cruzado para asegurar que ningtin control haya sido omitido inadvertidamente. ISOMEC 27001:2005 Pag. 11 de 35 Ed, 077 ROO4.2.2 Implementar y operar el SGSI (BS 7799-2:2002 ~ punto 4.2.2) La organizacién debe: a) Formular un plan para el tratamiento del riesgo que establezca las acciones Por parte de la Direccién, los recursos, las responsabilidades y las prioridades adecuadas para la gestién de los riesgos inherentes @ la seguridad de la informacién (v. Cidusula 5). b) Actuar el plan de tratamiento de riesgos con el abjeto de conseguir los objetivos de control establecidos, lo que incluye tomar en consideracién los fondos y la distribucién de los roles y las responsabilidades. ¢) Actuar los controles seleccionados en 4.2.1) para alcanzar los objetivos de control. d) Definir cémo medir la eficacia de los controles seleccionados (o de grupos de controles seleccionados) y especificar cémo se usan estas mediciones para evaluar la eficacia de los controles y para producir resultados comparables y reproducibles [v. 4.2.3.c)]. NOTA: medir la eficacia de los controles permite que los dirigentes y el personal puedan determinar como los controles logran los abjetivos de control planificados. ©) Actuar programas de formacién y sensibilizacion. f) Gestionar las operaciones del SGSI. g) Gestionar los recursos para el SGSI (v. 5.2). h) Actuar procedimientos y otros controles capaces de consentir una pronta individuacién de los incidentes relativos a la seguridad y una pronta respuesta. 4.2.3 Monitorizar y revisar el SGSI (2S 7799-2:2002 ~ punto 4.2.3) La organizacion debe hacer lo siguiente. a) Realizar procedimientos de monitorizacién y de revision y otros controles para: 1) individuar prontamente errores en los resultados de las elaboraciones: 2) identificar prontamente incidentes y violaciones de la seguridad logrados e intentados; 3) permitir a la Direccién que determine si se estén desarrollando como estaba previsto las actividades de la seguridad delegadas a personas o actuadas por medio de la tecnologia informatica; 4) ayudar a individuar los eventos relacionados con la seguridad y prevenir de este modo los _incidentes inherentes a la seguridad a través del uso de indicadores; 5) determinar si las acciones emprendidas para resolver una infraccién de la seguridad han sido eficaces. b) Emprender revisiones periddicas de la eficacia del SGSI {incluidas la consecucién de la politica y los objetivos para ei SGSI y Ia revisidn de los controles de seguridad), teniendo en cuenta los resultados de las auditorias para la seguridad, los incidentes, los resultados de la medicién de la eficacia, las sugerencias y la informacion de retorno proveniente de todas las partes interesadas. ©) Medir la eficacia de los controles para comprobar que los requisites de seguridad se hayan cumplido. 4d} Revisar las valoraciones de riesgos a intervalos planificados y revisar los niveles de riesgo residual y riesgo aceptable establecidos, teniendo en cuenta los cambios: 1) de la organizacién; 2) en la tecnologia; 3) de los objetivos y de los procesos empresariales; 4) de las amenazas identificadas; 5) de la eficacia de los controles realizados; 6) en eventos extemos, como cambios del entorno legal o inderogable, obligaciones contractuales cambiadas y variaciones sociales. ©) Realizar auditorias intemnas del SGSI a intervalos planificados (v. cléusula 6) NOTA: las auditorias internas, a veces llamadas también auaitorfa de primera parte, son realizadas por la misma organizacion o por su cuenta a fines internos. f) Revisar la Direccién del SGSI regularmente para asegurar que el alcance siga siendo adecuado y que se identifiquen las mejoras en los procesos de! SGSI (v. Clausula 7.1). 9) Actualizar los planes de seguridad para tener en cuenta los resultados de las actividades de monitorizacién y revisién. h) Registrar las acciones y los eventos que pudieran tener un. impacto sobre la eficaci prestaciones del SGSI (v. 4.3.3). o las ISOMEC 27001:2005 Pag. 12 de 35 I Ed 017 ROO4.2.4 Mantener y mejorar el SGSI (BS 7799-2:2002 — punto 4.2.4) Regularmente, la organizacién debe a) Implementar las mejoras identificadas en el SGSI. b}_Emprender acciones correctivas y preventivas apropiadas como se indica en 8.2 y 8.3, Aplicar las lecciones aprendidas a través de las experiencias de seguridad de otras organizaciones y de la misma organizacion. ©) Comunicar las acciones y las mejoras a todas las partes interesadas con un nivel de detalle apropiado a las circunstancias y, en su caso, ponerse de acuerdo sobre cémo proceder. d) Asegurarse que las mejoras alcancen los objetivos deseados. 4.3 Requisitos de la documentacién (BS 7799-2:2002 - punto 4.3) 4.3.1 Generalidades (BS 7799-2:2002 - punto 4.3.1) La documentacién debe comprender ragistros de las decisiones de la Direccién, asegurar que las acciones seen localizables hasta llegar a las decisiones de la Direccién y las politicas, y garantizar que los resultados registrados sean reproducibles. Es importante poder demostrar la relacién, desde los controles seleccionados hasta los resultados del proceso de eveluacién y tratamiento de riesgos y, sucesivamente, hasta la politica y los objetivos para el SGSI. La documentacién del SGSI debe comprend: a) Declaraciones documentadas de la politica para el SGSI [v. 4.2.1b] y de los objetivos; b) El alcance del SGSI [v. 4.2.1.a)], ©) Los procedimientos y los controles que respaldan el SGSI; d) Una descripcién de la metodologia para la valoracién de riesgos [v. 4.2.1.c)]; e) La relacién sobre la valoracién de riesgos [v. de 4.2.1.c) a 4.2.1.9)]. f) Plan para el tratamiento de los riesgos [v. 4.2.2b)]. 9) Procedimientos documentados que la organizacién necesita para asegurar la planificacién, funcionamiento y control eficaces de sus procesos para la seguridad de la informacién y para describir como medir la eficacia de los controles [v. 4.2.3.c)]; h) Registros requeridos por esta norma internacional (v, 4.3.3); i) Declaraciones de aplicabilidad. NOTA 1: cuando aparece el término «procedimiento documentado» en esta norma, significa que el procedimiento ha sido establecido, documentado, ejecutado y mantenido. NOTA 2: la extension de la documentacién del SGSI puede variar de una organizacion a otra de acuerdo con: ~ las dimensiones de la organizacién y el tipo de actividad; ~ el alcance y la complejidad de los requerimientos para la seguridad y el sistema administrado. NOTA 3: los documentos y los registros podran ser de cualquier forma o tipo. 4.3.2 Control de documentos (BS 7799-2:2002 - punto 4.3.2) Los documentos requeridos por el SGSI deberén ser protegidos y controlados. Se debe establecer un procedimiento documentado para definir las acciones de gestién necesarias para: a) aprobar la idoneidad de los documentos antes de la emisién; b) revisar y actualizar los documentos segun las necesidades y volver a aprobarlos; c) asegurarse que sean identificados los cambios y el actual estado de revisién de los documentos; 4d) asegurarse que las versiones pertinentes de los documentos aplicables estén disponibles en los puntos de uso; e) asegurarse que los documentos sean legibles y puedan ser prontamente identificables; f) garantizar que los documentos estén a disposicién de los que los necesiten, y que sean ‘transferidos, almacenados y, finalmente, eliminados de acuerdo con los procedimientos aplicables a'su clasificacién; g) asegurarse que los documentos de origen externa sean identificados; h) asegurarse que la distribucién de los documentos sea controlada; i) prevenir el uso no intencional de los documentos obsoletos; ISOMEC 27007:2005 Pag, 13 de 35 Ed. O77 ROOi) aplicarles una identificacién apropiada si, por un determinado motivo, deben ser conservados. 4.3.3. Control de los registros (BS 7799-2:2002 - punto 4.3.3) Se deberdn establecer y mantener registros para suministrar evidencia de la conformidad con los requerimientos y la eficaz operacién del SGSI, y éstos deben estar protegidos y controlados. El SGSI debe tener en cuenta los requerimientos legales o inderogables pertinentes y las obligaciones contractuales. Los registros deben ser legibles, prontamente identificables y recuperables, Deben ser documentados y ejecutados los controles necesarios para la identificacién, el archivo, la proteccién, la recuperacién, el tiempo de conservacién y disponibilidad de los registro. Se deberén llevar registros de las prestaciones del proceso delineado en el punto 4.2 y de todos los incidentes significativos de seguridad vinculados al SGSI. EJEMPLO Ejempios de registro son el libro de los visitantes, los registros de las auditorlas y los formularios cumplimentados para autorizar el acceso. 5 Responsabilidad de la Direccién (BS 7799-2:2002 ~ punto 5) 5.1 Compromiso de la Direccién (BS 7799-2:2002 - punto 5.1) La Direccién debera demostrar su compromiso para la implantacién, actuacién, funcionamiento, monitorizacién, revisién, mantenimiento y mejora del SGSI: a) estableciendo una politica para el SG! b) asegurando que hayan sido establecidos objetivos y planes para el SGSI; ©) estableciendo roles y responsabilidades para la seguridad de la informacién; d) comunicando a la organizacién la importancia del conseguimiento de los objetivos relativos a la seguridad de la informacién y conformandose a la politica de la seguridad de la informacién, a sus responsabilidades frente a la ley y a las necesidades de mejora continua; e) suministrando recursos suficientes para establecer, actuar, operar, monitorizar, revisar, mantener y mejorar el SGSI (v. 5.2.1}; f) decidiendo los criterios para acepiar los riesgos y el nivel de riesgo aceptable; g) aseguréndose que sean realizedas las auditorias interas sobre el SGSI (v. cidusula 6); fh) realizando revisiones por parte de la Direccidn del SGSI (v. cldusula 7). 5.2 Administracién de recursos (BS 7799-2:2002 — punto 5.2) 5.2.1 Suministro de recursos (BS 7799-2:2002 — punto 5.2.1) La organizacién debe determinar y suministrar los recursos necesarios para: a) establecer, actuar, operar, monitorizar, revisar, mantener y mejorar su SGSI; b) asegurar que los procedimientos para la seguridad de la informacién cumplan los requisitos de la empresa: ©) identificar y ocuparse de los requisitos legales & contractuales inherentes 2 la seguridad; d) mantener una seguridad adecuada a través de la correcta aplicacién de todos los controles actuados; e) efectuar revisiones cuando sea necesario y actuar en mode apropiado de acuerdo con los resultados de las mismas; f) cuando sea necesario, mejorar la eficacia del SGSI. derogables y de las obligaciones 5.2.2 Formacién, sensibilizacién y competencia (2S 7799-2:2002 ~ punto 5.2.2) La organizacién debe asegurarse de que todo el personal al que se le asigne las responsabilidades establecidas en el SGS! sea competente en el desarrollo de sus tareas, de la siguiente manera: a) determinando las competencias necesarias del personal que desempefia un trabajo que afecta al SGSI; b) dando formacién o emprendiendo otras acciones (p. ej. contratando personal competente) para satisfacer estas necesidades; ¢) evaluando la eficacia de les acciones emprendidas; TSOMEC 27007:2005 Pag. 14 de 35 Ed 077 ROOd) manteniendo registros de las instrucciones, la formacién, las habilidades, las experiencias y las cualificaciones (v. 4.3.3) La organizacién debe asegurarse también que todo el personal pertinente sea consciente de la relevancia y la importancia de sus actividades en relacién con la seguridad de la informacion y de como ello contribuye al conseguimiento de los objetivos de! SGSI. 6 _Auditorias internas del SGSI (8S 7799-2:2002 - punto 6.4) La organizacién debe realizar auditorias internas del SGSI a intervalos planificados para determinar si los objetivos del control, los controles, los procesos y los procedimientos del SGSI: a) son conformes con los requi pertinentes; 'b) son conformes con los requisitos identificados para la seguridad de la informacion; 9) son eficazmente actuados y mantenidos; d) funcionan como se espera. itos de esta norma, la legislacién y los reglamentos Se debe planificar un programa de auditoria que tome en consideracién el estado y la importancia de los procesos y las areas a someter a auditoria, y también los resultados de las. auditorias precedentes. Se deben definir los criterios, el alcance, la frecuencia y los métodos de au: La seleccién de los auditores y la realizacién de las auditorlas deben asegurar la objetividad y la imparcialidad del proceso de auditoria. Los auditores no deben someter a auditoria su trabajo. Mediante un procedimiento documentado se deben definir los requerimientos y responsabilidades respecto a la planificacién y realizacién de las auditorfas, la redaccién de informes sobre los resultados y la conservacién de los registros. El responsable del rea sometida a auditorla debe hacer que se emprendan, sin retrasos injustificados, las acciones para resolver las no conformidades detectadas y sus causas. Las. actividades que se deberén realizar incluyen Ia verificacién de las acciones emprendidas y la elaboracién de informes sobre los resultados de la verificacién (v. Cléusula 8). NOTA; ISO 19011:2002, Directrices para las auditorias de los sistemas de gestién de calidad y/o los sistemas de gestién ambiental, puede suministrar una buena ayuda pera realizar las auditorias interas de los SGSI. 7 Revision del SGSI por parte de la Direccién (BS 7799-2:2002 - punto 6) 7.1 Generalidades (BS 7799-2:2002 — punto 6.1) La Direccién debe revisar el SGSI de la organizacién a intervalos regulares (por lo menos una vez al afio) para asegurar su continua vigencia, adecuacién y eficacia. Esta revision debera incluir la valoracién de oportunidades para su mejoramiento y la necesidad de cambios del SGSI, comprendidos los objetivos para la seguridad de la informacién y la politica para la seguridad de la informacién, Los resultados de la revision deben estar claramente documentados y se deben conservar los registros (v. 4.3.3). 7.2 Entrada de la revisién (BS 7799-2:2002 ~ punto 6.2) La entrada (input) de una revisién por parte de la Direccién debe comprender: a) resultados de auditoria y revisiones del SGI; b) feedback de las partes interesadas; ¢) técnicas, productos o procedimientos, que se podrian usar en una organizaci6n para mejorar las prestaciones y la eficacia del SGSI; d) estado de las acciones preventivas y correctivas; e) vulnerabilidades 0 amenazas no adecuadamente afrontadas en la precedente valoracion de riesgos; f) resultados de la medicion de la eficacia; g) acciones a realizar sobre la base de precedentes revisiones por parte de la Direccién; h) cambios que podrian afectar al SGSI; i) recomendaciones para el mejoramiento. ISOMEC 27007:2005 Pag. 16 de 35 Ed. 017 ROO7.3 Salida de la revision (BS 7799-2:2002 ~ punto 6.3) La salida (output) de la revisién por parte de la Direccién debe comprender todas jas decisiones y las acciones que tengan relacién con lo siguiente: a) mejoramiento de la eficacia del SGSI; b) actualizacién de la valoracién de los riesgos y del plan de tratamiento de riesgos; ©) modificaciones de los procedimientos y los controles relacionados con la seguridad de la informacién para responder a los eventos internos o externos que puedan tener un impacto sobre el SGSI, comprendidos los cambios de: 1) los requisitos de negocio; 2) los requisitos para la seguridad; 3) los procesos de negocio que afectan los requisitos de negocio existentes; 4) el entorno legal o inderogable; §) las obligaciones contractuales; 6) los niveles de riesgo y/o de los niveles de aceptacién del riesgo; d) necesidad de recursos, e) mejora del modo de medir la eficacia de los controles. ISONEC 27001:2005 Pag 16de35 Ed. 047 ROO8 Mejora del SGSI (8s 7799-2:2002 - punto 7) 8.1 Mejora continua (BS 7799-2:2002 - punto 7.1) La organizacién debe mejorar continuamente la eficacia del SGSI a través del uso de la Politica de seguridad de la informacién, los objetivos para la seguridad de la informacién, los resultados de las auditorias, los anélisis de los eventos monitorizados, las acciones correctivas y preventivas y la revisién por parte de la Direccién (v. cléusula 7). 8.2 Acciones correctivas (BS 7799-2:2002 ~ punto 7.2) La organizacién debe emprender algunas acciones para resolver la causa de las no conformidades con los requisitos del SGSI, para prevenir que se repitan. Los procedimientos documentados de las acciones correctivas deben definir los requisitos para: a) identificar las no conformidades; b) determinar las causas de las no conformidades; ¢) evaluar las acciones necesarias que aseguren que las no conformidades no se repitan; d) establecer y actuar las acciones correctivas necesarias; e) rar los resultados de las acciones emprendidas (v. 4.3.3); f) revisar las acciones correctivas emprendidas, 8.3 Acciones preventivas (BS 7799-2:2002 — punto 7.3) La organizacién debe determinar las acciones para eliminar la causa de potenciales no conformidades con los requisitos del SGSI con el fin de prevenir que se repitan. Las acciones Preventivas emprendidas deben ser apropiadas al impacto de los potenciales problemas. El Procedimiento documentado de las acciones preventivas debe definir los requisitos para: a) identificar potenciales no conformidades y sus causas; b) evaluar la necesidad de acciones que prevengan las no conformidades; ¢) establecer y actuar las acciones preventivas necesarias; ) registrar los resultados de las acciones emprendidas (v. 4.3.3); e) revisar las acciones preventivas emprendidas. La organizacién debe identificar los riesgos que hayan cambiado e identificar los requisitos para las acciones preventivas concentrando la atencién en los riesgos que hayan cambiado significativamente. La prioridad de las acciones preventivas debe ser determinada sobre la base de los resultados de la valoracién de riesgos. NOTA: las acciones preventivas contra las no conformidades frecuentemente son menos costosas que las acciones correctivas. ISQMEC 27007:2005 Pag. 17 de 35 Ed 047 ROOAnexo A (normativa) Controles y objetivos del control Los controles y los objetivos del control detallados en la Tabla A.1 derivan directamente de los citados en las clausulas de 5 a 15 de la ISO/IEC 17799:2005 y se alinean con la misma. Las listas de la Tabla A.1 no son exhaustivas, una organizacién podrfa considerar necesarios ulteriores controles y objetivos del control. Los controles y los objetivos del control Provenientes de estas tablas deben ser escogidos como parte del proceso del SGSI especificado en el punto 4.2.1. Las clausulas 5 a 15 de la ISO/IEC 17799:2005 suministran consejos sobre la actuacién y ‘ctrices sobre las mejores practicas de soporte a los controles especificados por A.5 y A15. Tabla A.1 — Controles y objetivos del control AS Politica para la segurida 7799-2:2002 — punto A. 3 A.5.7 Politica para la seguridad de Ia intormacidn (BS 7799-2:2002 = punto A.3.1) Objetivo: proporcionar a la Direccién guia y soporte para la seguridad de la informacién, en armonfa con los requerimientos de negocio y las leyes y los reglamentos pertinentes. wea] Control s.r [pee Te cntags PUI] La "Direccién debe aprober un documento de la fb TL {ere ee politica, y publicarlo y comunicarlo a todos los empleados y a las partes externas pertinentes. Canirol Revisidn de Ia politica para|La politica para la seguridad de la informacién debe A6.1.2 |la seguridad de ~ la|ser revisada a intervalos regulares o si tienen lugar informacién cambios significativos, para garantizar su idoneidad, | adecuacién y eficacia continuas. A.6__Organizar la seguridad de la informacién (BS 7799-2:2002 — punto A.4] [4.6.7 Organizacién interna (BS 7799-2:2002 ~ punto A.4.1] Objetivo: gestionar la seguridad de la informacién dentro de la organizacién Control Compromiso de _la|La Direccién debe sostener activamente la seguridad 6.1.1 |Direccién respecto a laldentro de la organizacién a través de una clara ; seguridad de ——_laorientacidn, la demostracién de su compromiso, la informacién atribucién explicita y el reconocimiento de las responsabilidades para la seguridad de la informacién, ‘Control Coordinacin de —la|Las actividades de la seguridad de la informacién A6.1.2 seguridad de lajdeben estar coordinadas por representantes de informacién diferentes partes de la organizacién con roles y funciones laborales pertinentes. ‘Asignacion 8 Control A.8.1.3 |tesponsaplidades P28 '2/Deben estar definidas claramente todas _las informacion responsabilidades para la seguridad de la informacién. Proceso de autorizacién| Controf A6.1.4 |Pata__los equipos de|Debe ser definido y actuado un proceso de sO.1-4 | procesamiento de|autorizacion para los nuevos equipos de informacion procesamiento de informacién. ISOMEC 27001:2005) Pag. 18 de 35 Ed. 61/7 ROO ]Control Se deben identificar y revisar regularmente los A.6.1.5 |Acuerdos de privacidad |requisitos para los acuerdos de privacidad y no divulgacién que reflejen las necesidades de proteccién de la informacién de la organizacién. Controf 6.1.6 [Contactos con I88) Se “deben mantener contactos apropiedos con las autoridades. Control 16.1.7 [Contactos con grupos de| Se deben mantener contactos apropiados con grupos “6.1.7 linterés especiales de interés especiales 0 con otros foros especializados en la seguridad y con asociaciones profesionales. Control Se debe revisar en modo independiente el enfoque de el la organizacién para la gestién de la seguridad de la ereotlie ee ae 48] informacién y su actuacién (p. ej. controles, objetivos informacién de los controles, politicas, procesos y procedimientos para la seguridad de la informacién) a intervalos planificados 0 cuando se verifican cambios significativos para la actuacién de la seguridad. A.6.2 Partes externas (BS 7799-2:2002 — punto A.4.2) Objetivo: mantener la seguridad de la informacién y de los equipos de procesamiento de informacién de la organizacién a los administran 0 que se les comunica a los mismos. que tienen acceso terceros, que éstos procesan 0 Identificacién de los Control Se deben identificar los riesgos para la informacion y los equipos de procesamiento de informacién de la A.6.2.1 [riesgos relacionados Con] sraanizaciin derivados de procesos de negocio que pi involucren a terceros y efectuar controles apropiados antes de conceder el acceso. Control Ocuparse de la seguridad|Hay que ocuparse de todos los requisitos para la A.6.2.2 cuando se trata con los|seguridad identificados antes de conceder a los clientes clientes el acceso a la informacién o a los activos de la organizacién. Control Los ecuerdos con terceros — sobri acceso, z rocesamiento, comunicacién o gestién de la Ocuparse de la seguridad| P! niento, 4 6.2.3 |e ine “heucrdoe gan informacion o de los equipos de procesamiento de le terceros informacién de la organizacién, o el agregado de productos o servicios a los equipos de procesamiento de la informacién deben cubrir todos los requisitos para la seguridad pertinentes. A.7__ Gestién de activos /1 2002 — punto A.5) A 7 Responsabilidad sobre los actives (BS 7799-2:2002 — punto A.5. 7) Objetivo: conseguir y mantener una proteccién apropiada sobre los activos de la organizacién. TSOMEC 27007-2005, Pag. 19 de 35 Ed. 017ROOControl Se deben identificar claramente todos los activos y se |debe elaborar y llevar un inventario de todos los |activos importantes. Control Toda la informacién y todos los actives relacionados con los equipos de procesamiento de la informacién A.7.1.1_|Inventario de activos A.7.1.2. |Responsabilidad sobre los activos deben estar bajo la responsabilidad? de alguna persona designada por la organizacién. Control Se deben identificar, documentar e implementar 7.1.3 |U59 2ceptable de 108) regiag para el uso aceptable de la informacién y los activos relacionados con los equipos de procesamiento de la informacién. A. Clasificacién de Ta informacion (BS 7799-2:2002 — punto A.5.2) Objetivo: asegurar que la informacién reciba un nivel de proteccién apropiado. Control 7.2.1. |Ditectrices para _Ia|Se debe clasificar la informacién en términos de valor, “7-21 | clasificacién requisites legales, sensibilidad y criticidad para la organizacién. Control Se debe desarrollar e implementar un conjunto de procedimientos para el etiquetado y el tratamiento de la informacién seguin el esquema de clasificacién adoptado por la organizacién. ‘A.8__ Seguridad de los recursos humanos (BS 7799-2:2002 — punto A.6) 4.8.1 Antes del empleo” (BS 7799-2:2002 = punto A.6. 7) ‘Objetivo: garantizar que los empleados, los contratantes y los usuarios terceros comprendan sus responsabilidades, y sean idéneos para desempefiar los roles para los cuales han sido tomados en consideracién y para reducir el riesgo de hurto, fraude © uso impropio de los equipos. Etiquetado y_ tratamiento A722 | de la informacion Control Se deben definir y documentar los roles y las responsabilidades respecto a la seguridad de los empleados, los contratantes y los usuarios terceros segin a politica para la seguridad de la informacién de la organizaci6n. Cantrol Se deben realizar controles de verificacién sobre los datos de todos los candidatos al ‘emplec, los contratantes y los usuarios terceros, de acuerdo con A8.1.2 [Seleccién las leyes, los reglamentos y la ética pertinentes, y en proparcién a los requisitos de la empresa, la clasificacion de [a informacion a que podran acceder y los riesgos percibidos. Controi Empleados, contratantes y usuarios terceros deben acordar y firmar les condiciones de empleo en que deberén enunciar sus responsabilidades y las de la organizacién respecto a la seguridad de la informacién. A8.1.1_ |Roles y responsabilidades A.8.1.3 | Condiciones de empleo A. 8.2 Durante ef empleo (BS 7799-2:2002 - punto A.6.2.1 - A.6.3.5) Objetivo: lograr que empleados, contratantes y usuario terceros sean conscientes de las amenazas y las preocupaciones inherentes a la seguridad de la informacién y de sus responsabilidades, y que estén equipados para poder respeter la politica de seguridad de la organizacién durante el desarrollo de su trabajo y reducir el riesgo de error humano. 2 Expiggoién; el termina wrespensablo» owner en idioma original identifica a un individuo o una entidad euya reeponsabilidad de ‘gestién he sido aprebads pare controlar Ie produccién, el desarrollo, el mantonimionto, cl uso y Ta seguridad de los activos. E1 férmino owner (euya significado. primario es wpropiatario, posetor) no significa que la persons tenga realmente derechos de propiedad sobre los actives. 2 enlieacién: con la palabra «empleo» se dosea cubrir todas Ias situaciones que siguen: contratacién de personas [por tiempo deteiminado o indeterminado), asignatién de roles de trabojo, cambios de roles da. (rabajo, asignacidn Ge contratos, y término de ‘ualgulora de estas disposiciones.. ISO/IEC 270012005 Pag. 20 de 35 Ed. 07 7ROOResponsabilidades de la Control La Direccién debe exigir que empleados, contratantes 8.2.1 | Responsa y usuarios de terceros apliquen la seguridad de acuerdo con las politicas y los procedimientos establecidos por la organizacién. eaten mm sn{ Todos los empleados de la organizacién y, en su Sensibilizacién, instrucclon| eas, todos fos contratantes y los usuarios terceros A822 |¥e nidod ‘de ig|deben recibir formacién sobre la sensibilizacion y informacién actualizaciones periédicas sobre las politicas y | procedimientos de la organizacién de acuerdo con la funcién que desempefian. Control 1.8.2.3 |Procedimiento disciplinario |2Be haber un procedimiento disciplinario formal para los empleados que cometan violaciones de la seguridad, Objetivo: A. 8.3 Término 0 cambio del empleo organizacién o cambien empleo en man garantizar que empleados, contratantes y usuarios de terceros dejen una era ordenada. A831 Responsabilidades inherentes al cese del empleo Control Se deben claramente definir_y asignar_las responsabilidades en caso de cese o cambio de empleo. A8.3.2 Devolucién de los activos Controf Se debe formalizar el proceso de cese de modo que incluya la devolucién de todo el software, los equipos y los documentos empresariales precedentemente entregados. También se deben devolver otros activos de la organizacién tales como ordenadores portatiles, tarjetas de crédito, tarjetas de acceso, software, manuales e informacién almacenada en medios electrénicos. AB.3.3 Revocacién de —los. derechos de acceso Control Se deben revocar los derechos de acceso a la informacién y a los equipos de procesamiento de la informacién de todos los empleados, los contratantes y los usuarios terceros al cese de su funcién, contrato © acuerdo, 0 debe modificarse después de cada cambio. |A.9 Seg medioambiontal (BS 7799-2:2002 — punto A. 7] Objetive A. 9.7 Areas seguras (BS 7799-: 002 Prevenir un acceso fisico no autorizado, dafios e interferencias en la sede y la informacién de la empresa. = punto A.7.1) A914 Perimetro fisico de seguridad control Se deben user perimetros de seguridad (barreras tales como muros, puertas de ingreso controladas por tarjetas 0 con una recepcién) para proteger las areas que contienen la informacién y los equipos de procesamiento de la informacion. A9.1.2 Controles para la entrada fisica Control las dreas seguras deberan estar protegidas por controles de entrada epropiados, para asegurar que se permita el acceso solo al personal autorizado, ISO/IEC 37007:2005 Pag. 21 de 35 Ed. 017 ROOFoner en condiciones de A9.1.3 | seguridad oficinas, habitaciones y equipos Control Se debe proyectar y aplicar la seguridad fisica para oficinas, habitaciones y equipos. Protegerse contra A.9.1.4 |amenazas externas y medioambientales Contro? Se debe proyectar y aplicar la proteccién fisica contra dafios causados por incendio, inundacién, terremoto, explosion, revueltas y otras calamidades naturales 0 causadas por el hombre. A.9.1.5 | Trabajar en dreas seguras Conitror Se deben proyectar y aplicar protecciones fisicas y directrices para trabajar en areas seguras. Acceso piblico, areas de A9.1-6 | entrega y de carga ‘ontrol Se deben controlar los puntos de acceso tales como las dreas de entrega y de carga y otros puntos por los. cuales pueden acceder a las instalaciones personas no autorizadas y, de ser posible, los equipos de procesamiento de la informacién deben ester aislados para evitar accesos no autorizados. 4.9.2 Seguridad de Tos équipos (BS 7. Objetivo: prevenir pérdidas, dafios, hu actividad de la organizacién. 99-2:2002 - punto A.7.2) Tos 0 riesgos para los actives e interupciones de la Colocacién y proteccién A921 de los equipos “onitroT Los equipos deben estar conectados y protegidos para reducir los riesgos de amenazas y peligros del entomo y las ocasiones de accesos no autorizados. A.9.2.2 | Servicios de soporte Controf Los equipos deben estar protegidos contra la falta de corriente y contra otros fallos causados por carencias en los servicios de soporte. A.9.2.3 |Seguridad de los cables Control Los cables de corriente y las telecomunicaciones que transportan datos o servicios informativos de soporte deben ester protegidos contra interceptaciones o dafios. Mantenimiento de los A924 | ecuipos Contro? Los equipos deben ser mantenidos correctamente para permitir disponibilidad e integridad continuas. Seguridad de los equipos A925 | fuera da la sede Control Se debe aplicar la seguridad a los equipos que estan fuera de la sede, teniendo en cuenta los diferentes Fiesgos de procesamiento fuera de las instalaciones de la organizacién. Eliminacién 0 reutiizacién 4-928 | segura de los equipos fontrol Se deben controlar todos los equipos que contienen dispositivos de almacenamiento para asegurar que todos los datos sensibles y el software con licencia hayan sido climinados 0 sobrescritos en seguridad antes de la eliminacién. 4.9.2.7 |Remocién de la propiedad “ontror Los equipos, la informacién o el software no deben ser sacados de la sede sin previa autorizacién. A.10 Gestién de las comunicacion A.8) eS y las operaciones (BS 7799-2:2002 — punto A.10.7 Procedimientos y responsabilidades operativas (BS 7799-2:2002 ~ punto A.8.1] Objetivo: asegurar el funcionamiento correcto y seguro de los equipos de procesamiento de la informaci6n. Procedimientos operatives A-10.1-1 | documentados Coniror Los procedimientos operativos se deben documentar, mantener y poner a disposicién de todos los usuarios que los necesiten. A.10.1.2 | Gestién de los cambios Conirol Se deben controlar los cambios de los sistemas y de los equipos de procesamiento de la informacién. ISONEC 27007:2005 Pag. 22 de 35 Ed. 077 ROOA.10.1.3 | Segregacién de funciones Contra Se deben segregar las funciones y las dreas de responsabilidad para reducir las ocasiones de modificaciones no autorizadas 0 no intencionales de los activos de la organizacién 0 su uso impropio. Separacién de los equipos A.10.1.4 |de desarrollo, de prueba Y operativos Controf Se deben separar los equipos de desarrollo de los de prueba y de los operatives, para reducir el riesgo de accesos no autorizados 0 modificaciones del sistema operativo. del servi terceros, io de acuerdo con las dispos 4.10.2 Gestién del Suministro del servicio por terceros (8S 7799-22002 ~ punto A.4.3] Objetivo: actuar y mantener el apropiado nivel de seguridad de la informacién y de suministro siciones para el suministro del servicio por parte de A.10,2.1. | Suministro del servicio Control Hay que asegurar que los controles para la seguridad, las definiciones del servicio y los niveles de inistfo comprendidos en el acuerdo de suministro io por parte de terceros sea realizado, funcione correctamente y sea mantenido por el tercero, Monitorizacién y revision A.10.2.2 |de los servicios de terceros Contror Se deben monitorizar regularmente y revisar los servicios, los informes y los registros suministrados por los terceros, y se deben realizar reguiarmente auditorlas. Gestionar los cambios de A10.2.3 |i9g servicios de terceros Control Se deben gestionar los cambios en el suministro de los servicios (comprendidos mantenimiento y mejora de politicas, procedimientos y controles existentes para la seguridad de la informacién), teniendo en cuenta la criticidad de los sistemas, los procesos de Objetive negocio implicados y la revaloracién de los riesgos. A. 10.3 Planificacién y aceptacion del sistema (BS 779: 002 — punto A.8.2) - minimizar el riesgo de fallos del sistema. A,10.3.1 | Gestién de la capacidad | Controf Se debe monitorizar y perfeccionar el uso de los Tecursos, y se deben hacer proyecciones de requisitos de capacidades futuras para garantizar__ las prestaciones del sistema requeridas. A.10.3.2 | Aceptacién del sistema ‘Controt Se deben establecer oriterios de aceptacién para los nuevos sistemas de informacién, las actualizaciones y las nuevas versiones, y se deben ser realizar pruebas aceptables del sistema realizadas durante el desarrollo y antes de la aceptacion, 4.10.4 Proteccién contra codigos mavi les y maliciosos (BS 7799-2:2002 — punto A.8.3] Objetivo: proteger la integridad del software y de la informacién. Controles contra cédigos A10.4.1 | maliciosos Control Se deben realizar controles para la_individuacién, prevencién y recuperacién, para protegerse contra eédigos maliciosos, y también se deben poner en Préctica procedimientos especiales de sensibilizacion de los usuarios. Controles contra cédigos A104.2 | rsviles Control Cuando esté autorizade el uso de cédigos moviles, la configuracién debe garantizar que el cddigo movil autorizado funcione de acuerdo con una politica para la seguridad claramente definida, y se debe impedir la siecucién de cédigos méviles no autorizados. ‘A.10.5 Copias de seguridad (Back-up) Objetivo; mantener la integridad y la elaboraci6n de la informacién. 'S 7799-2:2002 ~ punto A.&.4) disponibilidad de la informacién y de los equipos de ISONEC 27007:2005 Pag. 23 de 35 Ed. 077 ROOA.10.5.1 informacién Copias de seguridad de la Control Se deben realizar regularmente copias de seguridad de la informacién y de los programas, y se las debe someter regularmente a prueba de acuerdo con la politica concordada para las copias de seguridad. ‘A.10.6 Gestion de la seguridad de las redes (BS 7799-2:2002 — punto A.8.5) Objetivo: asegurar la proteccién de | infraestructuras de soporte. la informacion en las redes y la proteccién de las Control Las redes deben ser administradas y controladas adecuadamente para estar protegidas contra A.10.6.1 | Controles de red amenazes y para mantener la seguridad de los sistemas y las aplicaciones que usan la red, comprendida la informacién en trénsito. control Las carecteristicas. de la soaurided, los niveles de q servicio los requisitos de gestién de todos los .10,6.2. |S2autidad de los servicios | Servicios de red deben ser identficados ¢ incluidos en de red eventuales acuerdos para los servicios de red, sea que tales servicios sean suministrados a nivel interno © como outsourcing. ‘A. 10.7 Tratamiento de los medios i Objetivo: pi revenir la divulgacién, modifi '799-2:2002 — punto A.8.6) icaci6n, remocién o destruccién no autorizadas de los activos y Ia interrupcidn de las actividades de la empresa. Gestién de los medios Control A.10.7.1 | > a aT Deben existir procedimientos para la gestién de los informaticos méviles medios méviles. Control ; _ Hate ant " Los medios deben ser eliminados en modo seguro y A.10.7.2. |Eliminacién de los medios | ecoiggico cuando dejen de ser neceserios, usando procedimientos formales. Control 7 Procedimientos para el|Se deben establecer procedimientos para el A.10.7.3. | tratamiento de la|tratamiento y el almacenamiento de la informacién informacion con el fin. de proteger dicha informacion de divulgaciones no_autorizadas y uso impropio.. ‘Seguridad de Ta| Contro? A.10.7.4 |documentacién del|Se debe proteger la documentacién del sistema sistema contra accesos no autorizados. ‘A.10.8 Intercambio de la informacion (BS 7799-2:2002 ~ punto A.8.7) Objetivo: mantener la seguridad de Ia i informacién y los programas intercambiados dentro de fa organizacin y con eventuales entidades externas. Politicas y procedimientos Control Deben existir poli icas, procedimientos y controles .10.8.1 |para el intercambio de la| formales para el intercambio con el fin de proteger los informacién intercambios de informacién mediante el uso de todos los tipos de servicios para les comunicaciones. | Control A.t0.8.2. |Acuerdos para|Se deben estipular acuerdos para el intercambio de “10.8.2 | intercambios informacion y programas entre la organizacién y terceros. Control Se deben proteger del acceso no autorizado, uso A.10.8.3 | Medios fisicos en transito |impropio o corrupcién los medios que contengan informacién durante el transporte mas alla de los Iimites. fisicos de la organizacién. Control A.10.8.4 |Mensgjes electrénicos _|Se debe proteger en modo apropiado Ie informacién contenida en los mensajes electronicos. Control a i «,)Se deben desarrollar y aplicar politicas y a.to.e.s |Sistemas, de informacion |erocedimientos para_proteger_ la informacién en ei relacién con la interconexién de los sistemas de informacién de la empresa. ISO/IEC 27001:2005 Pag. 24 de 35 Ed. 01/ ROOObjetivi 4.10.9 Servicios para el comercio electrénico (BS 7799-2:2002 — punta A.8.7] garantizar la seguridad de los sen jos para el comercio electrénico y su uso seguro. | A.10.9.1. | Comercio electrénico Control La informacién involucrada en el comercio electrénico que pasa a la red publica debe ser protegida contra actividades freudulentas y disputes contractuales, y contra_divulgacién y modificacién no autorizadas. A.10.9.2 |Transacciones en linea ‘ontrol Se deben proteger la informacién relacionada con las transacciones en linea para prevenir transmisiones incompletas, desviaciones, alteraciones, divulgacién, duplicacion o repeticién no autorizada de mensajes. AN08.3 | rblico Informacién disponible al/Se debe proteger Ia integridad de la Control yformacién puesta a disposicién en un sistema disponible al publico, para impedir modificaciones no autorizedas. 4.10.10 Monitorizacién(BS 7799-2:2002 = punto A.8.4 — A.9.7) Objetivo: individuar actividades de procesamiento de la informacién no autorizadas. A,10.10.1 | Diarios de auditoria Contror Se deben elaborar diarios de auditoria que registren las actividades de los usuarios, las excepciones y otros eventos relacionados con la seguridad de la informacién, y se deben mantener por un periodo de tiempo concordado, para soporte de futuras investigaciones y para la monitorizacién del control de accesos. Uso del _ sistema A-10.10.2 | monitorizacion Controf de| Se deben establecer procedimientos para monitorizar el_uso de los equipos de procesamiento de la informacién, y se deben revisar regularmente los resultados de la actividad de monitorizacion. ControT del operador ‘A.10.10.3|Proteccin —de_—_la|Se deben proteger los equipos para los registros y la veel informacion de los /ogs informacién en los /ogs contra manipulaciones y acceso no autorizado. ais Control A.10.10.4|L98, del administrador ¥/ Se deben registrar las actividades del administrador de sistema y del operador de sistema. Control A.10.10.5| Intentos de acceso fallidos |Se deben registrar y analizar los intentos de acceso fallidos, y se deben emprender acciones apropiadas. Sincronizacién de A.10.10.8 | lores rontrol Los relojes de todos los sistemas pertinentes de fos | procesamiento de la informacién de una organizacién 0 de un dominio de la seguridad deben estar sincronizados con una fuente temporal precisamente establecida. 4.11 Control de accesos (BS 7799-2:2002 — punto A.9] |A.77.7 Requisitos de negocio para el control de accesos (BS 7799-2:2002 ~ punto A.9. 1) Objetivo: controlar el acceso a la informacion. pe Tiatst accesos Control Politica para el control de|Se deberd implementar, documentar y revisar una politica de accesos sobre la base de requisitos de negocio y de seguridad. Objetivo: asegurar los accesos 4.11.2 Gestion de accesos de los usuarios (BS 7799-2:2002 — punto A.9.2) de los usuarios autorizados y prevenir accesos no autorizados a los sistemas de informacién. A.11.2.1. | Registro de usuarios Control Debe existir un procedimiento formal de registro y cancelacién de registro para conceder y revocar el acceso a todos los sistemas y los servicios de informacion. ISOMEC 27007:2005 Pag. 26 de 35,A.11.2.2 [Gestion de privilegios de acceso Control Se debe restringir y controlar la distribucién y el uso de privilegios de acceso. AN123 de los usuarios Gestién de las contrasefias a Control La distribucién de las contrasefias debe ser controlada mediante un proceso formal de gestién. A.11.2.4 {Revision de los derechos de acceso de los usuarios Control La Direccidn debe revisar los derechos de acceso de los usuarios a intervalos regulares usando un proceso formal. A. 77.3 Responsabilidad de los usuarios (BS 7799-2:2002 — punto A.9.3 — A.7.3) Objetivo: prevenir accesos por parte de usuarios no autorizados y hurto o manipulaciones que afecten la informacién y los equipos de procesamiento de datos. A.11.3.1. |Uso de contra: sefias Controt Se debe solicitar a los usuarios que sigan determinadas précticas de seguridad en la eleccién y el uso de las contrasafias. 14.11,3.2. |Equipamiento Por parte de los usu: sin vigilancia ontrol Los usuarios deben asegurarse que los equipos que no estén sometidos a vigilancia dispongan de una proteccién apropiada. Politica del escritorio A.11.3.3. |despejado y de la pantalla despejada ‘Control Se debe aplicar la politica del escritorio despejado para los papeles y los dispositivos de almacenamiento méviles y la politica de la pantalla despejada para los equipos de procesamiento de la informacion. A.71.4 Control de acceso ala red (BS Objetivo: prevenir accesos no autori. 799-2:2002 — punto A.9.4] izados a los servicios de red. A.11.4,1 [Politica para el uso de los servicios de red Control Los usuarios deben tener acceso directo sdlo a los icios que estén especificamente autorizados a usar. ContraT A.11.4.2 |Autenticacién del usuario) Se deben usar sistemas de autenticacién apropiados ve" | para conexiones externas |para controlar el acceso por parte de usuarios remotos. A.11.4.3. |!dentificacién de los equipos en las redes Controt Se debe tomar en consideracién la identificacion automdtica de los equipos para autenticar las conexiones desde localizaciones y — equipos especificos. Proteccién de los puertos A.11.4.4 |de diagnéstico y de configuracién Temotos, Control Se debe controlar el acceso fisico y Iégico a los puertos diagnésticos y de configuracién. A.11.4.5. |Segregacién en las redes Controf Los grupos de servicios de informacién, de usuarios y de sistemas de informacién deben estar segregados en las redes. A116 |For Control de la conexién a la control Para las redes compartidas, en especial aquellas que se extienden més allé de los confines de la organizacién, la capacidad de los usuarios de conectarse a la red debe estar limitada, de acuerdo con la politica de control de accesos y los requisitos de las aplicaciones empresariales. Control del A147 | Gia cod enrutamiento Control Se deben efectuar los controles de enrutamiento de las redes para garantizar que las conexiones informéticas y los flujos de informacion no violen la politica de control de acceso a las aplicaciones empresariales. A.11.5 Control de acceso al sistema operative (BS 7799-2:2002 — punto A.9.5) Objetivo: prevenir accesos no autorizados a los sistemas operativos. TSOMEC 27007:2005 Pag. 26 de 35 I Ed. 047 ROOA.11.5.1 [Procedimientos seguros de | Contror Se debe controlar el acceso a los sistemas operativos amici a través de un procedimiento de acceso seguro. Control Todos los usuarios deben tener una identificacién 11.8.2. | !entificacion y| nica autenticacién del usuario (ID de usuario) para uso exclusivamente personal, y se debe escoger una técnica de autenticacién idénea para garantizar la identidad declarada del usuario. Sistema de gestién de las Control A11,5.3 A: Los sistemas de gestién de las contrasefias deben ser Laialinlahdning interactivos garantizar contrasefias de calidad. : Control A.11,5.4 |US© de las utilidades del]Se debe limiter y controlar rigidamente el uso de Lt sistema programas de utilidad que podrian ser capaces de [ superar los controles aplicativos y del sistema. Limite de tiempo (Time-| Control A11.5.5 | pimite de temps Se deben apagar las sesiones inactivas después de un determinado perfodo de inactividad. Control A11.5.6 Limitacién del tiempo de|Se deben aplicar restricciones al tiempo de conexién conexién para proporcionar una ulterior seguridad a las aplicaciones de alto riesgo. ‘A.1T.6 Control de acceso a las aplicaciones y a la informacion (BS 7799-2:2002 - punto A.9.6) Objetivo: prevenir accesos no autorizados a informacién contenida en sistemas aplicativos. Restriccién del acceso a la A11.6.1 |informacién ControT Se debe limitar el acceso a la informacién y a@ las funciones del sistema aplicativo por parte de los usuarios y del personal de soporte de acuerdo con la politica definida para el control de accesos, Aislamiento de sistemas A116.2 | sensibles Control Los sistemas sensibles deben tener un entorno informatico dedicado (aislado). A.1T.7 Ordenadores portatiles y telatral 1ajo [BS 7799-2:2002 — punto A.9.8) Objetivo: garantizar la seguridad de la informacién cuando se usan ordenadores portatiles y plataformas de teletrabaj jo. Comunicaciones y A117-1 | Crdenadores portatiles Controf Se debe adoptar una politica formal y medidas de seguridad apropiadas para protegerse contra los riesgos derivados del uso de instalaciones de comunicacién y ordenadores portatiles. A.11.7.2 |Teletrabajo control Se deben desarrollar y poner en practica una politica, planes operativos _y procedimientos para las actividades de teletrabajo. A.12 Adquisicion, desarrollo y mai 7799-2:2002 — punto A.10) A, 10,1) Objetivo: garantizar que \a seguri informacion. intenimiento de los sistemas de informacién (BS| 12.1 Requisitos para la seguridad de los sistemas de informacion (BS 7799-2:2002 — punto fidad sea parte integrante de los sistemas de Analisis y especificaciones A.12.1.1 |de los requisites para la seguridad Control EI contenido de los requisitos empresariales para nuevos sistemas de informacién, o para el mejoramiento de los existentes, debe especificar los requisitos de los controles de seguridad. A. 72.2 Correcto procesamiento en las aplicaciones (BS 7799-2:2002 — punto A.10.2) Objetivo: prevenir errores, pérdidas, modificaciones no autorizadas 0 uso impropio de la informacién en las aplicaciones. ISONEC 27007:2005 Pag. 27 de 35 Ed. 07/7 ROOValidacién de los datos de/Los datos de entrada de los sistemas aplicativos Control salida A224 | entrada deben ser validados para asegurar que sean correctos y apropiados. Control Se deben incorporar en las aplicaciones los controles 12.2.2, | Control - '05)de validaciOn, para individuar eventuales datos 2 la Procesamientos interns informacion debidos a errores de procesamiento 0 a actos intencionales. : Control Se deben identificar los requisitos para garantizar la A.12.2.3 | Integridad de los mensajes |autenticidad y para proteger la integridad de los mensajes en las aplicaciones, y se deben identificar y poner en practica controles apropiados. Control d 4 7 Los datos de salida de una aplicacién deben ser A.12.2.4 |Valdacion de datos de} Jaiigados para garantizar que el procesamiento de Ia informacién almacenada sea correcto y apropiado a las circunstancias. A.12.3 Controles criptograficos (BS 7799-2:2002 — punto A.10.3) Objetivo: proteger la confidencialidad, autenticidad o integridad de Ia informacion con medios_criptogrdticos. Control A.12.3.1. {Politica para el uso de los|Se debe desarrollar e implementar una politica sobre eS" ‘controles criptogréficos [el uso de los controles criptograi la oteccién de la informacién. Control 5 Debe existir una gestién de las claves de apoyo al uso A.12.3.2 | Gestion de claves de las técnicas criptogréficas por parte de la organizacién. |A. 12.4 Seguridad de los archivos del sistema (BS 7799-2:2002 ~ punto A.10.4] Objetivo: garantizar la seguridad de los archivos del sistema. ontrol A.12.4,1 [Contrel del software) Deben’ existir procedimientos para controlar la Ps instalacién de programas en los sistemas operativas. Proteccién de los datos de| S770 : 12.4.2 | Provecciin’ de los « Se doben seleccionar cuidadosamente los datos de er prueba, y se los debe proteger y controlar. Control de accesos all Contror A12.4.3 |cédigo fuente —del/Se debe limitar el acceso al cédigo fuente del programa programa. ‘A. 12.5 Seguridad en los procesos de desarrollo y de soporte (BS-7799-2:2002 = punto de software A. >) Objetivo: mantener la seguridad del software y la informacién de los sistemas aplicativos. Contror A.12.5.1 |Procedimientos para el|Se debe controlar la ejecucién de los cambios "129-1 leontrol de los cambios | mediante el uso de _procedimientos formales para el control de los cambios. Control Revisién técnica de 1as| Cuando se cambian los sistemas operativos, se deben A.12.5.2 |@blicaciones después de|revisar y someter a prueba las aplicaciones "2-5-2 \cambios de los sistemas|empresariales criticas para aseurar que no. se operativos produzca un impacto negativo sobre las operaciones de la organizacién o sobre la seguridad. fontror Restricciones sobre los|Se deben desalentar las modificaciones de los A.12.5,3 |cambios de los paquetes|paquetes de software y. limitarlos a los cambios necesarios, y se deben controlar estrictamente todos los cambios. ISOMEC 27007:2005 Pag. 26 de 55 Ed. 017 ROOA.12.5.4. | Filtracién de informacién Control Se deben prevenir las oportunidades que puedan causar filtraciones de informacion. Desarrollo de softwere en A12.5.8 | cuisourcing Control El desarrollo de software en outsourcing debe ser suparvisado y monitorizedo por la organizaci6n. A.12.6 Gestion de las vulnerabilidades Objetivo: reducir los riesgos resulta técnicas publicadas. ‘técnicas intes del aprovechamiento de las vulnerabilidades Control de las A12.6.1 | Vuinerabilidades técnicas Contror Se debe obtener tempestivamente informacién sobre las vulnerabilidades técnicas de los sistemas de informacién usados, evaluar la exposicién de la organizacién a tales vulnerabilidades y tomar medidas apropiadas para afrontar los riesgos asociados. ‘A-13 Gestién de los incidentes inher 2:2002 ~ punto A.6.3) rentes a la seguridad de la informacion (BS 7799- A.13.1 Elaborar informes sobre Tos informacion (BS 7799.. Objetivo: garantizar que se comuniq correctivas tempestivas. ;2002 — punto A.6.3) en las deficiencias relacionadas con los sistemas de informacién y con la seguridad de la informacién, para poder emprender acciones eventos y las deficienclas de la seguridad de Ta Elaborar informes sobre A.13.1.1 |!08. eventos relacionados ST" leon la seguridad de la informacién. Control Se deben elaborar informes sobre los _incidentes relacionados con la seguridad lo més répidamente posible, mediante canales de gestién apropiados. Elaborar informes sobre A.13.1.2 |las deficiencias de la seguridad Control A todos los empleados, los contratantes y los usuarios terceros de los servicios y sistemas de informacién se les solicitaré que anoten eventuales amenazas 0 deficiencias de la seguridad observadas 0 sospechadas en el ambito de los servicios 0 los sistemas, y que elaboren los respectivos informes. |A.73.2_ Gestion de las mejoras y informacion incidentes inherentes a la seguridad los incidentes relacionados con la seguridad de la (BS 7799-2:2002 - punto A.6.3) Objetivo: asegurar que se aplique un enfoque coherente y eficaz a la gestién de los de la informacién, Control Se deben establecer__responsabilidades y Aprender de los incidentes A.13.2.2 |de la seguridad de la informacion 13.2.1 |Responsabllidades Y|procedimientos para asegurar una respuesta rapida, 7 eficaz y ordenada a los incidentes inherentes a la seguridad, [" Control Deben existir_ mecanismos que permitan la cuantificacién y la monitorizacién de los tipos, volumenes y costes de los incidentes inherentes a la A.13.2.3. |Recogida de las pruebas seguridad de la informacién. ‘ontrol Cuando se entabla una accién legal (civil o penal) contra una persona o una organizacién como consecuencia de un incidente inherente a la seguridad, se deben recoger, conservar y presentar las pruebas en modo conforme a las reglas sobre las pruebas suministradas a las jurisdicciones pertinentes. 4.14 Gestion dé la continuidad de negocio (BS 7799-2:2002 — punto A.11) ISOMEC 27001-2005 Pag. 29 de 36 Ed. 017 ROO4.14.1 Aspectos relacionados con la seguridad de la informacién de la gestién de Ja} continuidad de negocio (BS 7799-2:2002 ~ punto A.11.1) Objetivo: cancelar las interrupciones de las actividades de la empresa y proteger los procesos de negocio criticos contra los efectos de fallos graves de los sistemas de informacién o de desastres y garantizar su tempestivo restablecimiento. A14.1.1 de gestion de continuidad de negocio Incluir la seguridad de la informacién en el proceso la ‘ontrol Se debe desarrollar_y mantener un proceso gestionado para la continuidad de negocio en toda la organizacién, que se ocupe de los requisitos de la seguridad de la informacién necesarios para la continuidad de negocio de la organizacin. A14.1.2 valoracién de riesgos Continuidad de negocio y Control Se deben identificar los eventos que puedan causar interrupciones en los procesos de negocio, probabilidad de que ccurran, impactos y consecuencias para la seguridad de la informacion. A14.1,3 de la informa’ Deserrollar y _ejecutar planes de continuidad que comprendan la seguridad Control Se deben desarrollar y poner en practica planes para mantener o restaurar las operaciones y garantizar la disponibilidad de la informacién al nivel requerido y en los tiempos necesarios después de una interrupcién o de un fallo en los procesos de negacio eriticos. ATA Estructura para planificacién de continuidad de negocio la la Contror Se debe mantener una Unica estructura de planes de continuidad de negocio para asegurar que todos los planes sean coherentes, para ocuparse en modo coherente de los requisitos de la seguridad de la informacién e identifica las prioridades para la prueba y el mantenimiento. A14.1.5 Prueba, mantenimiento y revaluacién de los planes de continuidad de negocio Control Se deben comprobar y actualizar regularmente los planes de continuidad de negocio, para asegurarse que estén siempre actualizados y sean eficaces. ‘A.18 Contormidad (BS |A. 18.7 Conformidad con los requisitos Objetivo: evitar violaciones de cualquier ley, obligaciones estatutarias, inderogables y contractuales, y de los requisitos pa 99-2:200. ~ punto A. 72) Tegales (BS 7799-2:2002 = punto A.72.1] ra la seguridad. A15.1.1 Identificacion de. legislacién aplicable la Contra Se deben definir explicitamente, documentary actualizar todos los requisitos _estatuterios, inderogables y contractuales pertinentes, y también la orientacién de la organizacién hacia el cumplimiento de los mismos respecto a cada sistema de informacién y a la organizacién. A15.1.2 intelectual Derechos de propiedad Control Se deben aplicar procedimientos apropiados para asegurar la conformidad con los requisitos legislativos, inderogables y contractuales sobre el uso del material que pueda estar sujeto a derecho de propiedad intelectual y el uso de productos de software de propiedad. A15.1.3 de la organizacién Proteccién de los registros ‘ontrol Los registros importantes de una orgenizacién deben ser _protegidos contra pérdidas, destruccién falsificacién, como establecen’ los requisitos estatutarios, _inderogables, contractuales.—y empresariales. A.15.1.4 privacidad de informacién personal Proteccién de los datos y la ‘ontror Se debe garantizar la proteccién de los datos y la privacidad segtin establece la legislacién y los reglamentos pertinentes y, en su caso, las cldusulas contractuales. TSOMEC 27001; 2005 Pag. 30 de 35 Ed 017 ROOPrevencion de uso impropio de los equipos de Control Se debe desalentar a los usuarios que usen equipos controles criptograficos mete de la|de procesamiento de la informacién con fines no informacién autorizados. control 'A.18.1.6 |Reglamento de__los|Los_controles criptogréficos deben ser usados de conformidad con todos los acuerdos, las leyes y los feglamentos pertinentes. 7799-2:201 102 — punto A. 12.2) Objetivo: esegurar la conformidad d la seguridad de la organizacién. ‘A.15.2 Conformidad con politicas y normas para la seguridad, y conformidad técnica (BS je los sistemas con las politicas y las normas para Conformidad con la Control Los dirigentes deben asegurarse que todos los procedimientos para la seguridad que recaen en su FR poten eS PA? /area de responsabilidad sean _realizados correctamente para conseguir la conformidad con las politicas y las normas de seguridad. Control A18.2.2 |Vetificacién dela Se deben verficar regulermente la conformidad de los 15.2.2 | conformidad técnica sistemas de informacién con las normas de actuacién de la seguridad, A.15.3 Consideraciones sobre las auditorias de los sistemas de informacion (BS 7799-2:2002 ~ ‘punto A.12.3) Objetivo: maximizar la eficacia del proceso de auditoria de los sistemas de informacién y_minimizar su interferencia. Controles de las auditorias ‘onto ; : Los requisitos para las auditorias y las actividades que se refieren a las verificaciones de los sistemas de los sistemas de informacién A15.3.1 |de | los , sistemas de | operativos deben ser planificados atentamente y concordados de modo que se minimice el riesgo de trastomos en los procesos del negocio. roteccion de _las| Control '.15.3.2 |herramientas de auditoria|Se debe proteger el acceso a las herramientas de auditoria de los sistemas de informacién para prevenir su _uso impropio o comprometido. TSOMEC 27001:2005 Pag. 31 de 35 Ed. O17 ROOAnexo B (informativo) Los principios de la OCDE y la presente norma internacional Los principios que proporcionan las Directrices OCDE para la seguridad de los sistemas y las redes de informacién (OECD Guidelines for the Security of Information Systems and Networks) se aplican a todos los niveles operativos y a la politica que gobierna los sistemas y las redes para la seguridad de la informacién. para el SGSI, para actuar algunos de los pi los procesos descritos en las cléusulas 4, Esta norma internacional representa un marco pios de la OCDE que usan el modelo PDCA y 5, 6 y 8, como indicado en la Tabla 8.1. Tabla B.1 - Los principios de la OCDE y el modelo PDCA Principio de la OCDE Proceso _ del correspondiente GST y PDCA] ase [Toma de conciencia Los participantes deberian tomar conciencia de las necesidades inherentes a los sistemas y las redes para la seguridad de la informacién, y hacer todo la posible para aumentar la seguridad. Esta actividad forma parte de la fase Realizer (¥. 4.2.2) 5.2.2). Responsabilidades Todos los participantes son responsables de los sistemas y las redes para la seguridad de la informacién. Esta actividad forma parte de la fase Realizar (v. 4.2.2 5.1), Respuesta Los participantes deberian actuar de manera tempestiva y cooperando para prevenir, individuar y responder a los incidentes de la seguridad. Esta es, en parte, una aclividad de monitorizacién de la fase Controlar (v. 4.2.3 y de 6 a 7.3) y una actividad de respuesta de la fase Mejorar (v. 4.2.4 y de 8.1 2 8.3). También puede ser tratada en ciertos aspectos de las fases Planificar y Controlar. Valoracién del riesgo Los participantes deberlan realizar valoraciones de los riesgos. Esta actividad forma parte de la fase Planificar (v, 4.2.1) y la revaloracién del riesgo forma parte de la fase Controlar (v. 4.2.3 y de 6 2 7.3). Plonificar y actuar la seguridad Los patticipantes deberian incorporar la seguridad como elemento esencial de los sistemas y de las redes de informacién. Una vez que la valoracién del riesgo ha sido completada, se escogen los controles para el tratamiento ‘de los riesgos como parte de la fase Planificar (v. 4.2.1). La fase Realizar (v. 4.2.2 y 5.2) trata la implementacién y el uso operative de dichos controies. Gestion de la seguridad Los patticipantes deberlan adoptar un enfoque extaustivo para la gestién de la seguridad La gestion del riesgo es un proceso qué comprende la prevencién, la individuacién y la respuesta a los incidentes, el mantenimiento continuo, las revisiones y las auditorias, Todos estos aspectos estan englobados en las fases Planificar, Realizar, Controlar y Mejorar. Revalorac Los participantes deberlan revisar y revalorizar los sistemas y las redes para la seguridad de la informacion y aportar modificaciones apropiadas a la politica, las practicas, las medidas y los procedimientos de seguridad. La revaloracién de la seguridad de Ta Informacion forma parte de la fase Controlar (v. 4.2.3 y de 6 a 7.3), donde deberian ser realizadas_revisiones regulares para verificar la eficacia del SGSI; mejorar Ja seguridad forma parte de la fase Mejorar (v. 4.2.4 de 8,128.3) [[“"ISO/EC 27007-2005 Pag. 32 de 35 Ed, 07 7 ROOAnexo C (informacién) Correspondencias entre ISO 9001:2000, ISO 14001:2004 y la presente norma internacional La tabla C.1 muestra las correspondencias entre la ISO 9001:2000, Ia ISO 14001:2005 y la presente norma internacional. Tabla C.1 - Correspondencias entre ISO 9001:2000, ISO 14001:2004 y Ia presente norma internacional Presents norma intemacional O Introduccién 0.1 Generalidades 0.2 Enfoque por procesos 0.3 Compatibilidad con de gestion BS EN ISO 9007:2000 Ointroduccién 0.1 Generalidades 0.2 Enfoque por procesos 0.3 Relacién con la ISO 9004 0.4 Compatibilidad con sistemas de gestion N 1SO_14007:2004 | in ‘Aleance 1.1 Generalidades 4.2 Aplicacion inalidades y campo de aplicacién 1.1 Generalidades 1.2 Aplicacién 7 Finalidades y campo de aplicacién 2 Roferencias normativas 72 Referencias normativas Referencias normativas 3 Términos y definiciones 3 Términos y definiciones [3 Términos y definiciones TSOMEC 27001-2005 Pag. 33 de 35 Ed O77 ROOPresente norma internacional BS EN ISO 9007:2000 [__BS EN ISO 14007:2004 4 Sistema de gestion de la seguridad de la informacion 4.4 Requisitos generales 4.2 Establecer y gestionar el SGSI 4.2.1 Establecer el SGSI 4.2.2 Implementar y ejecutar el scsi 4.2.3 Monitorizer y revisar el SGSI 4.2.4 Mantener y mejorar el SGSI 4.3 Requisitos de la documentacién 4.3.1 Generalidades 4.3.2 Control de los documentos 4.3.3 Control de los registros @ Sistema de gestion dela calidad 4.1 Requisitos generales 8.2.3 Menitorizacién y medicisn de los procesos 8.2.4 Monitorizacion y medicion de los productos 4.2 Requisitos respecto a la documentacién 4.2.1 Generalidades 4.2.2 Manual de calidad 4.2.3 Tener bajo control los documentos 4.2.4 Tener bajo control los ragistros @ Requisitos del sistema de gestion medioambiental 4.1 Requisitos generales 4.4 Actuacién y funcionamiento 4.5.1 Vigilancia y medicion 4.4.5 Control de los documentos 4.5.4 Control de los registros 5 Responsabilidades de la Direccién 5.1 Compromiso de le Direccion ‘5 Responsabllidades de Direccién 5.1 Compromiso de la Direccién 5.2 Atencion focalizada en el cliente 5.3 Politica para la calidad 5.4 Planificacion 5.5 Responsabilidades, autoridad 4.2 Politica ambiental 4.3 Planificacién [5.2 Gestion de Tos recursos 5.2.1 Suministro de los recursos 5.2.2 Formacién, sensibili ‘competencia 6 Gestidn de los recursos 6.1 Puesta a disposicion de los recursos 6.2 Recursos humanos 6.2.2 Competencia, conciencia y capacitacién 63 Infraestructuras 6.4 Entomo de trabajo 4.4.2 Competencia, formacion y conciencia TSOMEC 27001:2005 (Pag. 34 de 35, Ed, 077 ROOPresente norma internacional BS EN ISO 9007:2000 BS EN 1SO_14007:2004 [6 Auditorias internas del SGST 8.2.2 Verificaciones de inspeccion intema 4.55 Auditoria interna 7 Revision dol ;GSI por parte de la Direcci6n 7.4 Generalidades 7.2 Entrada de la revision 7.3 Salida de la revision 8.6 Revision por parte de la Direccion 5.8.1 Generalidades 5.6.2 Elementos en entrada para la revision 5.8.3 Elementos en salida de la revision 6 Revision de la Direccion |8 Mejora del SGST 8.1 Mejora continua 8.2 Acciones correctivas 8.3 Acciones preventivas. Mediciones, ar y mejora 8.5.1 Mejora continua 8.5.2 Acciones correctivas 8.5.3 Acciones preventivas 4.5.3 No conformidad, acclones correctivas y acciones preventivas ‘Anexo A Controles y objetives del control ‘Anexo B Los principios de la OCDE y la presente norma fernacional Anexo C Correspondencias entre 1S0 90012000, ISO ‘Anexo A Correspondencia entre ISO 9001:2000 e ISO ‘Rnexo A Guia para ef so de Ta presente norma internacional Anexo B Correspondencia entre 180 14001:2004 e ISO 14001:2004 y la presente norma | 14001:1996, 9001:2000 internacional (—“TSOMEC 27007:2005 Pag. 35 de 35 Ed, 017 ROO