Scribd Logo
Upload

Welcome to Scribd!

  • Norma Chilena ISO 27001 PDF

    Uploaded by

    Valentina Reyes Feris
    3 views34 pages

    Original Title

    2. Norma Chilena ISO 27001.pdf

    Copyright

    © © All Rights Reserved

    Available Formats

    PDF or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document

    Copyright:

    © All Rights Reserved
    Download as PDF or read online from Scribd
    Flag for inappropriate content
    3 views34 pages

    Norma Chilena ISO 27001 PDF

    Uploaded by

    Valentina Reyes Feris

    Copyright:

    © All Rights Reserved
    Download as PDF or read online from Scribd
    Flag for inappropriate content
    of 34
    NORMA NCh-ISO 27001 CHILENA Segunda exicién 2013 10.28 FT Tecnologia de la informacion - Técnicas de seguridad - Sistemas de gestion de la seguridad de la informacion - Requisitos Information technology - Secunty techniques - Infomation security ‘management systems - Requirements —— ee Numore de referencia Nehiso 27001-2013, © INN 2013 NORMA CHILENA NCh-ISO 27001:2013 AN DOCUMENTO PROTEGIDO POR COPYRIGHT eonzoss Derechos ae auto: \apresonte Nome Chena se encventra protegia por derecnos de autor 2 copyrisht, pr locus, no puede se reproduc outzeéa en cuales forma o por cualquier medio, slecon ico o mecanc, sn permiso esilo de INN. La publcacien en reel se encuent Prone penads pracy Seseia opreta consonci que encaso dead algin document en foals mpeso leo puede ser capa oKcepa.ditaiacone $sres) encase rma Bap rngina ccurtanca puede ser evensda Asma, sh pesca dele riscadoan eparalersna be sBzumentos soqurios en omalo ne auzada so una pes por atwo, pre so peel do Cen El ions hacopiads oe ‘afcende desu par gaia este arco en computador parson. Bus createed esis aves esl ome aca alee aravés ce envis o anelerencas por cone eesti, pa ev CO. pubicauonen ane! olranely shoes, ‘Silene gure efestad en een con as consioones aie clas, 08 sta Bene ana pega con respec als derechos dea, or ‘nvr conacte la suena crecaon Insttue Nana de Normalzsion- NN Matis Cousin 6 50.6» Santiago da Che Tol + 5624468080 Fax 502 44104 23 (oreo elec neon ‘Sto Web wnat Pbitado en Chie NORMA CHILENA, NCh4SO 27001:2013 Contenido Pagina Preémbulo... — ones : rato ° ot 02 1 Aleance y campo de apl 2 Referencias normativas. 3 Términos y definiciones. 4 Contexto de la organizacién. 44 Gomprender la organizacion y su contexts 42 Comprender las necesidades y expectativas de las partes interesadas 43. Determinar el alcance del sistema de gastién de la seguridad de la informacin 44 Sistema de gestion de la seguridad di : i 5 Liderazgo, S41 Liderazgo y 52 Politica. 53. Roles organizacionales, responssbilidades y autondades.. 6 Planificacién : = a 64 Acciones para abordar ios riesgos y las oportunidades 6.2 Objetivos de seguridad de la informacién y planificacién para lograrios 7 7.3 Conocimiento.... 74 — Gomunicacion. 75 Informacion decumentada 8 Operaci6n. rein 84 Controly pianificacién operacional 8.2 Evaluacién de riesgo de la seguridad de la informaci 8.3 Tratamiento de riesgo de la seguridad de Ia informacion. 8 Evaluacién de desempene een 8.1. Monitoreo, medicién, andlisis y evaliacion 9.2 Auditoria interna... : 9.3 Revisién de gestién.... $0 Mejor narrennn 10.1 No conformidades y acciones 10.2 Mojora continua, : ‘Anexos ‘correctivas... Anexo A (normativo) Objetivos de control de referencia y controles, 13 Anexo B (informativo) Bibliografia ns 28 ‘Anoxo C (informativo) Justificacién de los cambios editoriales. 7 129 (©1NN 2018 - Toco oe derechos reseratos i NORMA CHILENA, NCh-ISO 27001:2013 Tecnologia de la informacion - Técnicas de seguridad - Sistemas de gestién de la seguridad de la informacion - Requisitos Preémbulo El Insttuto Nacional de Normalizacién, INN, es el organisimo que tiene a su cargo e! estudio y preparacion de las nonmas técnicas a nivel nacional. 'Es miembro de la INTERNATIONAL ORGANIZATION. FOR STANDARDIZATION (ISO) y de la COMISION PANAMERICANA DE NORMAS TECNICAS (COPANT) Fepresentando a Chile ante esos organismos. Esta noma se estudé por el Comité Técnico Conjunto de caracteres y codificacién. y define los requerimientos para establecer, implementar, mantener y mejorar de manera continua un sistoma de gestisn ola seguridad de la informacién, dentro del contexio de ia organizacion, Esta norma 5 idéntica a la versién en inglés de la Norma ISO/IEC 27001:2013 Information technology « Security techniques - Information secunty management systems - Requirements. La Nota Explicativa incluida en un recuadro en ciausula 2 Referencias normativas y Anexo B Bibiografa, es Lun cambio editorial que se incluye con el propésito de informa la correspondencia con Norma Chitena de las Normas intemacionales citadas en este noma. Para los propdsitos de esta norma, se han realizado los cambios editoriales que se indican y justifican en Anexo C. ‘Los Anexos B y G no forman parte de a norma, se insertan s6loa titulo informativo ‘Sibien se ha tomado todo el cuidado razonable en la preparacion y revision de los documentos normativos Producto de la presente comercializacién, INN no garantiza que el contenido del documento es actuallzado 0 exacto 0 que el documento sera adecuado para ios fnes esperados pore! Cliente En ta medida permitida por ta legisiacién aplicable, el INN no es responsable de ningin dao directo, indrecto, punitvo, incidentel, especial, consecuencial o cualquier dafio que surja 0 esté coneciado con el usd (© el uso indebido de este documento, Esta norma ha sido aprobada por el Consejo del Instituto Nacional de Normalizacién, en sesién efectuada el 25 de octubre de 2013, ii ‘© INN 2013. Todos lo derechos reservados NORMA CHILENA NChISO 27001:2013 Tecnologia de la informacion - Técnicas de seguridad - Sistemas de gestion de la seguridad de la informacion - Requisitos OIntroduecién 0.1 General Esta norma ha sido preparada para proporcionar los requisitos para establecer, implomentar, mantener y mejorar de manera continua un sistema de gestion de la seguridad de la informacion. La, adopeion del sistema de gestion de la seguridad de la informacion es una decision estratégica para una orgenicacion, El establecimiento © implementacion de un sistema de gestion de la seguridad de la informacion de la ‘tganizacién esta infuenciada por las necesidades y objetivos de ia organizacion, los requisits de seguridad, {os procesos organizacionales utilizados y el tamafo y ia estructura de la organizacion, Se espera ae tacos ‘estos factores de influencia camiblen con el tiempo. El Siotome de gestion de la seguridad de Ia informacion conserva la confdenciaidad, integrdad disponiblidad de a informacién al aplcar un proceso de gestion de riesgo y le entrega confianza ales parle’ interesadas cuyos riesgos son gestionadas de manera adecuada Es importante que el sistema de gestion de seguridad de la informacién sea parte de y este integrado a los brocosos de la organizacién y a ia estructura de gestion general y que la seguridad de fa informacion soa Considerada en el cisefio de procesos, sisiemas de informacion y controles. Se espera que la implemen tacion del sistema de gestion de la seguridad de ta informacion sea escalada segun las necesidades dela organizacién, Esta norma puede ser usada por las partes internas y externas para evaluar la capacidad de la organizacién Para cumplir con los propios requerimientos de saguridad de la informacion de le organizacion El orden en que se presentan los requerimientos en esta norma no refleja su importancia ni implica e! orden fen que seran implementados. La lista de elementos esté enumerada solo como referencia, ISOVIEC 27000 describe las generalidades y el vocabulario de los sistemas de la gestién de la seguridad de |a informacion, relacionando la familia del sistema de gestion de la seguridad de la Informacion de las nownas, (incluidos ISO/IEC 27003, ISOMEC 27004 e ISONEC 27005), con los terminos y definiciones relacionados 0.2 Compatibilidad con otras normas de sistema de gestion Esta norma aplica fa estructura de alto nivel, los titulos de sub-cléusula kdénticos, el texto idéntico, tos términos en comin y las definiciones clave defnidas en Anexo SL de las Directivas de ISONEC, Parte 1 Suplemento ISO Consolidado y por lo tanto, mantiene la compatiblidad con otras normas dei sistema de ‘gestidn que Anexo SL adopto, Este enfoque comin definido en Anexo SL sera itl pare aquellas organizaciones que opten por trabajar con lun solo sistema de gestion que cumpla con los requisites de dos 0 mas normas del sistema de geston, ‘1m 2013 - Toss as ceraanesresvades 1 NCh-ISO 27001:2013 NORMA CHILENA 1 Alcance y campo de aplicacién cepa exceRCION de los requisitos especticados en clsulas 4 a la 10, no es acepiable cuomay ong ‘organizacion reclama la conformidad de esta norma, 2 Referencias normativas Go clos, eetmento se hace referencia en forma nora alos siguientes documentos, completes 0 parte G5.Gi0F NOS Aue son indispensables para su aplicacion. Para referencias con fecha, ack; opheaty oes 'SoneC 27000 Information technology - Secutly techniques = Information secunty ‘management systems - Overview and vocabulary. NOTA EXPLICATIVA NACIONAL _,civivalenia de la Norma Intemacional sefalada anieriomente con Norma Chilena, y su grado de Ccorespondencia 66 el siguiente: Norma internacional ‘Norma nacional Grado de correspondencia iSOnEC 27000, No hay : 3 Términos y definiciones Faun 98, Propésitos de este documento, se aplican los términos y defiriciones proporionados en ISONEC 27000. 4 Contexto de la organizacién 4.4 Comprender la organizacién y su contexto seeizzcion debe determinar los asuntos extemos e ntemos que son importantes para su objetvo y que igo su capecidad para lograr e(los)resutado\s) esperado(s) de su sistema de gostion de la spgurcod as la informacion, HOTA, leminar estos asunios se refere a estalecer el contexte extemo e interna dela organizseon,considerado en '8031000:2009, 53, 2 ‘© INN 2013. Todos os derechos reservados NORMA CHILENA NCh-ISO 27001:2013 4.2 Comprender las necesidades y expectativas do las partes interesadas La organizacién debe determinar @) las pastes interesacas que son perinentes para a stra de gestion dela seguidd dota infomacn ») 0 requisites de estas partes interesadas que sean pertinentes para la seguridad dela informacion, serials feauistos de las partes inteesases pusden inci requerimientes legates y regulates, asi como coblgaciones contractuales ‘4.3 Dotorminar el alcance del sistema de gestién de la seguridad de la informacién irpoetangacion debe determina los limites y la apicabikiad del sistema de gestion de la seguridad de la Informacion para establecer su aleance ‘Al determinar este alcance, la organizacion debe considera: @) Ios asuntos extemos e internos tatados en 4.1 ) los requetimientos tratados en 4.2; y ©) _interforancias y dependencias entre las actividades realizadas por la organizacion y aquellas reaizadas Por otras organizaciones, El alcance estaré disponible como informacion documentada, 4.4 Sistema de ges! n de la seguridad de la informacion ta organizacion debe establecer, implemeniar, mantener y mejorar de manera continua un sistema de estén de la seguridad de la informacién, segin los requerimientos de esta norma 5 Liderazgo 6.1 Liderazgo y compromiso Go ata direccion debe demostrarliderazgo y compromiso con respecto al sistema de gestiin dela seguridad de la informacién al 8) asegurar que los objetivos de la politica de seguridad de la informacién y la seguridad de la informacion ‘S® establezoan y sean compatibles con ta direccién estrategica dela organizacion, ») _asegurar la integracién de los requisitos del sistema de gestion de la seguridad de la informacion a los. rocesos de la organizacion; ©) _asegurer que los recursos necesarios para el sistema de gestin de la seguridad de la informacion estén disponibles; ©) comunicar la importancia de la gestion de seguritiad de la informacién efectiva y del cumplimiento de los Tequisitos del sistema de gestion de la segurided de la informacion, ©) asegurar que el sistema de gestén de la seguridad de la informacion ogre suls) resultado(s) esperado(s), NCh-ISO 27001:2013 NORMA CHILENA 5 SCRE y Soave, 2 ls personas para que contitbyan a a efcacia del sistema de gestén dela seguided de la informacién: 9) promover ia mejora continua: y ) _apoyar otos roles de gestion relevantes para demostar su lderazgo, segtn corresponda a sus areas de responsabiliad 5.2 Poli |aaalia dreccién debe establecer una politica de seguridad de la informacion que: 8) @8 pettinente al objetivo de la aganizacién, *) ncaa ls objelvos de seguidad de fa informacion (consule 62) 0 que proporcione el marco de trabajo Para estabiecer los objetivos de seguridad de la informacion, ©) elven compromiso para satisfacer los requisitos aplicables, relacionados a la seguridad de la informacién; y ©) Incluya un compromiso para la mejora continua del sistema de gestion de fa seguridad dela informacion Lapoltica de seguridad dela informacion debe: ©) estar disponible come informacion documentade: 9) sercomunicada dentro de a organizacién: y @) ester disponible para las pares interesadas, sein corsponda 5.3 Roles organizacionales, responsabilidades y autoridades {2 alta dreccion debe asegurar que las resporsabliades y las autoridades para los roles pertinetes a la ‘Seguridad de la informacion son asignados y comunicados. |Laalta direcoién debe asignar la responsabilidad y la autoridad para: 8) asegurar que e! sistema de gestion de la seguridad de la informacién cumple con los requisitos de esta rorma; y 5) Informar a la alta direccién sobre ol desempeo del sistema de gestion de la seguridad de la informacion, NOTA Ademés, la ata dreceién puede asignar responsabiidades y eutoridades para informarsobr sistema de gestion dela segurad de le informacion dentro de la ergentacion I desemporo del 6 Planificacion 6.1 Acciones para abordar los riesgos y las oportunidades 6.1.1 General Al planifcar el sistema de gestion de la seguridad de la informacién, la organizacién debe considerar los asurios tretados en 4.1 y los requisites tralados en 4.2 y determinar los fesgos ¥ oportunidades que necesitan ser cubiertos para: 9) _asegurar que el sistema de gestién de la seguridad de la infornacion pueda lograr sus) resutado(s) esperado(s); (© INN 2018 Todos ls derechos reservados NORMA CHILENA NCh-ISO 27001:2013 ») evitaroaisminuir efectos no deseados:y ©) lograruna mejora contra Ls organizacion debe planifcar: ©) acciones para abordar estos riesgos y oportunidades: y ©) como 1 [ntegrar ¢ implementar las acciones en los provesos del sistema de gestién de la seguided de la informacion: y 2) evaluarla efcacia de estas acciones, 6.1.2 Evaluacién de riesgo de Seguridad de la informacién Sa.gtaenizacion debe defini y aptcar un proceso de evaluacion de riesgo de la seguridad de la informacion que’ 9) estabiezca y mantenga los citrios de riesgo dela seguridad dela informacion que inluya: 1) los eriterios de aceptacion del riesgo: y 2) los cfiterios para realizar las evaluaciones de riesgo dela seguridad de Ia informacibn: ©) asogure que las evaluaciones de riesgo de la seguridad de la informacién, producen resultados Consistentes, validos y comparables, una y otra voz; ©) identifca los riesgos de la seguridad de la infomacién: 1) aplica el proceso de evaluacién del riesgo de la seguridad de la infomnacién para identificar los ‘fesgos asociados a la pérdida de la confdencialiad, itegrided y disponibildad para la informacion dentro del alcance del sistema de gestién de la seguridad de la informacion: 2) identifica os propietarios del riesgo; 4) analiza los riesgos de la seguridad de la informaci6n: 1) evakia las posibles consecuencias que podrian resular silos riesgos idenificadbs en 6.1.2 ¢) 1) se hicieran realidad: 2) evalia la probatilidad realista de la ocurrencia de los riesgos bentficados en 6 1.2 ¢) 1): y 3) determina los nivetes de riesgo: ©) evalia los riesgos de la seguridad de la informacién: 1) compare los resultados del aris de iesgo con los citerios de riesgo defridos en 6.1.2 2): y 2) prioriza los riesgos analizados para. tratamiento de riesgo. (2 iganizacion debe conservar la informacion documentads acerca del proceso de evaluacién de riesgo de la seguridad de la informacion. (©INN 2019 - Tose os derechos resenadee 5 NCh-ISO 27001:2013 NORMA CHILENA 6.1.3 Tratamiento de riesgo de Seguridad de la informacion parezdenizacion debe defnry apicarun proceso de tratamieno de riesgo de la seguridad de la informacion para: 2) seleccionarls opciones apropiadas de tratamiento de iosgo dela seguridad de a informacion, tomando fen consideracién los resultados do le evaluacion de fiesgo: ©) determina’ todos los eortroles que son necesarios para implementar les opciones de tratamiento de riesgo de la seguridad dela informacion escogcla, NOTA Les orgenizaciones pueden disefar contoles, segun sea necesario,oidonifcaros desde cualquier fuente © Compara os controls defridos en 6.1.3 b) mas aba con aquellos en Anexo A y verfcar que ringin Control necesario fue omitdo;, sos =e A contiene una completa iia de objetivos de contol y contoles, Los usuarios de esta norma son gids al Anexo A para asegurar que ningun contre necesario se pasd oo, ate for connotes acnetNOs de contol se eluyen de manera imps en Ios contlesescogidos, Los objetvos de contol y seisanteles enumerados en Anexo Arno son exhaustivos, por lo que se pasran necesiarobotves de conely cone, aticionaies, generar una Declaracion de Aplcabliad que contenga los contoles necesaros{consuar 6.1.3 b) yc) y Sema la Justiicacién de inclusiones, sean estas implementadas 0 no y la justficacién para execlor ee, {de controles de Anexo A ©) formular un plan de tratamiento de riesgo de seguridad de la informacion: y ‘obtener la aprobacién del propietario del riesgo del plan de vatamiento del riesgo de la seguridad de la Informacion y la aceptacion de los resgos dela seguridad de la infomnacion residual [2 Siganizacion debe conservar la informacién documentada acerca del proceso de tratamiento del iesgo de la seguridad de la infornacion. NOTA, Le evaluacion del nego de la seguridad de la informacion y el proceso de tratamiento en esta nore esta Sinead con ls principios y airectices genéricas provstas en ISO 31600 6.2 Objetivos de seguridad de la informacién y planificacién para lograrlos raecrgarizacion debe establecer los objetivos de seguridad de Ia informacién en niveles y funciones Felevantes. Los objetivos de seguridad dela informacion deben @) ser consistertes con la poliica de seguridad de lainformacibn; b)_sermedibie si es posible) ©) tomar en consideracion los requisttos de seguridad de la informacion aplicable y los resultados de la evaluacién de riesgo y el tratamiento de riesgo: 4) ser comunicades:y ©) estar actualizados sogin correspond 6 ‘INN 2019 Todos oe erachos reservados NORMA CHILENA NCh-ISO 27001:2013 frroonganizacion debe consewvar la informacion documentada sobre 10s objelivos de Ia seguided de ta informacién. ‘Al plarifcar cémo lograr sus objetvos de seguided de la ifrmacién, la omanizacion debe deteminer 1D quése nara; qué recursos se necesitaran; 1) uién sor responsable cud se termina y 1) ebmo se evatuaran tos resultados. 7 Apoyo 7.4 Recursos impieanzacion debe, detemninar y proporcionar los recursos necesarios para el estableciento, ‘mplementacién, mantenimiento y mejora continua del sistema de gestion de la seguridad de leiiowee 7.2 Competencias La organizacién debe: 9) determinar las competencias necesatias de las personas que trabajan bajo su control que afecta su desemperio de seguridad de lainformacion )_asegurar que estas personas sean competentes basados en una educacién, capactiacion o experiencia adecuads, ©) quando corresponda, tomar las accones para adquiir las competencias necesaries y evaluar la efectividad de las acciones tomadas, y 4d) tetener| informacion documentada adecuada como evidencia de competencia, NOTA Las acciones aplcables pueden inclu. por ejemple: la aisposicicn de copacttar a, la mentoria de @ la ‘easignacién de los empleadis actuals; o el empleo o contratacion de les personas competentes 7.3 Conocimiento Las personas que trabajen bajo el control de la orgenizacion deben estar al tanto de: ®) la politica de seguridad de la informacin, P) su contiibucién a la eficacia del sistema de gestion de la seguridad de la informacién, incluidos los Deneticios del desermpeiio mejorado de fa seguridad dela informacion, y ©) las implicacion informacion, de no cumplir con los requistos dol sistema de gestion de la seguridad de la (INN 2013 Toss les dere reserves 7 NCh-SO 27001:2013 NORMA CHILENA 7.4 Comunicacion {BiorBanizacion debe determinar ta necesidad de comunicaciones temas y extemas que sean pertinentos al sistema de gestion de seguridad de la informacion cue incluya 8) qué comunicar, ) cuando comunicaro: ©) con quién comunicarto: ) quien debe comunicarto: y ©) los procesos que'se verin afectados por la comunicacion 7.8 Informacién documentada 7.5.1 General El sistema de gestion de la seguridad de lainformacion debe iru: 2) informacién documentada necesaria para esta norma; y ®)_Informacién documentade, definida por la organizacion como necesava para la efectvided del sistema de gestion de la seguridad de la infornacién NOTA, magnitude a informacion documentada para un sistema de gestion de la seguridad dela informacion puede Vater de una orgenizacion a otra debido a 1) eltamato ca organzaciny su tpo de acvidades,procesos, products y senvcos, 2) la compljsed dots procesos y sus interaccones:y Beco. mpetenca de as persone. 7.62 Creacion y actualizacion ‘Al cear y actualizar la informacion documentada, la organizacicn debe asegurarla correspondiente: 8) identifcacisn y descipeién (por ejemplo, un titulo, fecha, autor 0 numero de referencia) 5) formato (por ejemplo, dora, version de software, gros) y medio (por eemple, papel, day ©) revision y aprobacion para comweniencia y sufciencia, 7.8. Control de fa informacién documentada {a informacién documentada necesaria por el sistema de gestion de la seguridad de la informacion y por la norma debe ser controlada para asegurar que: 8) esté disponible y apropiada para su uso, donde y cuando seanecesario: y ) est debidamente protegida (por ejemplo, de pérdidas de confidencialiéad, uso inapropiado 0 pérdida de integridac), 8 INN 2019 Todos tos cerachesrseresoe NORMA CHILENA NCh-ISO 27001:2013 Ear3 ¢} Control de la informacion documentada, la orgenizacién debe abordar las siguientes actividades, ‘segtin corresponda: ©) distrbucién, acceso, recuperacién yuso; ) elmacenamiento y conservacién, incuida la consevacion de la legibiidad; ©) control de cambios (por ejemplo, control de version): y 9) retencién yaisposicion, rormacien documentada de origen extern, determinada por la orgarizacién, de ser necesario, para la Planificacion y operacién del sistema de gestion de ia seguridad de la informacion debe ver idenatogde nena apropiado y controlado. rer acs foces0 implica una decstn con respect al permiso para sto ver la kformaciéndocumentada oe pamiso y | autordee para ver y cambiar la informacion documentada, ot, 8 Operacion 4 Control y planificacién operacional La organizacion debe planificar, implementar y controlar los procesos necesarios para cumplit con los ‘enuisitos de seguridad de la infomacion y para implementar las acciones definidas en 6.1. La organizacion ademas debe implementar los planes para lograr los objetivas de seguridad de la informacion’ aemndce en 6.2. [a crganizacion debe mantener la informacién documentada hasta que sea necesario y tener la certeza que los procesos se llevaron a cabo segiin o planeado, La organizacién debe controlar los cambios planticados y revisar las consecuencias de los cambios no Planificades, al tomar acciones para mitigar cualquier efecto adversa. segiin sea necesario, La organizacion se debe asegurar de que los procesos externalizados se determinan y controlan 8.2 Evaluaci6n de riesgo de la seguridad de la informacion a organizacién debe realizar evaluaciones de riesgo de la seguridad de la informacién, en intervalos. planficados o cuando se propongan u ocurran cambios significaives, considerando los eriterios establecides n6.1.2 a). {3 organizacion debe conserva a informacién documentada de los resultados de las evaluacones de riesgo

    You might also like