® icontec internacional NORMA TECNICA NTC-ISO-IEC COLOMBIANA 27001 201 TECNOLOGIA DE LA INFORMACION. TECNICAS DE SEGURIDAD. SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION. REQUISITOS E: INFORMATION TECHNOLOGY. SECURITY TECHNIQUES, INFORMATION SECURITY MANAGEMENT SYSTEMS. REQUIREMENTS, CORRESPONDENCIA: festa norma es una adopcién idéntica (OT) por traduccion de la norma ISONEC 27001: 2013, DESCRIPTORES: sistemas de gestion - seguridad de la informacion; informacion, técnicas de seguridad, gestion Le.s.: 35.040 lads por & inte Colorbiano de Novas Tecroas y Gertfeacin (CONTEC) ‘Apatads 14237 Bogeta, D.C. Tel. (S11) SO7SBEE- Fax (571) 2220435 Probie su repreduccn Primera sctuszacin toda 2073-12-20@ ICONTEC 2013, Reservados todos los derechos. Ninguna parte de esta publicacion puede ser reproducida o utlizada en cualauir forma o por qualquer medio, electronico 0 mecdnico incluyendo fotocopiady Imicrofimacién sin permiso por escrito deledtor Instituto Colombiana de Normas Técnicas y Certficaciin,ICONTEC.PROLOGO El Instituto Colombiano de, Normas Técnicas y Certficacién, ICONTEC, es el organismo nacional de normalizaci6n, segin el Decreto 2269 de 1993, ICONTEC es una entidad de carécter privado, sin animo de lucro, cuya Misién es fundamental para brindar soporte y desarrollo al productor y proteccién al consumidor. Colabora con el sector gubernamental y apoya al sector privado del pais, para lograr ventajas competitivas en los mercados interno y externo. La representacion de todos fen el proceso de Normalizacién Técnica festé garantizada por los caracterizado por la partici ratifigada por el Consejo Directivo de 2013-12-11 Esta norma, to de que responda en fe esta norma a informacién. (OLOGIAS DE LA GEOCONSULT - ECP HALIBURTON - ECOPET! HELM BANK INFOTRACK S.A, ‘Ademas de las anteriores, en Con: el Proyecto se puso a consideracién de las siguientes empresas: ATODA HORA S.A ATH BANCO DE OCCIDENTE ‘ACH COLOMBIA S.A. BRANCH OF MICROSOFT COLOMBIA INC ACTUALIZACIONES DE SISTEMAS LTDA. CAJA COLOMBIANA DE SUBSIDIO AGENDA DE CONECTIVIDAD FAMILIAR COLSUBSIDIO ALFAPEOPLE ANDINO S.A. CENTRO DE INVESTIGACION ALIANZA SINERTIC DESARROLLO EN TECNOLOGIAS DE LA BANCO CAJA SOCIAL INFORMACION Y LAS COMUNICACIONES BANCO COMERCIAL AV VILLAS CENTRO POLICLINICO DEL OLAYA BANCO DAVIVIENDA S.A CPO. S.A BANCO DE BOGOTA CHOUCAIR TESTING S.A. BANCO DE LA REPUBLICA, CIBERCALL S.A.COLOMBIA TELECOMUNICACIONES SA. ESP. COMERCIO ELECTRONICO EN INTERNET CENET S.A. COMPUREDES S.A. CONTRALORIA DE CUNDINAMARCA, COOPERATIVA DE PROFESIONALES DE LA SALUD -PROSALCO LP.S.- CORREDOR EMPRESARIAL CREDIBANCO CRUZ ROJA COLOMBIANA SECCIONAL CUNDINAMARCA Y BOGOTA DAKYA LTDA. DIGIWARE | ECOPETROL S.A. ENLACE OPERATIVO S.A. ESCUELA COLOMBIANA DE CARRERAS INDUSTRIALS. ETBS.A ESP, FLUIDSIGNAL GROUP S.A. FONDO DE EMPLEADOS DEL DEPARTAMENTO DE ANTIOQUIA FUNDACION PARQUE TECNOLOGICO DEL SOFTWARE DE CALI - PARQUESOFT- FUNDACION UNIVERSITARIA INPAHU GEMAS INGENIERIA Y CUNSULTORIA SAS GESTION & ESTRATEGIA S.A. GETRONICS COLOMBIA LTDA. GIT LTDA. HMT SAS. HOSPITAL SAN VICENTE ESE DE MONTENEGRO INFOCOMUNICACIONES S.A. INSTITUTO DE ORTOPEDIA’ INFANTIL ROOSEVELT IPX LTDA, IQ CONSULTORES: IT SERVICE LTDA JAIME TORRES C. Y CIA, S.A. JIMMY EXENOVER ESPINOSA LOPEZ KEXTAS LTDA. LOGIN LEE LTDA. MAKRO SUPERMAYORISTA S.A. MAREIGUA LTDA. MEGABANCO MICROCOM —COMUNICACION = SEGURIDAD LTDA. NEGOTEC NEGOCIOS Y TECNOLOGIA LTDA. NEXOS SOFTWARE S.AS. PARQUES Y _ FUNERARIAS SA JARDINES DEL RECUERDO PIRAMIDE — ADMINISTRACION DE. INFORMACION LTDA. POLITECNICO MAYOR __AGENCIA CRISTIANA DE SERVICIO Y EDUCACION LTDA. PONTIFICIA UNIVERSIDAD JAVERIANA, ‘QUALITY SYSTEMS LTDA. SISTEMAS Y FORMACION SAS. SOCIEDAD —— COLOMBIANA. DE ARCHIVISTAS, ‘SUN GEMINI S.A, ‘SYNAPSIS COLOMBIA LTDA. ‘TEAM FOODS COLOMBIA S.A. TECNOLOGIAS DE INFORMACION Y COMUNICACIONES DE COLOMBIA LTDA. TELMEX COLOMBIA S.A. TIQAL SAS. TOMAS MORENO CRUZY CIA. LTDA TRANSFIRIENDO S.A, TRANSPORTADORA DE ATLAS LTDA. ‘TUS COMPETENCIAS LTDA. UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNIVERSIDAD NACIONAL DE COLOMBIA UNIVERSIDAD SANTIAGO DE CALI VALORES ICONTEC cuenta con un Centro de Informacién que pone a disposicién de los interesados normas internacionales, regionales y nacionales y otros documentos relacionados. DIRECCION DE NORMALIZACIONNORMA TECNICA COLOMBIANA —_NTC-ISO-IEC 27001 (Pri ot 02 5A 52 53 64 CONTENIDO ISTEMAS DE GESTION. DETERMINACION DE LA SEGURIDA‘ ‘SISTEMA DE GESTIOF LIDERAZGO. LIDERAZGO Y COMPROMISO...... POLITICA ROLES, RESPONSABILIDADES Y AUTORIDADES EN LA ORGANIZACION PLANIFICACION. ACCIONES PARA TRATAR RIESGOS Y OPORTUNIDADES -..ceen NORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacién) Pagina 6.2 OBJETIVOS DE SEGURIDAD DE LA INFORMACION Y PLANES PARA LOGRARLOS.. TA 7.2 COMPETENCIA. 7.3 TOMA DE CONCIENCIA. 7.4 COMUNICACION .. 7.5 INFORMACION DOCUMENTAD, 8 OPERACION... 8.1 PLANIFICACION Y CONTROL OPERACIONAL .. 8.2 VALORACION DE RIESGOS DE LA SEGURIDAD DE LA INFORMACION. 8.3 TRATAMIENTO DE RIESGOS DE LA SEGURIDAD DE LA INFORMACION. 9. EVALUACION DEL DESEMPENO 9.1 SEGUIMIENTO, MEDICION, ANALISIS Y EVALUACION..... 9.2 AUDITORIA INTERNA... 9.3 REVISION POR LA DIRECCION 40. MEJORA.. 10.1 NO CONFORMIDADES Y ACCIONES CORRECTIVAS.. 10.2 MEJORA CONTINUA... DOCUMENTO DE REFERENCIA.NORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacién) Pagina BIBLIOGRAFIA, ANEXO A (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIANORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacion) INTRODUCCION 0.1 GENERALIDADES Esta Norma ha sido elaborada para suministrar requisitos para el establecimiento, implementacion, mantenimiento y mejora continua de un sistema de gestion de la seguridad de la informacién. La adopoién de un sistema de gestion de seguridad de la informacion es una decision estratégica para una organizacién. El establecimiento e implementacion del sistema de gestién de la seguridad de Ia informacion de una organizacién estan influenciados por las Necesidades y objetivos de la organizacién, los requisitos de seguridad, los procesos corganizacionaies empleados, y el tamafo y estructura de la organizacion. Se espera que todos estos factores de influencia cambien con el tiempo. El sistema de gestion de la seguridad de la informacién preserva la confidencialidad, la integridad y la disponibilidad de la informacién, mediante la aplicacion de un proceso de gestién del riesgo, y brinda confianza a las partes interesadas acerca de que los riesgos son gestionados adecuadamente. Es importante que el sistema de gestién de la seguridad de la informacion sea parte de los procesos y de la estructura de gestién total de la informacion de la organizacién y que esté integrado con ellos, y que la seguridad de la informacién se considere en el disefio de procesos, sistemas de informacion y controles. Se espera que la implementacién de un sistema de gestion de seguridad de la informacién se difunda de acuerdo con las necesidades de la organizacién. La presente Norma puede ser usada por partes intemas y externas para evaluar la capacidad de la organizacién para cumplir los requistos de seguridad de la propia organizacién. El orden en que se presentan los requisitos en esta Norma no refleja su importancia ni el orden en el que se van a implementar. Los elementos de la lista se enumeran solamente para propésitos de referencia, La ISO/IEC 27000 describe Ia vision general y el vocabulario de sistemas de gestion de la seguridad de la informacion, y referencia la familia de normas de sistemas de gestion de la seguridad de la informacién (incluidas las NTC-SO/IEC 27003{2], ISO/IEC 27004[3] y ISO/IEC 27005[4)), con los términos y definiciones relacionadas, 0.2 COMPATIBILIDAD CON OTRAS NORMAS DE SISTEMAS DE GESTION Esta Norma aplica la estructura de alto nivel, titulos idénticos de numerales, texto idéntico, términos comunes y definiciones esenciales definidas en el Anexo SL de las Directivas ISONEC, Parte 1, Suplemento ISO consolidado, y por tanto, mantiene la compatibilidad con otras normas de sistemas de gestién que han adoptado el Anexo SL. Este enfoque comin definido en el Anexo SL serd util para aquellas organizaciones que decidan poner en funcionamiento un tinico sistema de gestién que cumpla los requisitos de dos (0 mas normas de sistemas de gestién,NORMA TECNICA COLOMBIANA __NTC-ISO-IEC 27001 (Primera actualizacién) TECNOLOGIA DE LA INFORMACION. TECNICAS DE SEGURIDAD. ‘SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION. REQUISITOS OBJETO Y CAMPO Esta Norma especifica los implementar, mantener y mejorar continuamente un sis 1acién dentro del contexto de la organizacion, (os para la valoracién y el a las necesidades de la y estan previstos para tratamiento de smafio 0 naturaleza, ceptable excluir documento y" fhadas solo se aplica la edicién citada, reciente del documento ISO/IEC 27000, Informe Techniques. Management Systems. Ovel Information Security ‘TERMINOS Y DEFINICIOF Para los propésitos de este documento se aplican los términos y definiciones presentados en la norma ISO/IEC 27000. 4, CONTEXTO DE LA ORGANIZACION 4.1 CONOCIMIENTO DE LA ORGANIZACION Y DE SU CONTEXTO La organizacién debe determinar las cuestiones externas e intemias que son pertinentes para su propésito y que afectan su capacidad para lograr los resultados previstos de su sistema de gestion de la seguridad de la informacien. NOTA La determinacion de estas cuestiones hace referencia a establecer el contexto extemo e interno de la lorganizacion,considerado en el numeral 5.3 dela NTC-SO 31000:201 (5. 1de26NORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacién) 4.2 COMPRENSION DE LAS NECESIDADES Y EXPECTATIVAS DE LAS PARTES INTERESADAS. La organizacién debe determinar: @) [as partes interesadas que son pertinentes al sistema de gestién de la seguridad de la informacion; y b) os requisitos de estas partes interesadas pertinentes a seguridad de la informacion NOTA Los requisitos de las partes interesadas pueden inclul los requisites legales y reglamentaros, y las obligaciones contractuales. 4.3. DETERMINACION DEL ALCANCE DEL SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACION La organizacién debe determiner los limites y la aplicabilidad del sistema de gestion de la seguridad de la informacién para establecer su alcance. Cuando se determina este alcance, la organizacién debe considerar: ) las cuestiones externas e intemas referidas en el numeral 4.1, y b) os requisitos referidos en el numeral 4.2: y ©) las interfaces y dependencias ent'e las actividades realizadas por la organizacion, y las que realizan otras organizaciones, El alcance debe estar disponible como informacion documentada. 4.4 SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACION La organizacion debe establecer, implementar, mantener y mejorar continuamente un sistema de gestion de la seguridad de la informacén, de acuerdo con los requisitos de esta Norma. 5. LIDERAZGO 5.1 LIDERAZGO Y COMPROMISO La alta direccién debe demostrar liderazgo y compromiso con respecto al sistema de gestién de la seguridad de la informacion: @) _asegurando que se establezcan la politica de la seguridad de la informacién y los objetivos de la seguridad de la informacion, y que estos sean compatibles con la direccién estratégica de la organizacion; b) _asegurando la integracion de los requisitos del sistema de gestion de la seguridad de la informacion en los procesos de la organizacién; ©) _asegurando que los recursos necesarios para el sistema de gestién de la seguridad de la informacion estén disponibles;NORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacién) 4) comunicando la importancia de una gestion de la seguridad de la informacion eficaz y de la conformidad con los requisitos del sistema de gestion de la seguridad de la informacion; ) —_asegurando que el sistema de gestion de la seguridad de la informacién logre los resultados previstos; 1) dirigiendo y apoyando a las personas, para contribuir a la eficacia del sistema de gestion de la seguridad de la informacion; 9) _promoviendo la mejora continua, y h) _apoyando otros roles pertinentes de la direccién, para demostrar su liderazgo aplicado a sus areas de responsabilidad, 6.2 POLITICA La alta direccién debe estat jad de la informacién que: a) sea adecuad: b) — incluya ral 6.2) 0 proporcione el mat de la seguridad de la 9) con la seguridad seguridad de la comunicarse dentro 9) estar disponible para La alta direccion debe asegurarse de qUe las responsabilidades y autoridades para los roles Pertinentes a la seguridad de la informacién se asignen y comuniquen. La alta direccién debe asignar la responsabilidad y autoridad para: 2) —_asegurarse de que el sistema de gestién de la seguridad de la informacion sea conforme con los requisites de esta Norma; b) _informar a la alta direccién sobre el desempefio del sistema de gestion de la seguridad de la informacién. NOTA La alta direccién también puede asignar responsabilidades y autoridades para informar sabre el desemperio de sistema de gestion de la seguridad dela informacion dentro dela organizacin. 3NORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacién) 6. PLANIFICACION 6.1 ACCIONES PARA TRATAR RIESGOS Y OPORTUNIDADES 6.1.1 Generalidades AI planificar el sistema de gestion de seguridad de la informacion, la organizacién debe considerar las cuestiones referidas en el numeral 4.1 y los requisitos a que se hace referencia en el numeral 4.2, y determinar los riesgos y oportunidades que es necesario tratar, con el fin de: @) _asegurarse de que el sistema de gestion de la seguridad de la informacion pueda lograr us resultados previstos; b) _prevenir 0 reducir efectos indeseados; y ¢) _lograr la mejora continua. La organizacién debe planificar: 4) las acciones para tratar estos riesgos y oportunidades; y ) —_ lamanera de: 1) __integrar e implementar estas acciones en sus procesos del sistema de gestion de la seguridad de la informacion, 2) evaluarla eficacia de estas acciones. 6.1.2 Valoracién de riesgos de la seguridad de Ia informacion La organizacién debe definir y aplicar un proceso de valoracién de riesgos de la seguridad de la informacion que: @) —_establezca y mantenga criterios de riesgo de la seguridad de la informacion que incluyan: 1) Los criterios de aceptacién de riesgos; y 2) los criterios para realizar valoraciones de riesgos de la seguridad de la informacion; b) _asegure que las valoraciones repetidas de riesgos de la seguridad de la informacion produzcan resultados consistentes, validos y comparables; ©) _identifique los riesgos de la seguridad de la informacion: 1) aplicar el proceso de valoracién de riesgos de la seguridad de la informacion para identificar los riesgos acociados con la pérdida de confidencialidad, de integridad y de disponibllidad de informacién dentro del alcance del sistema de gestion de la seguridad de ia informacion; e 2) _identificar a los duefios de los riesgos;NORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacién) 4) _analice los riesgos de la seguridad de la informacion: 1) Valorar las consecuencias potenciales que resultaran si se materializaran los riesgos identiicados en 6.1.2 ¢) 1); 2) Valorar la probabilidad realista de que ocurran los riesgos identificados en 6.1.2 thy 3) determinar los les de riesgo; €) _evalie los riesgos de seguridad de la informacion: 1) comparar los resultados del analisis de riesgos con los criterios de riesgo establecidos en 6.1.2, 2) _priorizar los ries tamiento de riesgos. La organizacién debe cons: acerca del proceso de valoracién de riesgos de la seguridad de la 0s de la seguridad de seguridad de la tar las opciones ‘Anexo A, y verificar que no NOTA ElAnexo A. do contol y controls, Se invita @ los usuarios de esta Norma a consult se pasen por alto los controles necesaris, NOTA2 Los objetivos implictamente en los contoles escogidos. Los Fanexo A no son exhaustvos, y pueden ser necesarios d) —producir una dectaracion de aplicabilidad que contenga los controles necesarios (véanse el numeral 6.1.3 b) y c)) y la justificacién de las inclusiones, ya sea que se implementen o no, y la justificacién para las exclusiones de los controles del Anexo A; ) _formular un plan de tratamiento de riesgos de la seguridad de la informacion; y 1) obtener, de parte de Ios duefios de los riesgos, la aprobacién del plan de tratamiento de riesgos de la seguridad de a informacién, y la aceptacion de los riesgos residuales de la seguridad de la informacién, La organizacién debe conservar informacién documentada acerca del proceso de tratamiento de riesgos de la seguridad de la informacion..) NORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacién) NOTA El proceso de valoracin y tratamiento de riesgos de la seguridad de la informacion que se presenta en lesa Norma se ainea con los principiosy directrices genéricas suministradas en ia [SO 2100013) 6.2 OBJETIVOS DE SEGURIDAD DE LA INFORMACION Y PLANES PARA LOGRARLOS La organizacion debe establecer los objetivos de seguridad de la informacion en las funciones y niveles pertinentes Los objetivos de seguridad de la informacion deben: 2) _ser coherentes con la politica de seguridad de la informacion; b) ser medibles (si es posible); ) tener en cuenta los requisites ce la seguridad de la informacion aplicables, y los resultados de la valoracion y del tratamiento de los riesgos; @) —_sercomunicados; y ) ser actualizados, segin sea apropiado. La organizacion debe conservar informacién documentada sobre los objetivos de la seguridad de la informacion, Cuando se hace la planificacién para lograr sus objetivos de la seguridad de la informacion, la organizacién debe determiner: f) — loque se va a hacer; 9) que recursos se requeriran; h) —_ quién serd responsable; i) cuando se finalizara; y i) como se evaluaran los resultados. 7. SOPORTE 7.1 RECURSOS La organizacién debe determinar y proporcionar los recursos necesarios para el establecimiento, implementacién, mantenimiento y mejora continua del sistema de gestion de la seguridad de la informacién 7.2 COMPETENCIA La organizacién debe: 2) _determinar la competencia necesaria de las personas que realizan, bajo su control, un trabajo que afecta su desempefio de la seguridad de la informacion, yNORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacin) b) —_asegurarse de que estas personas sean competentes, baséndose en la educacién, formacion o experiencia adecuadas, ©) cuando sea aplicable, tomar acciones para adquirir la competencia necesaria y evaluar la eficacia de las acciones tomadas; y 4) _conservar la informacién documentada apropiada, como evidencia de la competencia. NOTA Las acciones aplicables pueden inclur, por ejemplo: Ia formacién, la tutoria o la reasignacion de las personas empleadas aciualmonte, ola contretacion de personas competentes, 7.3. TOMA DE CONCIENCIA Las personas que realizan el trabajo de: trol de la organizacion deben tomar conciencia a) lapolitica de la seguri b) su contribucion a la jesemperio de la seguridad de la istema de gestion de la 1asy extemas quién debe comuni los procesos para lleval 7.5 INFORMACION DOCUME! 7.5.1 Generalidades El sistema de gestion de la seguridad de la informacion de la organizacién debe incluir: ) la informacién documentada requerida por esta Norma; y b) __Ia informacion documentada que la organizacién ha determinado que es necesaria para la eficacia del sistema de gestion de la seguridad de la informacién, NOTA __El alcance de la informacion documentada para un sistema de gestion de la seguridad de la informacion puede ser diferente de una organizacién a ota, debido a 8) el tamatio de la organizacion y a su tipo de actividades, procesos, products y servicios, 7es NORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacién) ») la compjdad de los procesos y sus interacciones, y ©) la competencia de las personas. 7.5.2. Creacién y actualizacién Cuando se crea y actualiza informacién documentada, la organizacion debe asegurarse de que lo siguiente sea apropiado’ 2) _la identificacion y descripcién (por ejemplo, titulo, fecha, autor o numero de referencia); b) el formato (por ejemplo, idioma, version del software, gréficos) y sus medios de soporte (por ejemplo, papel, electrénico); c) _larevision y aprobacién con respecto ala idoneidad y adecuacién. 7.5.3. Control de k formacién documentada La informacion documentada requerida por el sistema de gestion de la seguridad de la informacion y por esta Norma se debe controlar para asegurarse de que: 2) __esté disponible y adecuada para su uso, donde y cuando se necesite: y b) _esté protegida adecuadamente (por ejemplo, contra pérdida de la confidencialidad, uso inadecuado, 0 pérdida de integrided) Para el control de la informacion documentada, la organizacién debe tratar las siguientes actividades, segun sea aplicable. ©) distribucion, acceso, recuperacién y uso; 4) almacenamiento y preservacién, incluida la preservacién de la legibilidad; ©) control de cambios (por ejemplo, control de versién); y f) __tetencion y disposicién. La informacién documentada de origen =xterno, que la organizacién ha determinado que es necesaria para la planificacion y operacion del sistema de gestién de la seguridad de la formacion, se debe identificar y controlar, segiin sea adecuado. NOTA EI acceso implica una decsién concerniente al permiso solamente para consultar la informacion ocumentada, 0 el permiso yla autridad para consular y modifier la informacion documentada, ete OPERACION 8.1 PLANIFICACION Y CONTROL OPERACIONAL, La organizacion debe planificar, implementar y controlar los procesos necesarios para cumplir los requisitos de seguridad de la informacion y para implementar las acciones determinadas en el numeral 6.1. La organizacién también debe implementar planes para lograr los objetivos de la seguridad de la informacion determinados en el numeral 6.2.NORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacién) La organizacién debe mantener informacion documentada en la medida necesaria para tener la confianza en que los procesos se han llevado a cabo segin lo planificado, La organizacion debe controlar los cambios planificados y revisar las consecuencias de los cambios no previstos, tomando acciones para mitigar los efectos adversos, cuando sea necesario, La organizacion debe asegurar que los procesos contratados externamente estén controlados. 8.2 VALORACION DE RIESGOS DE LA SEGURIDAD DE LA INFORMACI IN La orgenizacién debe llevar a cabo valoraciones de riesgos de la seguridad de la informacion a intervalos planificados o cuando se propongan u ocurran cambios significativos, teniendo en ‘cuenta los crterios establecidos en La organizacién debe cons, sumentada de los resultados de las valoraciones de riesgos de I 8.3 TRATAMIENTO DE La organizacion 308 de la seguridad de la informacion. ios del tratamiento de de la informacién, clon y la eficacia det La organizacién debt a) a qué es necesario Jecesario medir,incluidos los procesos y controles de la seg b) los métodos de seguimier isis y evaluacién, segun sea aplicable, para asegurar resultados validos; NOTA Para ser considerados vélidos, los métodos seleccionades deberian producir resultados comparables y reproduces, ©) _cudndo se deben llevar a cabo el seguimientoy la medicién; 4) quién debe llevar a cabo el seguimiento y la medicién; ©) cuando se deben analizar y evaluar los resultados del seguimiento y de la medicién: y ) _quién debe analizar y evaluar estos resultados. La organizacién debe conservar informacion documentada apropiada como evidencia de los resultados de! monitoreo y de la medicién. 8NORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacién) 9.2 AUDITORIA INTERNA La organizacién debe llevar a cabo auditorias intemnas a intervalos planificados, para proporcionar informacién acerca de si el sistema de gestién de la seguridad de la informacion: a) ») es conforme con: 1) los propios requisites de la organizacién para su sistema de gestion de la seguridad de la informacion; y 2) los requisitos de esta Norma; esta implementado y mantenido eicazmente, La organizacion debe: °) 9) °) 9) NOTA 9.3 plenificar, establecer, implementar y mantener uno 0 varios programas de auditoria que incluyan la frecuencia, los métodos, las responsabilidades, los requisitos de Planificacion, y la elaboracién de informes. Los programas de auditoria deben tener en Cuenta la importancia de los procesos involucrados y los resultados de las auditorias Previas; para cada auditoria, definir los crtarios y el aleance de ésta; sseleccionar los auditores y llevar a cabo auditorias para asegurarse de la objetividad y la imparcialidad del proceso de auditoria; asegurarse de que los resultados de las auditorias se informan a la direocién pertinente: y conservar informacion documentada como evidencia de la implementacion del programa de auditoria y de los resultados de ésta Para mayor informacion consulta las ncrmas NTC-4SO 19011 y NTC-1SO 27007 REVISION POR LA DIRECCION La alta direcoién debe revisar el sistema de gestién de la seguridad de la informacién de la organizacion a intervalos planificados, vara asegurarse de su conveniencia, adecuacién y eficacia continuas. La revision por la direccién debe incluir consideraciones sobre: a) b) °) el estado de las acciones con relacién a las revisiones previas por la direccién; los cambios en las cuestiones extemas e intermas que sean pertinentes al sistema de gestion de la seguridad de la informacion; retroalimentacion sobre el desempefio de la seguridad de la informacién, incluidas las tendencias relativas a: 1) no conformidades y accionss correctivas; 2) seguimiento y resultados d= las mediciones; 10NORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacién) eee 3) resultados de la auditoria; y 4) cumplimiento de los objetivos de la seguridad de formacién; 4d) __retroalimentacién de las partes interesadas; ©) resultados de la valoracién de riesgos y estado del plan de tratamiento de riesgos; y f) las oportunidades de mejora continda, Los elementos de salida de la revisi6n por la direcci6n deben incluir las decisiones relacionadas con las oportunidades de mejora continua y cualquier necesidad de cambio en el sistema de gestion de la seguridad de la informacion. La organizacién debe conservar i yentada como evidencia de los resultados de las revisiones por la direccién. iconformidad, la oF la no conformidad, y ‘conformidad, con el en otra parte, me| 3) idades similares, 0 que potencialmente Podrian ocurrir, ©) _implementar cualquier accion ) _revisar la effcacia de las acciones correctivas tomadas, y €) hacer cambios al sistema de gestion de la seguridad de la informacién, si es necesario. Las acciones correctivas deben ser apropiadas a los efectos de las no conformidades encontradas. La organizacién debe conservar informacion documentada adecuada, como evidencia de: f) la naturaleza de las no conformidades y cualquier acci6n posterior tomada: y 9) _ los resultados de cualquier accion correctiva, "NORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacién) 10.2. MEJORA CONTINUA La organizacion debe mejorar continuamente la conveniencia, adecuacién y eficacia del sistema de gestién de la seguridad de la informacion. 12ss NORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacién) ANEXO A (Normative) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA Los objetivos de control y controles enumerados en la Tabla A.1 se obtienen directamente de la ISO/EC 27002:2013{1], numerales § a 18 y estén alineados con ella, y se deben usar en contexto con el numeral 6.1.3. Tabla A. Objetivos de control y controles, ‘AS _ POLITICAS DE LA SEGURIDAD DE LA INFORMACION ‘AS: _ Orlentacién de la direccién para la de a seguridad de la informacion ‘Objetve: Bender onentacion y soporte, pox os requisits del negocio y con las ly ABAA nto de polices para la seguridad de la la direccidn, publcada y comunicada @ los Revision de la segurid informacion se deben revisar a 3s signicatvos, para asegurar ntactos apropiados con las autoridades ‘6:14 | Contacto con grupos interés especial ner contactes apropiads con grupos de interés especial u y asociaciones profesionales especiaizadas en seguridad Seguridad de la informacion | Contra! ‘ena gestion de proyectos | La seguridad de la informacion se debe tratar en la gestion de proyectos, independlentemente del tipo de proyecto, 'AG.2 _Dispositivos méviles y teletrabajo (Objetvo: Garantizar la seguridad del telovabajo y el uso de disposivos movies ‘A821 | Pollica para dlspositves | Contro! movies ‘Se deben adoptar una politica y unas medidas de seguridad de soporte, para. gestionar los riesgos Introducidos por el uso de dspostivos eves, ‘Contnda, 13NORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actual ‘Tabla A. (Continuacién) ‘A622 | Teletabajo Control ‘Se deben implementar una poltica y unas medidas de seguridad de ‘soporte, para proteger la informacion a la que se tiene acceso, que es rocesada 0 almacenada on ls lugares en ls que se rela televabalo, ‘A7___ SEGURIDAD DE LOS RECURSOS HUMANOS ‘ATA _ Antes de asumir ol empleo ‘Objetivo: Asegurar que los empleados y contralsias comprenden sus responsabildades y son Woneos en lo roles para los que se consiceran ‘ATA | Selecsén Control Las vetfcaciones de los antecedentes de todos los cancidatos a un fempleo. se. deben levar a cabo de. acuerdo’ con las. lyes, reglamentaciones y ética pertnentes,y deben 80° proporcionales @ fos requisibs de negocio, ala casiicacion de la Informacion a que se va a fener a:ceso,y aos egos percbidos. ‘ATA | Términos y condiciones el | Control empleo Los atverdos contractuales con empleados y contaistas deben establecer sus responsabiidades y las de la organtzacion en cuanto a la seguridad de la informacién, ‘A72 Durante a jecuclén del empleo Objetve: Asegurarse de que los empleados y corratsts tomen conciencia de sus responsablidades de segundaa de ia informacion y les cumplan. ‘A722: | Responsablidades de la | Control direccion La direcciin debe exigira todos los empleades y contratstas la apicaciin de a seguridad de la informacion de. acuardo ‘con las policasy Procedimintos establecdos pr la orgenizacion ‘A722 | Toms de conciencia, | Control gducacion y fomacién en la | Todos os empleados de la organizacién, y en donde sea pertnente, los Seguritad de la informacion | contratsas, deben reckir 1a educecién ¥ la formacion en toma Ge conciercia apropiada, y actualzaciones regulars sobre les policas y procediientos dela organizaci pertinentes para su cargo, ‘A723 | Proceso discipinario Control ‘Se debs contar con un proceso formal, el cual debe ser comunicado, para femprerder accones contra empleados que hayan eometigo una volacion 8 la seguridad de a informacion ‘A73 _Terminacion y cambio de empleo Objetve: Protege los intereses dela organizacion como pate del proceso de cambio 0 terminacién de empleo ATaA Terminacion © cambio de responsabildades de empleo Contrer Las responsabildades y los deberes de seguridad de Ia informacion que ermanecen validos después de la terminacion o cambio de empleo se eben defini, comunicar al empleado © contratisia y se deben hacer ‘cumplr 14a eeeeSsSsSsSsSSsSsSs NORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacién) a a Sl ha ‘Tabla A.. (Continuacién) ‘A8 GESTION DE ACTIVOS ‘AB: Responsabilidad por los activos bjetvo: Identicar los actives organizacionales y defini las responsabiidades de proteccion apropiadas. ‘ABA | Invertario de | Coniror actvos ‘Se deben identicar los actives asociados con informacién e instalaciones de ‘rocesamiento de informacion, y Se debe elaborar y mantener un inventario de tos actives, ‘A812 | Propiedad de les | Contro! actives Los activos mantenidos en el nventario deben tener un propitaro. Uso acepiable de los actvos tar @ implementar reglas para el uso aceptable de asociados con informacion © instalaciones de partes externas deben devolve todos los jenten a su cargo, al terminar su empleo, rizada, dimientos para el de clasifcacion de para el manejo de actives, de informacion adoptado por la ‘Manejo de medios Objetve: Evitar la dvalgacion, yo auiorzados de informacion almacenada en los medias ABs 1] Gestien de medios removibies jmientos para la gestién de medios remouibles, de ae clasicacion adoptado por ia organizacién. ‘A832 | Disposicion de los | Contro! mecios ‘Se debe cisponer en forma segura de los medios cuando ya no se requieran, Uilizando pracecimientos formales ‘833 | Transferencia de | Control mais fisicos Los medios que contisnen informacién se deben proteger contra acceso no _utorizado, uso indebido o corupcién durante el ransporte. 15NORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacién) ‘Tabla A. (Continuacién) aS (CONTROL DE AGCESO Aaa Requisitos del negocio para control de acceso. (Objetivo: Limitar el acceso a informacén ya instalacones de procesamiento de informacion Agaa Politca de contol de acceso Contro! ‘Se debe extablecer, documentar y revisar una politica de control de acceso con base en los requisitos del negocio y de seguridad de la informacion errs ‘Acceso a redes y @ servicios en red ‘Control Solo se dete permite acceso de los usuarios @ la redy a los servicios de red para los que hayan sido autorizados especificament. As2 Objetva Asegura Gostién de acceso de usu: jarios 3 €| acceso de los usuarios autorizados y vita el acceso no autorizado a sistemas y servicios, ‘A924 | Registro y_caneslacién | Cont! ‘delregisiro de usuarios | se debe implementar un proceso formal de registro y de cancelacién de regio de usuarios, pra postaiar la aignacén de os derechos de acooso. ‘A822 | Sumiisvo de acceso de | Contr usuarios Se debe imslementar un proceso de suminitro de acceso formal de usuarios ara esigner 0 revocar los derechos de acceso para todo tipo de usuarios Para fodos bs sistemas y servos, ‘A923 | Goalln de derechos de | Contr ‘scceso privlegiade | Se debe resting y controlar la aslgnacin y uso de derechos de acceso priviegiaco ‘A924 | Gest de informacion | Contd ge autentcacién secreta| 1. asignacin de informacion de autentcacion secreta se debe controlar por 42 usuarios medio de un proceso de gestion formal ‘A925 | Revision de los derechos | Contal de acceso de usuarios | Los propietarios de los actives deben revisar los derechos de acceso de los usuarios, a nloralos regulates. ‘A926 | Ratio 0 ajusle de lee | Conte) erechos de acceso | Los derechas de acceso de todos los empleads y de usuarios extemos ala informacion y 9 les instalacones de procesamiento de informacion se deben rear al tarninar su empleo, contate 0 acuerdo, o se deben lusty cusneo Se hagan cambios ‘A83 _Responsabilidades do los usvarios (Objet: Hacer que los usuarios rindan cuentas por la ealvaguarda de eu infornadin de aulenicacin ‘A834 ] Uso de infomaciin de | Control ‘autenticacién secreta ‘Se debe exigir @ los usuarios que cumplan las practicas de la organizacién Para el uso de informacion do autenteacin secrets ‘ASA Control do acceso a sistemas y aplicaciones Objetve: Evita el acceso no autorizade a sistemas y aplicaciones. Agaa Restriccion de acceso a la informacion ‘Control El acceso a a informacion y a las funciones de los sistemas de las aplicaciones se debe restingir de acuerdo con la poliica de conto! de 16ass NORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacion) Tabla At. (Continuacion) Procedimiento de ingreso seguro Contra! Cuando lo require Ia polica de control de acceso, el acceso a sistemas y aplicaciones se debe controlar mediante un proceso de ingreso seguro, Sistema de gestion de contraserias Contra! Los sistemas de gestion de contrasefias deben ser interactivos y deben _asegurarla calidad de las contraserias. Integra ontroles criptogr ‘Objetve: Asegurar e! uso aproplado ‘A944 | Uso de programas | Control utltaries prviegiades | Se debe resrngir y controlar estrictamente el uso de programas utitaios que pposifan tener capacidad de anular el sistema y los contoles de las ‘aplicaciones. ‘A945 | Contol de acceso a | Control cédigos "fuente 6e | ge, Programas ‘10 CRIPTOGRAFIA Adore At044 ‘sobre el uso de contoies el uso, proteccion y ‘cl de vida 2 las instalaciones de ita, @ instalaciones de manejo de proteger mediante controles de acceso ue solo se permite el acceso personal ‘A113 | Seguridad de oficinas, recintos @ instalaciones: Plicar seguridad fisica a oflcinas, recintos @instalaciones, ‘A114 | Proteccion contra | Control ‘amenazas_extemssy | Se debe cisefiar yaplcar proteccién fisiea conta desasies naturales, ataques: ambientalos rmaliciosos o eccientes. ‘AN1.48 | Trabajo en areas | Control seguras ‘Se deben disefar y apicar procesimientos para trabajo en dreas seguras, ‘AM1.46 | Areas de despacho y | Control ‘Se deben controlar los puntos de acceso tales como areas de despacho y de ‘carga y offs puntos en donde pueden entrar personas no autorzadas, y si eS posible, aislrios de las instalacones de procesamiento de informacion para leviiar el acceso no autorizado. 7NORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacién) Tabla At. (Continuacién) AN2 Equipos Objetve: Prevenir la pérdida, daflo, robo o compromisa de actvos, y la interupcién de las operaciones de la organizaci, ‘A121 | Ubicacion y proteccion de les equipos Contra Los equipos deben estar ubicados y protogldes para reducr los resgos de famenazas y peligros del entoma, y las posiblidadee de seceso. no autorzade, ‘A:11.22 | Servicios de suministro Contra Los equipos se deben proteger contra falles de energia y otras interupe:ones causadas por falas en los servicios de suministo. ‘8:11.23 | Seguridad del cableado Contra’ El cableaco de energia eléctica y de telecomunicaciones que porta datos 0 brinda soporte a los servicios de informacién se debe proteger contra interceptacén, intererencia 0 data ‘8:11.24 | Mantenimionto a equipos. Contror Los equipos se deben mantener correctamente para asegurer su ispontbildad e integrdad continuas, ‘11.25 | Retro de actives Contra? Los equipos, informacion 0 software no se deben retirar de su sito sin autorizacten preva. ‘A11.26 | Seguridad de equipos y actives fuera de las instalaciones Control ‘Se deben aplicar medidas de seguridad a los actives que se encuentran fuera de las instalaciones de la organizacion, teniendo en cuenta los lflerentesriesgos de trabajar fuera de dichas inetalaciones ‘A112.7 | Disposicion segua_o reullizacion de equipos Control ‘Se deben veificar todos los elomentos de equipes que contengan medios de almacenamiento para asegurar que cualquier dato confidencial o software zenciado haya sido rerado 0 sobreescrito en forma segura antes e su disposicion o reuse. ‘11.28 | Equipos de usuario. esatendido ‘Control ‘Los usuarios deben asegurarse de que a os equipos desatendidos se les da proteccion apropiada ‘A128 | Politica de escrtorio. limpio y pantata impia ‘Control Se debe aoptar una politica de escritoro impio para los papeles y medios e almacenamiento removiles, y una poltica de pantalla’ impia en las instalaciones de procesemiento de informacion, ‘Ai2_ SEGURIDAD DE LAS OPERACIONES ‘A124 Procedimientos operacionales y responsabilidades Objetvo: Asegurar las operaciones corectas y securas dé la inslalaciones de provesamienio de informacion ‘Aq2.1.1 | Procedimientos de ‘operacion documentados Control Los procedimientos, de operacién se deben decumentar y poner a isposicion de todos los usuarios que os necesitan. ‘A121. | Gostion de cambios Contra! ‘Se deben controlar los cambios en la arganizacién, en los procesos de negocio, en las instalaciones y on los sistemas de procesamiento de informacion que afectan la seguridad de la informacion, 18NORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacién) ore ScemezaclOn) is ‘Tabla At. (Continuacién) 'A.12.1.3 | Gestion de capaciéed Control ‘Se debe hacer seguimiento al uso de recursos, hacer los ajustes, y hacer proyecciones de los requsitos de capacidad futur, para asegurar cel desempetio requerido del sstema, ‘A214 | Separacién de los ambientes | Contra’ de desarrlio, pruebas, y cokes ‘Se deben separar los ambientes de desarrollo, prueba y operacién, para: ‘educic ls riesgos de acceso o cambios no autorizados al ambiente de operacion ‘A122 Proteccién contra cédigos maliciosos bjetivo: Asegurarse de que la informacién y las instalaciones de provesamiento de informacion esién protogidae Contra cédigos maliciosos Atz2a ‘Contoles contra cédigos rmaliciosos tar controles de deteccién, de prevencién y ae ides con la toma de conciancia apropiada dos ‘A123 Copias de respaldo conservar mente los. regisos de actividades del ust falls y eventos do de la informacien. Tegistro se deben proteger conta istrador y del operador dal sistema se deben oben protogery revsar con reguardad. pervyy ‘Sincronizacion de relojes 0s los sistemas de procesamianto de informacion ro de ura organizacién o ambito de seguridad se deben Sineronizar con una dnica fuente de referencia de tempo. ‘A125 Control de software operacional (Objet: Asegurarse de la ntegridad de lo sistemas operacionaes. Aa25A Instalacion de software en | Contr! sstamas operating. ‘Se deben implementar procedimientos para controlar la instalacién de software en sistemas operatvos. 19NORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27004 (Primera actualizacién) ee eee Tabla A. (Continuacién) ‘A126 Gestion do la vulnerabilidad téeniea (Objetvo: Prevenir el aprovechamienio de las vuinerabiidades tSenicas ‘Aa26. | Gestion de—_tas | Control ‘wunerablidades técnicas | Se debe obtener oportunamente infommacién acerca de las vulnerabiidedes ‘écnicas de los sistemas de informacion que se usen; evaluar la exposicen e la organizacion a estas vulnerablidades,y tomar las medides apropiadas para tratarel riesgo asociado. ‘A262 | Restrcciones sobre ta | Control instalacion de software | Se debe establecere implementa las reglas para la instalacion de software or parte de los usuarios, ‘A127 Consideraciones sobre auditorias de sistemas de informacién (Odjetvo: Minimizar el impacto de as actividades ce auditor sobre los sistemas operalives. ‘A127 | Controle de auditerias de | Contrar Sistemas de informacion | Los requisitos y actividades de aucitoria que involucran la verticacion de los sistemas operativos se deben planifcar y acordar cuidadosamente para ‘minimizar as intrrupciones en los procesos del negocc. ‘AAS _ SEGURIDAD DE LAS COMUNICACIONES ‘AA3.A Gestion de la seguridad de las redes Objetvo de soporte ‘Asegurar la proteccion delat informacién en las redes,y sus instalaciones de prosesamiento de informacion Anaad ‘Conivoles de redes Contot Las redes se deben gestionar y controlar para proteger la informacion en sistomas y aplicaciones. pore ‘Seguridad de los services dered Contras Se deben identiicar los mecanismos de seguridad, los niveles de servicio y los requiktos de gestén de todos los servicios de red. incluios en lox acuerdos de servicio de red, ya sea que los servicios se presten interamente o se contraten externamente. ‘A43.133 | Separacion en las roses | Contr Los grupes de servicios de informacion, usuarios y sistemas de informacion ‘se deben separar en las redes, ‘A.13.2 Transferencia de informacion (Objetvo: Mantener la seguridad de la informacion transferda dento de una organizacién y con cualauler ented externa, ‘4.13.21 | Poliicas y procedimientos | Control Oe mazansferencia 4 | Se debe contar con policas, procedimientos y controles de transferencia Informacion formales sara proteger la transterencia de informacion mediante el uso de {odo tipo de instataciones de comunicaciones, ‘813.22 | Acuerdos sobre | Contr! transferencia 9 | Les acuerdos deben tratar la transferencia segura de informacion del Informacion ‘egocio entre la crganizacién y las partes externas ‘813.23 | Mensajeria electronica | Contro! Se debe proteger adecuadamente la informacién incuida en la mensajeria, electronica ‘A132. | Acuerdos e | Contr Confidencialiad © de no divuigacion Se deben identfcar, revsar reguiarmente y document los requistos para los scuerdos de confidenciaided ono divuigacion que refcien’ las ecesidaces de la organizacién para la proteccion dela Informacion 20NORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacién) Tabla A.1. (Continuacién) ‘A14 Adquisicion, desarrollo y mantenimiento de sistemas ‘A141 Requisitos do soguridad de los sistemas de informacion Objetiva: Asegurar que la seguridad de la informacion sea una parte integral de los sistemas de informacion durante todo el ciclo de vida. Esto incluye también los requisitos para sistemas de informacion que prestan services sobre Fedes publics. ‘A141.4 | Andlsis y especiicacion de | Contr! Tequisitos de seguridad de Is | Los requistos relacionados con seguridad de la informacién se deben informaciin inclur en los requisitos para nuevos sistemas de informacién © para mejoras alos sistemas de informacion existntes, ‘A141 | Seguridad de servicios ae las | Contr! aplicaciones en redes publicas Involucrada en los servicios de las aplicaciones que ies publcas se debe proteger de actividades perry fen las tansacciones de los servicios de las, J para evitar la transmision incompleta, el [ateragion no autorzada de mensajes, Ia A182 Segui ‘Objetvo: No de software y de vida de desarrollo se ventos formales de contol Revision ‘aplicaciones! cambios en la operacion Restricciones en los los paguetes de software las modifcaciones @ los paquetes de software, os Timitar alos cambios necesarios, y todos los cambios oar esticiamente, ‘A14.25 | Princpios de construccién de | Controt los sistemas seguros ‘Se deben establever, documentar y mantener principios para la Cconstruccin de sistemas sequros, y apicarlos a cualquier actividad de Implementacion de sistemas de informacion ‘1426 | Ambiente de desarolio | Control seguro Las organizaciones deben establecer y proteger adecuadamente los ambientes de desarrollo seguros para las actividades do desarrollo © integracién de sistemas que comprendan todo el ciclo de vida de esarraio de sistemas, ‘414.27 | Desarrollo contratado | Conta! ‘extemamente La organizacion debe supervsar y hacer seguimiento de fa actividad de desarrollo de sistemas contralados externamente, 24NORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacién) ee Primera actualizacion) ‘Table A‘. (Continuacién) ‘A428 | Prusbas de seguidad de sistemas ‘Control Durante el desarrollo se deben llevar a cabo pruebas de funcionalidad de la seguridad ‘1428 | Prucba de aceptacion de sistemas Controy Para ks sistemas de informacion nuevos, actualzaciones y nuevas versiones, se deben establecer programas de prueba para aceptacion trios de aceptacon relacionados, ‘A143_Datos de prusba Objtiv: Asegurar la proteccion de los dalos usados para pruebas, ‘A143. | Proteccién de alos de prueba Contrar Los datos. de prucba se deben seleccionar, proteger y controlar cuidadosamente, ‘A18__ RELACIONES CON LOS PROVEEDORES ‘A181 Seguridad de la Informacién n la relaciones con los proveedores Objetive: Asegurer le proteccién de los actvos de la organizacion que sean accesibies a los proveedores ‘A181. | Politica de seguridad de la informacion para las ‘elaciones con proveedores. Control Los requisites de seguridad de la informacion para mitgar los riesgos ‘sociados con el acceso de proveedores @ los actvos de la organizacion 'e deben acordar con éstos y se daben documentar ‘A15.12 | Tratamiento de la seguridad dentro de los acuerdos con proveedores Control ‘Se deben establecer y acordar todos los requisites de seguridad de la informacion pertinentes con cada proveedor que pueda tener acceso, roceser, almacenar, comunicar’ 0 suminsstar componentes de Infraesttuctura de TI para la informacién de Ia organizacion ‘A18.13 | Cadena de suministe de tecnologia de informacion y ccomunieacion ‘Control Les acuerdos con proveedores deben inclur requisites para tretar los Fiesgos de seguridad de la informacion asociados con la cadena de Ssuminisro de productos y servicios de tecnologia de infomacéa y comunizacion ‘A15.2_Gestién de la prestacion de servicios de proveedores ‘Objet: “Mantener e vel acordado de seguridad os proveedores. do la infermacion y de prestacion del servicio en linea con los acuerdos con ‘A152: | Seguimiento y revision de los. servicios de os Proveedores Control Las corganizaciones deben hacer seguimiente, revisar y audltar con regulariéad la prestacisn de servicios de los proveedores, ‘A152. | Gestén de cambios en los ‘servicios de los proveedores Control ‘Se deben gestionar los cambios en el suministro de servicios por parte de los proveedores, incluido e! mantenimiento y la mejora de las poticas, procesimientos y controles de seguridad de fa informacion existenes ‘eniendo en cuenta la ciicidad dela informacion, sistemas y procesos del negocio involucrados, y a reevaluacion de los esgos, ‘A16__ Gestién de incidentes de seguridad dela informacion ‘A181 Gestién de incidentes y majoras en la seguridad de la informacion ‘Objetivo: Asegurar un enfoque coherente y eficaz para la gestion de incidentes de segurdad de la informacion, includa la comunicacion sobre eventos d e seguridad y debildades. ‘A461. | Responsabiidades——y Procedimientos, ‘Contral ‘Se deben establecer las responsabldades y provedimientos de gestion Para asegurar una respuesta répida,efcaz y ordenaca alos incidentes de Seguridad de la informacion 22NORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacién) ‘Tabla A.1. (Continuacién) ‘16.1.2 | Reporte de eventos de | Cont! seguridad de lainformacién | Los eventos de seguridad de la informacion se deben informar través de los canales de gestion apropiados, tan pronto como se3 posible. ‘A161 | Reporte de deblldades de | Cont! seguridad de lainformacién | Se debe exigi a todos los empleados y contratstas que usan los servicios y sistemas de informacion de la organizacién, que observen Y Teporten cualquier debiidad de seguridad de la’ informacion observada o sospechada en lo sistemas o servicios ‘Ai6.14 | Evaluacion de eventos ae | Control decisiones sobre ellos. seguridad de la informacion y Los eventos de seguridad dela formacisn se deben eva y so ise van a clasifcar como incidentes de seguridad de la Respuesta a incidentes, Seguridad dela informacig ‘Aprendizaje obtenido ineldentes de’ los incientes de seguridad de la informacion ‘analizar y resolver incidentes de usar para redueir la posbildad © jn de informacién PAD DE NEGOCIO Implementacion continuided de la sog la informacign quistos para la seguridad de la gestion de la seguridad de Ia festablecer, documentar, implementar_y ANAS Verifcacion, revision levaluacion de la continuidad de la seguridad de la informacion y La organizacién debe verifcar a intervalos regulares los contoles de Continuidad de la seguridad de la informacion establecddos © implementades, con el fin de esegurar que son validos y eficaces durante situaciones aaversas. ‘A172 Redundancias Objetvo: Asegurar la disponibildad de insalaciones de procesamiento de informacion, AaT2a de procesamiento informacion, Disponibiidad de instalaciones | Conta! 92 | Las instalaciones de _procesamients de informacion se deben implementar con redundancia sufcente para cumplr los requisitos de sisponioliad 23a NORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacién) ‘Tabla A. (Continuaclén) ‘18 _ CUMPLIMIENTO ‘A.18.1 _Cumplimionto de requisites legales y contractuales ‘Objetivo: Evitar et incumplmiento de las cbiigacones legales, estatutarias, de reglamentacion © contrachuales relacionadas con seguridad de a informacion y de cualquier requisite de seguridad ‘AA8.12 | Identificacién de ta legsiacion | Contr aplcable Ge les requisites | Todos fos requistos estatutarioe, reglamentaros y_contractuoles contracuaies pertinentes y el enfoque de la organizacion para cumpliios, se deben ‘denticar y documertar explictamente, y mantenerios actualizados para cada sistema de informacion y para la organizacien ‘A418.4.2 | Derechos de propiedad | Contr intelectual Se deben implementar procedimintos apropiados para asogurar el cumpimiento de los requistos legsiatvos, de reglamentacon ‘ontectuales relacionados con ts derechos de propiedad inelectl ‘lsc de producos de software patenados. ‘A181 | Protoccion de resists Conta Los, registros. se deben proteger contra pérdia, destuccin, falsiacion, acceso no autorzado y Iberacion no. autorzada, do souerio con’ los ‘requistos leglatwos, de reglementaion, coniractualesy de negoso, ‘Ai0:4 | Privacidad y proteccién de | Conta! informacion “de datos | Se deben ssegurar la privacidad y la protecién dela informacién de personales dates personales, como se exge én la legislacin y la reglamentacion Bernartes, cuando sea acaba. ‘A18.45 | Reglamentacién de convo | Conta iptograicos Se deben usar contol criptogrficos, en cumplmiente de todos los overt, lgislacon yreglamentaion pertinent. ‘8.18.2 Revisiones de seguridad del informacion (bjetivo: Asegurar que le seguridad de la informacion se|implemente y opere de acuerdo con las polices y procedimientos organizacionales. ‘A182: | Revision independiente de la | Cont) seguridad dela informacion | &} enroque de Ia organizacién para la gestion de la segurided de a Informacion y su implementacion (es decr, los objetivas de contr). los Contreles, las polices, los. procesos y los. procedimientes para segurdad de la informacion) se deben revisar independientemente @ intervalos planificados o cuendo ocurran cambios signitativos ‘AABZ2 | Cumplimients con las polices | Conta y notmas de seguridad Les directores eben revisar con regulardad el cumplmiento del procesamiento y procedimientos de informacion dentro de su area de esporsabiidad, con las polis y normas de segurdad apropiadas, y cualquier oso requisite de seguridad ‘AaBzZ3 | Revlon del cumplmienta | Controi ‘eenico Les sistemas de informacion se daben revisar perlédicamente para Setemninar el cumplimiento con las poliieas y normes de seguridad de Ia informacién, 24NORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacién) BIBLIOGRAFIA [1] ISOMEC 27002:2013, information Technology. Security Techniques. Code of Practice for Information Security Controls. [2] GTC-ISONEC 27003:2012, Tecnologia de la informacion. técnicas de seguridad. Guia de implementacién de un sistemia de gestion de la seguridad de la informacion. [3] ISO/IEC 27004:2008, information Technology. Security Techniques. Information Security ‘Management. Measurement. [4] ISONEC 27005:2011, Information Risk Management. [5] NTC-1SO 31000:2011, ipios y directrices. [6] ISONEC Directives, 2012. 25 nology. Security Techniques. Information Security pment. Procedures Specific to ISO,NORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacién) DOCUMENTO DE REFERENCIA INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. Information Technology. ‘Security Techniques. Information Security Management Systems. Requirements. Geneva: |SO, 2013, 28 p. (ISO/IEC 27001:2013 (C)). 26IND icontec internacional sosoTa Carera 7 No, 52-95 Tolono: (1) 607888 Fe (1) 2001435 bonctaicntec.om ARRANQUILLA Carera $7 No 70-88 “fon: (}9615400 Fac (5) 3615499 aranquila@ionts og BUCARAMANGA Cale 42, 28-19 Teltono: 7) 6343522 Fax (7) 6452098 cewiar 3108518960 buceramanga@ieontc 0 eva (Cate No. 10-49 Olina 108 Censo Comercial aza Rea Teton: (8) 871 58.33 Ba. 118 Cobia. 3188872006 Fc (0) 871 38 65 Bet 152 va@iconte. og CARTAGENA Bocagrande Carrera 4 No. 5A17 isa 2 “lato: (5) 682 51 15, Collar: 313857 2029 meano aon org teacue Careraa No.3 - 47 Local t Hotel iternacional Casa Morales Telefon: () 2613462 Celdar: 3188872 008 (baguea@cotec. org PasTO Cale 18 No, 28- 84, Piso 8 Ofna 604 ‘diicio Camara de Comercio de Pasta Telefon: (2) 731 5843 Fx (2) 7310598 asto@icontc ora ILLAVICENCIO| (Carera 48 No, 128-30 Pisa Bato La Espearza. aa t Telefon (8) 6825002 Celuar: 318887 2008, illveereoceontes org MANIZALES Cale 20 No, 2-27 Eo Comanday oti 808 ‘elton: (76) 8845172 Fa (6) 8808289 Celuar:318 8872005, rmanizales@leomtec 09 meDe.Lin (alo 58 No, 39-90 “elton: () 318.8020 Fac () 3140378 ‘madeing@iconec. or cau Avenida 44 Norte No, 45 - 30 ‘elton: 2) 864 0121 Fac (2) 664 1554 sali@icontee. om PEREIRA Carera 17 No, §- 57 Local 2 Etc Morecaro. Barto Prrares de San Marin “fone: (6) 981 7154 parin@icontec.g ccucuTa (ale 10 No. 438, ore A, Peo 8 Ei Camara de Comercio “too: (7) 572.0968 Cobia: 3138872086, cuntapicontc og BARRANCABERMEA Cale 48 No, 184-22 Baro Colombia de Barencabermea Teltoe: (7) 6021168 Cobar: 3203898210 ssarmenio@onic ra ARMENIA (ater 14 No. 23-15, Piso2 Eatcio Camara 6 Comercio Telefon: () 781 1423, Fae (6) 741 1425, ameniagiconecon ‘APARTADG ‘ater 107 No, 984-20 Elo de Serempresa, Barro Ortiz Apartado “lfon:() 828:38 0G - rect: et. 4195, spartadoicotec. oc MONTERIA Cento camecia Paz de la Castelana Locales 204 y 212 “fon: () 785 2097 monteiag@cones. oc wwwicontec.org