NORMA TECNICA NTC-ISO-IEC COLOMBIANA 27001 TECNOLOGIA DE LA INFORMACION. TECNICAS DE SEGURIDAD. SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION, REQUISITOS INFORMATION TECHNOLOGY. SECURITY TECHNIQUES INFORMATION SECURITY MANAGEMENT SYSTEMS. REQUIREMENTS. CORRESFONDENCIA: esia norma es una adopcién idéntice (1OT) por traduccion de la none 27001 DESCRIPTORES 1C,8.: 36.040 {Eaiada por el Inslulo Culonbiane de Nowes Tecrices y Apariaga 14237. dagola, DG - Tel (S71) G07eb8e F Probie sureproacicn rer,PROLOGO El Instituto Colombiana de Normas Técnicas y Certiicacién, ICONTEC, es el organism nacional de normalizacién, segin el Decreto 2269 de 1993, ICONTEC es una entidad de cardicter privado, sin anime de lucro, cuya Misién es fundamental Para brindar soporte y desarrollo al productor y proteccién al consumidor. Colabora con el sector gubemamental y apoya al sector privado del pais, para lograr ventajas competitivas en ios mercados interno y externo. La representacion de todos los si esta garantizada por los Cor en el proceso de Normalizacién Técnica do de Consulta Publica, este ultimo 2013-12-11 Esta norma esti ser actualizada Bi todo momentod sidades y exigencias: AZTECA COWL BANCO AGRA CENETSA CROSS BORDER ECOPETROL -SLB ESICENTER - SINERTIC GEOCONSULT -ECP HALLIGURTON - ECOPETR HELM BANC INFOTRACK S.A, « é. ae PE SeR a Adems de las anteriores, en Consulta Pllblica el Proyecio se puso a consideracién de las siguientes empresas. ATODA HORA S.A ATH BANCO DE OCCIDENTE ‘ACH COLOMBIA S.A. BRANCH OF MICROSOFT COLOMBIA INC ACTUALIZACIONES DE SISTEMAS LTDA CAJA” COLOMBIANA DE SUBSIDIO AGENDA DE CONECTIVIDAD FAMILIAR COLSUBSIDIO. ALFAPEOPLE ANDINO S.A CENTRO DE INVESTIGACION ALIANZA SINERTIC DESARROLLO EN TECNOLOGIAS DE LA BANCO CAJA SOCIAL INFORMACION Y LAS COMUNICACIONES BANCO COMERCIAL AV VILLAS CENTRO POLICLINICO DEL OLAYA BANCO DAVIVIENDA S.A CPO.SA, BANCO DE BOGOTA_ CHOUCAIR TESTING S.A, BANCO DE LA REPUBLICA —~ CIBERCALL S.A.COLOMBIA TELECOMUNICACIONES S.A KEXTAS LTDA, ESP LOGIN LEE LTDA, COMERCIO ELECTRONICO EN INTERNET MAKRO SUPERMAYORISTA S.A. CENET S.A, MAREIGUA LTDA. COMPUREDES 8.4, MEGABANCO CONTRALORIA DE CUNDINAMARCA MICROCOM — COMUNICAGION —-Y. COOPERATIVA DE PROFESIONALES DE SEGURIDAD LTDA LA SALUD -PROSALCO LP.S- NEGOTEC NEGOCIOS Y TECNOLOGIA CORREDOR EMPRESARIAL LDA een CREDIBANCO NEXOS SOFTWARE SAS. CRUZ ROJA COLONBIANA SECCIONAL PARQUES Y FUNERARIAS S.A. CUNDINAMARCA Y BOGOTA DAKYA LTDA. DIGIWARE ECOPETROL S.A. ENLACE OPERATIVO S.A. ESCUELA COLOMBIANA DE‘ INDUSTRIALES JARDINES DEL RECUERDO gPIRAMIDE —ADMINISTRACION DE INFORMACION LTDA, TECNICO MAYOR —_AGENCIA U2aISTaNa De seRVICIO ¥ EDUCACION RONTIFICIA UNIVERSIDAD JAVERIANA ETBSA.ES.P. QUALITY SYSTEMS LTDA, FLUIDSIGNAL GRQUB'S.A. SIEMAS|YFORMACION S.A S, FONDO. EMPLEADOS. JEDADS: 2 :COLOMBIANA DE DEPARTAMENS@BEANTICQUIA BUNDACION a TECNOLOGICO DEL SORIWARER! DE, CALI BIA PARQUESOR Tatas LONBIASA FUNDAGION UNIVERSITARIA GN BEL IWFORUACION v GEMAS, NIERIARY Gi 'GOLOMBIA LTDA. SAS i SA GESTION& 1A S CRUZ Y CIA. LTDA. SA GETHONIGS COLGY Gir LTO 4 HUT SAS: ‘ FADORA DE VALORES HOSPITAL SAN VICENTI SILAS LT MONTENEGRO J7US:COMPETENCIAS LTDA INFOCOMUNICACIONES S.A : JERSIDAD DISTRITAL FRANCISCO INSTITUTO DE ORTOPEDIANINGA ROOSEVELT IVERSIDAD NACIONAL ABIERTA Y A IPX LTDA. ‘DISTANCIA IQ CONSULTORES UNIVERSIDAD NACIONAL DE COLOMBIA IT SERVICE LTDA UNIVERSIDAD SANTIAGO DE CALI JAIME TORRES C. Y CIA, S.A. JIMMY EXENOVER ESPINOSA LOPEZ ICONTEC cuenta con un Centro de Informacién que pone a disposicién de los interesados normas internacionales, regionales y nacionales y otros documentos relacionados DIRECCION DE NORMALIZACIONPELELELEEERLELELLEEREBELEREEELBEREEET NORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacion) __INTRODUCCION...... o4 0.2 4a 42 43 44 61 52 53 64 CONTENIDO GENERALIDADES COMPATIBILIDAD Co! coment DELAS PARI elpao De LA INFORMAGION.. — LIDERAZGO..... LIDERAZGO ¥ COMPROMISO POLITICA... ROLES, RESPONSABILIDADES Y AUTORIDADES EN LA ORGANIZACION ......3 PLANIFICACION...... ACCIONES PARA TRATAR RIESGOS Y OPORTUNIDADES....NORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacién) 6.2 74 72 73 74 78 8.4 82 8.3 94 9.2 9.3 10. 10.4 10.2 DOCUMENTO DE REFERENCIA.... Pagina OBJETIVOS DE SEGURIDAD DE LA INFORMACION Y PLANES PARA LOGRARLOS vissscsscineunnne SOPORTE vn. RECURSOB...... COMPETENCIA. TOMA DE concteucia REVISION POR LA DIRECCION... MEJORA..... NO CONFORMIDADES Y ACCIONES CORRECTIVAS, MEJORA CONTINUA IQOHOOCH OCHA AAAA 22am ~ -NORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacién) — Pagina BIBLIOGRAFIA, nll ANEXO A (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA sco eens: BEREGRLEREELLELERLULLEERUERRERLELELERELERREUENORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizaci6n) INTRODUCCION 0.1 GENERALIDADES. Esta Norma ha sido elaborada para suministrar requisites para el establecimiento, implementacién, mantenimiento y mejora continua de un sislema de gestion de la seguridad de la informacién, La adopcién de un sistema de gestion de seguridad de la informacion es una decision estratégica pars vna organizaciénfE| establecmiento © implementacién del sistema de gestién de la seguridad de la info organizacionales empieados, y ¢ estos factores de influencia caff El sistema de gestion de ia scuund integridad y la disponipifdad de a in del riesgo, y bringgi€pnfianza a ta Es importap procesos lbp. sea parte de los acion y que esté oguridad de la infgtfigcion en el disefio de procesos) 4 foraliiy contoles. Se estetd que IGE MIE de un siste-na de gestiongdl de pacién se difunda de acusléeieoy. cesidades de la organizacidvy Geis en el que se van a implememt propésitos de referencia seguridad de la informacion, y refer BUG ia de normas de sistemas de gestidn de la seguridad de la informacién (incluide’ TC-SONEC 27003(2}, ISOMEC 27004[3) y ISO/IEC 2700514), con los terminos y definiciones relacionadas 0.2 COMPATIBILIDAD CON OTRAS NORMAS DE SISTEMAS DE GESTION Esta Norma aplica la estructura de alto nivel, titulos idénticos de numerales, texto idéntico, lerminos comunes y definiciones esenciales definidas en el Anexo SL de las Directivas ISO/IEC, Parte 1, Suplemento iSO consolidado, y por tanto, mantiene la compatibilidad con otras normas de sistemas de gestidn que han adoptado el Anexo SL. Este enfoque comin definido en el Anexo SL sera itl para aquellas organizeciones que decidan poner en funcionamiento un tnico sistema de gestién que cumpla los requisitos de dos ‘© mas nonmas de sistemas de gestion.MUMUURRUC CUTE EETL NORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacién) TECNOLOGIA DE LA INFORMACION. TECNICAS DE SEGURIDAD. a SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION. REQUISITOS 4. OBJETOY CAMPO DEA Esta Noma especifica los real continuamente un sistema de gestit fa organizacion. La pf@senite Nor tratamiento de ries@Side seguridad implementar, mantener y mejorar ia infgrmacién dentro del cantoxio de isitos para la valoracion y el os a las necesidades de la as y estan previstos para Bf, tamario 0 naturaleza, ser aplicable: Cuando uy 2 RB < Los siguientesdaeu ormativamente en este documento y sor pena u chadas slo se aplca lo exicion citada, Pere eterench fas reciente del documento tlerencad (reli elas ISOMEC 27000, Informatio Management Systems, Overvidyre 3. TERMINOS Y DEFINICIONES! Para los propésites de este documento se aplican los términos y definiciones presentados en la norma ISO/IEC 27000, 4. CONTEXTO DE LA ORGANIZACION 41 CONOCIMIENTO DE LA ORGANIZACION Y DE SU CONTEXTO La organizacién debe determinar las cuestiones externas ¢ internas que son pertinentes para Su propésito y que afectan su capacidad para lograr los resultados previstos de su sistema de gestién de la seguridad de la informacion. inacidn de estas cuestionss Hace referencia a establecer el contexto extemo ¢ intema de fa do en el numaral 5.3 de la NTCASO 31000:201 {f5) 1 de 26 NOTA La det organ 2a0i6n, con:NORMA TECNICA COLOMBIANA __NTC-ISO-IEC 27001 (Primera actualizacién) 42 COMPRENSION DE LAS NECESIDADES Y EXPECTATIVAS DE LAS PARTES INTERESADAS La erganizacién debe determinar. 2) las partes interesadas que son pertinentes al sistema de gestién de la seguridad de la informacién; y b) los requisitos de estas partes interesadas pertinentes a seguridad de Ia informacién NOTA Los requisites de las partes interesadas puedan inclir les requisios logales y reglsmentaros, y les obligaciones contractuales, tie 4.3. DETERMINACION DEL ALCANCE, DEL SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACION La organizacién debe determinag seguridad de la informacién pace La organizacion debe antenor y mgjgrp Eontinuamente un sistema uerdo con 19§'fequisitos de esta Norma. 5 54 La alta direccién clebe demostrar fderd a seguridad de Ia informacién’ ipromiso con respecto al sistema de gesiién de a) asegurando que se establezcan la politica de la seguridad de Ia informacién y los objetivos de la: seguridad de ta informacion, y que estos sean compatibles con la direccién estratégica de ta organizacién; — b)—_asegurando Ia integracién de los requisitos del sistema de gestin de la seguridad de la informacion en los procesos de la organizacién; c) _asegurando que los recursos necesarios para el sistema de gostidn de la seguridad de la informacién estén disponibles; OOROCCHBAGASELEAAHAAAHHOOH&I i | B = > = 5 a aid rc) id =D iD a a ® 2 a a a cd @ cd cd ob 2 2 a 2 PY > a a a a a a a a NORMA TECNICA COLOMBIANA _NTG-ISO-IEC 27004 (Primera actualizacion) © comunicando la importancia de una gestion de la seguridad de la informacién eficaz y Heya Confermidad con los requisites del sistema de gestion de la seguridad de ie informacign: ©) asegurando que ol sistema de gestion de la seguridad de la informacion logre los resultados previstos; Ghigiendo y apoyando a las personas, para contribuir a la eficacia del sistema de Gestion de la seguridad de la informacion; 9) promoviendo la mejora continua, y ») apoyando otros roles pertinentes de la direccion, para demostrar su liderazgo apticado a SUS areas de responsabilidad, 62 PoLitica La alta areccion debe estabionge ftgad de la informacion que a) by ‘eral 6.2) 0 proporcione et s.de la seguridad de la PUP orisozce cumplifos requ con la seguridad hy : Be La politica de ta Seguiad cella seguridad de la e) estar disponini 9) comunicarse dentro dale eae a 9) estar disponible para las BaF in sea apropiado 5.3 ROLES, RESPONSABILIDADES ta alta direccién debe asegurarse de que las responsabilidades y autoridades para los roles Pertinentes a la seguridattde fa informacion se asignen y comuniquen La alta direcclén debe asignar la responsabilidad y autoridad para: 2) asegurarse de que el sistema de gestién de la seguridad de la informacién sea Conforme con los requisites de esta Norma; ») __informar a la alta direccién sobre el desempetio del sistema dé geslién de la seguridad de la informacion, BOT nent ita, dteccién también puedo asignar responeabitdades y avloridades para informar sobre of esempero del sistema de gestién dela seguied ve i informacion dento de la organiaecinn 3NORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacién) 6. PLANIFICACION 6.1 ACCIONES PARA TRATAR RIESGOS Y OPORTUNIDADES 6.44 Generalidaces A planificar el sistema de gestién de seguridad de Ia informacién, la organizacion debe considerar las cuestiones referidas en el numeral 4.1 y los requisitos a que se hace referencia en el numeral 4.2, y determinar los riesgos y oportunidades que es necesario tratar;con e! fin ge’ 8) —_asegurarse de que el sistema de gestién de la seguridad de la informacién pueda lograr sus resultados previstos; by ° 4) 64.2 Vaio fi uridad de [a informa 81 La organizacion tk informacion que: a) establezca y mantei incluyan, 1) Los oriterios de ase 2) tos criterios para reall informacién; b) —_asegure que las valoraciones repetidas de riesgos de la seguridad de ta informacion produzcan resultados consistentes, valides y comparables ©) identifique los riesgos de la seguridad de Ia informacion: 1) aplicar el proceso de valoracién de riesgos de la seguridad de la informacion para identiicar los riesgos asociados con la pérdida de confidencialidad, de integridad y de disponibilidad de informacién dentro del alcance del sistema de gesti6n de la seguridad de la informaciin; & 2) —_identificar a los duefios de los riesgos; FFE ERE RKC Cee rerrer Tce re,we vewew Pexsevveoveevvvevevwesrowowuwewe nee NORMA TECNICA COLOMBIANA _NTC-IS0-IEC 27001 (Primera actualizacién) 4) analice los riesgos de la seguridad de la informacién: 1) Valorar las cansecuencias potenciales que resultaran si se materializaran fos flesgos identiicadas en 6.1.2 ¢) 1), 2) Yalorar la probabilidad realista de que ocurran los riesgos identificados en 6.1.2 oy 3) determinar los niveles de riesgo. 2) eval los riesgos de seguridad de la informacién 1) comparar fos resultados del andlisis de riesgos con los criterios de riesgo establecidos en 6.1.2 a) Yrs comparar los Eopitroles! se han omitidos éontr NOTA 1 ElAnex0 A cofie de esta Norma a consul roles, Se invita los usuarios sagen par aka las contrales necesarios, NOTA? Los comes do SSMMERMMIEDE inciomene en tos cones’ escogton. Los abjetvos de contol y os conirles efltreradgs-grel Anexo A no son exhaustves,y pusden ser necesarios cbjelnes de contol conrols atconalesstsi d) —producir una declaracién de aplicabilidad que contenga los controles necesarios (véanse el numeral 6.1.3 b) y c)) y la justificacin de las inglusiones, ya sea que se implementen o no, y la justifieacion para las exclusiones de los controles del Anexo A; e) —_formular un plan de tratamiento de riesgos de la seguridad de la informacisn; y f) obtener, de parte de fos duefios de los riesgos, la aprobacién del plan de tratamiento de riesgos de la seguridad de la informacién, y la aceptacién de los riesgos residuales de la seguridad de la informacion. La organizacién debe conservar informacion documentada acerca del proceso de tratamiento’ de tiesgos de la seguridad de la informacion.NORMA TECNICA COLOMBIANA —NTC-ISO-IEC 27001 (Primera actualizacion) NOTA Gi proceso de valoracin y tratamiento de viescos de la seguridad de la informacién que s2 presenta en fla Norma &e alinea can los princpios y irectnons genericas suminisiiadas en ia ISO 3000/6) 62 OBJETIVOS DE SEGURIDAD DE LA INFORMACION Y PLANES PARA LOGRARLOS La organizacién debe establecer los objetivos de seguridad de la informacién en las funciones y hiveles pertinentes. Los objetivos de seguridad de la informacién deben: a) ser coherentes con la politica de seguridad de la informacién; b) — sermedibies (sies posible); - ©) tener en cuenta los requisité resultados de la valoracion’y Iusidad de fa informacién aplicables, y los Jos riesgos; d) ser comunicados; y e) ser actualizacios4 segiin sea'a F La organizdigh seguridad dé jainformacien 9) quere h) — quign sera ¥egpensabi aluaran loge J c6mo se evaluarén os Gaui 7. SOPORTE 74 RECURSOS La organizacién debe delerminar y proporcionar los recursos necesarios para el establecimiento, implementacion, mantenimiento y mejora continua del sistema de gestion de la seguridad de la informacion, 7.2 COMPETENCIA La organizacién debe: 8) determinar la competencia necesaria de las personas que tealizan, bajo su control, un trabajo que afecta su desemperio de la seguridad de la informacidn, y PP9O9RCOS PHOEBE K EKKO DDO Ow 81 NORMA TECNICA COLOMBIANA —_NTC-ISO-IEC 27001 (Primera actualizacin) » °) 0) NOTA personas empleadas 7.3 de. a) 4) asegurarse de que estas personas sean competentes, basdndose en la educacién, formacion 0 experiencia adecuadas cuando sea aplicable, tomar acciones para adquirir la competencia necesaria y evaluar laeficacia de las acciones tomadas; y conservar [a infarmacién dacumentada apropiada, como evidencia de la competencia, Las acciones aplicables pueden inclut, por ejemplo: a form: iyalmente, 0 eovtratacion de personas competenies. 7, a telosia o fa reasignacién de tes TOMA DE CONCIENCIA Las personas que realizan el trabajo bajg-el.control de la organizacién deben temar conciencia se oe las implicagfgries de la no confor seguridel eal —pertinented aisle a) b) ¢) d) °) 78 754 cuando coming: aquién comunicar; BR ES: quién debe comunicar;: INFORMACION DOCUMENTADA Generatidades El sistema de gestién de la seguridad de la informacién de la organizacién debe incluir: a) » NoTA la informacion documentada requerida por esta Norma; y la informacion documentada que la organizacién ha determinado que es necesaria para la eficacia del sistema de gestiin de la seguridad de la informacién. E| elcance de la infomacién documentada para un sistema de gesti6n de la seguridad de la informacion puede ser diferente de una organizacion a otra, debisa 2: a) ‘ol tamano de le organizacion y a Su tipo de actividades, procasos, productos y servicis, 7NORMA TECNICA COLOMBIANA —NTC-ISO4EC 27001 (Primera actualizacién) b) Ia completa de los process y sus interacciones, y: ©) le competencia de las personas. 7.8.2. Creacién y actualizacién Cuando se crea y actualiza informacién documentada, la organizacién debe asegurarse de que lo siguiente sea apropiado: a) [a identificacién y deseripcion {por ejemplo, titulo, fecha, autor o ntimero de referencia) b) el formato (por ejemplo, idioma, version del sofware, graficos) y sus medios de soporte (por ejemplo, papel, electrénico), <) la revision y aprobacion con respegio: peop y adecuacion, Ds 7552 Control de in informacislgcun Coe b. rd | Hs de gestién de In seguridad de la La informacion documentacdefe sé asegurarse de que informacién y por esta Norma ») 9 necesaria para la planificacion Yi informacién, so debe identificar y cot NOTA 1 acceso implice una decision cancetiiente al permiso solamente para corsultar la informackén Gocurmentada, 6 el perso y la autoridad para consullar y modifica a informacin dacumentada, ete. 8. OPERACION 8.1 PLANIFICACION Y CONTROL OPERACIONAL, La organizacién debe planificar, implementar y controlar los procesos necesarios para cumplir los requisitos de seguridad de la informacion y para implementar las acciones determinadas en el numeral 6.1. La organizacién también debe implementar planes para lograr los objetivos de fa seguridad de la informacién delerminados en e! numeral 6.2.NORMA TECNICA COLOMBIANA NTC-ISO1EC 27001 (Primera actualizacion) © La organizacion debe mantener informacién documentada en la medida necesaria para tener 18 Canflanza en que los proceses se hian Hevado a cabo segun lo planificado. La organizacton debe controlar los cambios planiicatos f revisar las consecuencias de los te reese no provistos, tomando acciones para miigar 195 efectos adversos, cuando sea necesario. La organizacién debe asegurar que los procesos contratados ‘extemamente estén controtados. 8.2 VALORACION DE RIESGOS DE LA SEGURIDAD DE LA INFORMACION La organizacién debe llevar a cabo valoraciones de riesans de la seguridad de la informacion @ jitervalos planificados 0 cuando se propongan u ocyrran cambios significativos, teniendo en iret los erterios establecidos en el numerals. 12 @) a La organizacion debe conserva reumentada de los resultados de las valoraciones de riesgos de la seal informacion La organizagi server informacicHigpaumteiee #618 Jos del tratamiento de riesgos del dide la informacion. 3 ° Es ve SeSUNTENTO meqelen uss EVALUACE Fis isormacion y a feacia dol La organizacion deb sistema de gestion déda segUtid La organizacion debe deter Buse a. a) aqué es necesario Race Fe Phiecosaro medi, incite os rovescs yeontroles de la segunda b) tos métodos de seguimiento, mesiclen Bisis y evaluacion, segun sea aplicable, pare ‘asegurar resultados validos, Noth Para ser conseraden vdhion, be mados slecdonait deberian producir resultados Comparables reproducible. cuando se deben llevar a cabo el seguimiento y la medicion; a) quién debe llevar a cabo el seguimiento Y la medicion, @) cuando se deben analizar y evalvarI08 resultados det seguimiento y de la medicion: y f) pin debe analzar y evaluat estos resultados, La organizacian debe conservar informacion documentada apropiada como evidencia de los resultados del monitoreo y dela medicion. 9NORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27004 (Primera actualizacién) 9.2 AUDITORIA INTERNA pagtaanizacion debe llevar a cabo aucitorias intemas a intervalos pleniticadas, para Proporcionar informacién acerca de si el sistema de gestion de la seguridad de la informacion a) es conforme con 7) los propics requisitos de la organizacion para su sistema de gestién de la Seguridad de fa informacién; y 2) tos requisitos de esta Norma; b) esta implementado y mantenido efleazmente. La organizacién debe ©) _planificar, establocer, implé incluyan ta. frecuencia planificacion, y la eiaboraei Suenta la importancia de Ya Previas; 10 0 variS’ programas de auditoria que ponsabilidades, os requisitos de ue ©) para cadgtidiort, detnirlos cntatee °) f 9) Nova c:180 19011 y NF 18627007 a3 ee La alta direccién debe revisae organizacion a intervalos efivacia continuas, = dS;la seguridad de ia informacion de la fe de su conveniencia, adecuacion y ®) _elestado de las acciones con relacion alas revisiones previas porta direccién: ») tos cambios en las cuestiones externas e inlemas que sean pertinentes al sistema de gestién de la seguridad de la informacién; ©) _ retroalimentacién sobre ol desempeno de la seguridad de la informacién, incluidas las tendencias relativas a 1) no conformidades y acciones correctivas; 2) seguimiento y resultados de jas mediciones; 10 pepPeePererrrereertrsrceesen_.BEESERELLLELELLEESESULLEELULELVEUE NORMA TECNICA COLOMBIANA —NTC-ISO-IEC 27001 (Primera actualizacién) 3) resultados de la auditoria; y 4) cumplimienta de los objetivos de la seguridad de la informacion, 0) __retroalimentacion de las partes interesadas; e) resultados de la valoracién de riesgos y estado del plan de tratamiento de riesgos; y f) las oporlunidades de mejora continia, Los elementos de salida de la revisién por la direccién deben iricluir las decisiones relacionadas con las oportunidadés de mejora continua y cualquier necesidad de cambio en el sistema de gestion de la seguridad de la informacien. IB canforidades similares, 0 que potencialmente ©) implementar cualquier accién neces. d) _revisar la effcacia de las acciones correctivas tamadas, y ©) hacer cambios al sistema de gestion de la seguridad de la informacion, si es necesario, Las acciones correctivas deben ser apropiadas a los efectos de las no conformidades —~eneontradas. La organizacién debe conservar informacién documentada adecuada, como evidencia de: f) la naturaleza de las no conformidades y cualquier accién posterior tomada; 9) los resultados de cualquier accién correctiva "gig oa ea NORMA TECNICA COLOMBIANA —NTC-ISO-IEC 27001 (Primera actualizacion) 10.2 MEJORA CONTINUA La oiganizacién debe mejorar continuamente la conveniencia, adecuacion y eficacia del sistema de gestion de la seguridad de la informacion. 12KS eel NORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacién) ANEXO A (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA Los objetivos de control y cantroles enumerados en la Tabla A.1 se obtienen directamente de la ISOMEC 27002:2013[1], numerales 5 a 18 y estan alineados con ella, y se deben usar en contexto con el numeral 6.1.3. Tabla AA. Objetivos de control y conttoles ‘AS POLITICAS DE LA SEGURIDAD DE LA INFORMACION i ‘ ASA _Orfentaci6n deta diroceién para fa gostin de la coquridad de a informacion iz i Otjetiva Brindarorentacion y soporte, por pated los requisites del negocio y con las eyes sed ccién, para la Seguridad de ta informacion de Bcverdo con orice, i ‘ASA | Politeas para la seguridad apf S | i lainformacion junto de polices para ta se i oe 5 le direccion, publicada y comunieada a los ; Revision da fas fa seguridad de seguiida | neve: Eb dad en conficto se deben saparar ibildadestte modiicacion no aulorzada © ne bido dels acivos dia organizacion. 73 | Contac cons arate ee “Sh a4 Songs on oon | SH al interés especial | Se débelvniaitener contactos apropiades con grupos ae interés especial ee eas aoe es Se | cia) eruacise aires | cary fenia gestion de proyectos “| 5 seguridad de la informacion se debe tratar en la gestién de proyectos, inependientemente del {pa de proyecto, ‘AG2 _Dispositivos méviles y teletrabajo Objetivo: Garantizar la seguridad del eletrabajo yel uso de dspostivos males, AG24 | Poltica para dspostivos | Canto! seo ‘Se deben adopter una politica y unas medidas de sequtided de soporte, para pestionar los rlesgos intosucios por el usa de dispositves méviles ContinuaNORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacion) Tabla AA. (Gontinuacion) conto! Se deden implomeniar una pelica y unas medidas da seguridad de Soporie, para protege’ la informacion a la que s2 Lene acceso, que es luge iz SEGURIDAD DE LOS RECURSOS HUMANOS ATA ‘Antes de asumirel empleo Objetve q ‘Asegurar Que los emmpleados y cortvalistas comprenden sus responsablidadas y son ioneos en los oles @ consieran, ‘tia porinentes, y deben ser proporcionales a los jo, a clasficacién de la nformecn a que se va a igsgos porcibidos.”* ana Objetive aeeaurail Ea ons dela miomecgny Ai | Tognes 9 oo : enpe> Fs con engine conatasdeton eee somanmadaan oe Dianna z ara Odjetve | ‘Terminaclén y cambio de empl Pratoger lo intoreses de la organizacién ‘27-21 | Raspansabiidedes ta | Controv ee Ladieccisn deoe bi | ia RIa2 ficoncig iociin &) FEN donde sea pertinenie, los pimacle eleyY la formacion en toma de © fee equlares sobre las poiiicas y fentes para su cargo, 7.2.3 | Proceso dschpinitio cl cual debe ser comunicada, para @ empleados que hayan cometide una violacién como partetéehprocaso do cambio o termination de empleo Terminaciin 9 cambio de responsabildades de empleo Contra! {as responsabilidad y los debares de segura’ de fa informacion que ermanecen valida: desouea Ge la terminacion o cambio de empleo se (eben cetinr, comunicar 2l eMrplaado © contatsia y se dosen hacer ceunplr 4= od = = = = > = = = => ES) @ ce ® ® ® @ ®@ ® ® a ® @ ® 2 ® Pe a 2 a a » a A cy a a a i | i i NORMA TECNICA COLOMBIANA —_NTC-ISO-IEC 27001 (Primera actualizacion) Tabla AA. (Continuacién) AS GESTION DE ACTIVOS ‘AS. Responsabilidad por los actives ‘Objetiva: Identical actives axganizac jgnales y defn las respansabligades de protecciin apropiedas, ‘AGHA | inventao de | Control actives Se deben idontiicar los actives asaciados con information e instalaciones do procasamiente de informacén, y se debe elaborar y mantener un inventaio de bsioa actives. ‘AGA2 | Propedad co os | Controt % a activos Los ecves mantanides en et nventaro debe tener un propietrio, RBA | Uso aceplable de | Control Tos actives: sumentar © iiplementar reglas para el uso aceplable de eociadas con informacion e insialsciones. ABAA|Oevolcin, de actives Ye partes externas deben dovolver todos tos Sncuentren a su cargo, al leminar su empleo, Objetvo fa orgenizacion, i oe AB2A A823 a : {a iforacion se. debe criBiidad y susceptibilided e § brocedimientos para el ma de clasifcacén de sos para el manejo de actos, de nde informaci¢n adoptado por la ABS Manejo de medios Evitar la divulgacion Lota nls nedio= Bee ‘A.8.3.4 | Gestiin de medios | Controt “Sfp ie ae removbles Se deven iM EREAT Plocediiortos para la gesin do medias emoviies, do Se oS von escuema de Gasicacon adopado pola erganizaion. z| 32 | Biaposisb de tos | Contor | mesios Se debe cisponer en forma segura de los medios cuando ya no se requioran, titzondo pesedimento termeles G93 | Tronsterenca ae | Conte! sedios iscos os meds que eontienen Informacion se deben proteger contra acceso no ulorizado, uso indabido 0 corruncion Gurante el transporteNORMA TECNICA COLOMBIANA, [as CONTROL DE Acceso abl ASA Roquisites dal negocio para control de acceso ‘Objatve: Limtarel acceso a informacion yo insta Politica de conta’ de | Contr acceso Se debe establecer, documentar y revisar una politica de con base en ls requisios del neg NTC-1SO-1EC 27004 (Primera actualizacisn) Ia AA. (Continuacién) jones de pracesamienta de informacion, control de 2eceso rio y da segutisad de fa informacion ASA2| Acceso 8 red Az _ Gestion de acceso de usvari Objet ‘Asegurar el acceso de los usuatiog y 8 | Contot eee Solo se debe permitr acceso de los usuarios aia red | para los que hayan sido autorizados especiicamente ya los servicios de ree Fin jlavel acceso no eutorzado a sistemas y serv R24 | Regaita y cancelacén dal regsiro de usuarios. «ff foraso formal de reaisra y de cancelacin de ilar la asigneci6n de los derechos ce acces. Suminiato de acpeso de | piviegiado. Slminstia de acceso formal do uswatlos eerapceso para todo tipo de usuarios ie DeBide derechos de acceso oe ee rusia Fecontro} 7 jignacion de informaciénede aut a debe conilo por slafiog de los acivos de cinplyaios regulares. ms dereahos 62 acceso (Use de informacin de faulenticaciin secreta Aad Control de acceso a sister 9.44 | Resiiccon de acceso a la informacion [ia [Ree © onilee oe ‘Hacer que los Usuarios rndan cue Gs Control Canto aplcaci Se debe exigir a Jos usu para el uso de informacion do avtenticacion secrela lems y pleaciones EI acceso @ la informacién y a las’ funciones de ‘Bosco todos or’ampleados y de usuarios extemos a fa a ete recteamono ce ntrmacon se doben Maieenato 9 ccunso, 0 Se deben quar cuando ey rmacion 6 autent Se bald uarda ce su in jos qve cummplan las préctcas de le organizacion 1 sistemas ca las Ges se debe resting de acuerdo con la polttea de control de 16 Apeeseeeane ss 2SPUUUUEERRRERGLERLRRESGR ULE RTELELU ULL eb gaa NORMA TECNICA COLOMBIANA —_NTC-ISO-IEC 27001 (Primera actualizacién) Tabla At. (Continuacién) * integeidad Asad A042, Aa Aatd CRIPTOGRAFIA jtva! Asegurar el uso apropiado y de la iformacin [Pateasoveflno as] ccontroles cyldgisticos 2 AY BEL ENTORNO Aaaz ee ] Control ingreso seguro Cuando lo require la polica de control de acceso, el acceso a sistemas y li aplcaciones se debe coniclar mediante un proceso de ingreso seguro, ‘AAS | Sislema de gestién de | Corto! contrasenias Los sistemas do gostin de contssenss deben ser ineractivos y w seguir la calidad las convasenas A944 | Uso de programas | Control wares privisgiedes | Se dabe restingiry controlar estrictamente 6! uso de programas ulitarios que podiian tener eapaciad de anuiar el sistema y loz contoles de las plcaciones. AAS | Gonvol de ‘Control cadiges Werte Sa dob Bolzacceso# os cédigos fuento delos programas, brogamas ane man een Aa g Se debe desarclths tempo do wa clas procesarn atta Objetva! Pr Se ete eget watercress feet {cign confidencial’6 critica, e instalaciones de manejo de Ea amenezas externas ¥ ambientales RATA | Convcles de accor a fiseos : » TUES bse! eben protegar mesonte contles de_acceso SSIS que soo. se_permte. «acceso 8. potsona fenetler AAT | Seguiled do ofchas, fay ‘ecnteseinsialacones | Se gone disenar yanca segunda sia a ons, recites e instalaciones Ata | Proteccién conta | Cont ‘Se debe disenar y aplicarproteccin fsiea conta desastras naturales, ataques malicioses o accdlentes, carga ‘A411. | Trabajo - en areas | Contror seguras ‘Se deben dsetar y aplicarprocedimientos para trabajo en areas seguras ‘Aa1.16 | Areas Ge despacho y | Controt ‘Se daben controlar los puntos da acceso tales como areas de despacho y de carga y elros puntos en donde pueden entrar personas no aulorizadas, y ses, posible, alslaios de las instalaciones de procesamiento de informacion para fvlar el acceso no autorzado. 7NORMA TECNICA COLOMBIANA Ubicacion y proteccon ae | Contra’ 0s equipos Los equioos'deben estar ubicados amenazas y peligros cel ento | autotizado. y Protegides para reducl los raages de m0. ¥ 18S posibildaves de acceso. no Servicios de suminisve | Control Les equips se deben prot: j Interrupciones causadas por fl ger contre fallas ge energia y obras, S &n los servicios de suministro, ‘A412. | Seguridad del cableado Fig eléctrica y de telecomunicaciones que porta datos o MEEserVcI0s de informacién se debe proteger contra i ‘A41124 | Manteniniento ah equipo: intener corractamente para aesegurer su a : : | Revroo api ies A aulonzoct ANZ ad: Contre e Se deben aplicae Fredidas jendo en cuenta tos fiers de fas instalationes citerentes nesgos de rabajar haere ie que contengan medios ier_dato confidencial o io en forma sequta antes veriicar todos Ios elem amienlo pare_asequi pgiado haya sido rota lagurarse de due alos equpos desalendides se ls da a P 18s de procesamianio de informacion Seeracién se eben documentary poner a ans que los nacesitan. Anta | =. | Sie! 8 Sruiposis | ea “| sotware | 7 ae { ‘A128 | Equipos det uscd t desatendido % & [A120 |Poltice de escrtchid | a ee Objativo. Asegurar las operaciones correctas y seguras de las instalaci i ‘124.1 | Procedimientos ‘de ] Cantor I Gestidn do cambios Control cidn, en Jos procesos de negocio, en l95 instalaciones y en los sistemas de procesamiento, de informacién que afectan la seguigad seSOV YD SE SOU UEE EEUU CETTE TTT NORMA TECNICA COLOMBIA\ NA NTC-ISO-EC 27001 (Primera actualizacién) Tabla AA. (Continuacion) [751213] conten ce cepsccas contrat So debe hacer seguimiento al uso ce recursos, hacer los ajustes, y hacer proyecciones de los requistos de capacidad Futura, para asegutar el desempet requerdo de! sistem. ‘A121. | Separacion e los ambientes de desarrollo, pruebas, operacién Coniral Sedeben soparar los amblentes de desarrollo, prueba y operacion, para Teduci ls lesgos de acceso 0 cambios no aulorizades al ambente de A. 2.2 Proteccién contra eédigos male operacion contra edsigos maliciases. Objetvo. Asegurarse de que la informacién y le Inetalaciones de procesamiento de informacion estén protegidas ‘A224 | Controles contra cédaos rmalicioses AAZI Copias de respaldo | objeto: Proteger contra la pécia datos Respaldo, abigiiermacion Aibinatos con la toma de conciencia apropiads do los Peleanacontre edigs maliciosos. Proteccién ti de registio TAA2A3 | Resiaon det earn del operador + ‘ { fedilarmante los reaistros Jones, falas y eventos de y lainftormaca jo autorizado. ie registio 80 deben proteger contra Pocvade yd! operadar dl stra so doben Foe Stan potas ear on repre. ‘A244 | Sincionizacion ce relojes [ess Hert acAE Gono oo ura crganeaciono bea do sogurtad s2 eben erenzar eon una cic fuente de reereela de tempo. | Objatve "A124 | insialaeidn de sofware en sistemas operatives ‘AAZS Control de sofware operacional ‘Asegurase dela inlegtidad de los sistemas oporacionales, Contra! Se daben implementar procedimientes para controlar ta instalacion Ge software on sistemas oparativos, 19NORMA TECNICA COLOMBIANA —_NTC-ISO-IEC 27001 (Primera actualizacisn) AA26 Gustin de la vulnerabilidad tecnica ‘Ghat: Prevenic al aprovechamiento de las vulnerabiidades tgenicas, abla At (Continuacisn) Taazes | Gesiin de Controt vunerabilliades te Se debe cbicner opontunamenteinfomacién acerca de las vunerabiidades {eericas de los sistemas de informacion que S¢ user; evaluar la exposiclén be a organizacion o eslas vherabiidades, y tomar las medies aprosiades para tratar el nasgo asocrado, ‘AAZG2 | Resiicciones sobre la | Contol instalacién de'scttware | Se debe establecere inplementar las regis para la insalacion de sofware por paris de os usustios. | objetivo | A12.7 Consideraciones audit ‘Winimizar el impact orins de sisiemas de informacion sore ls sitanes operatives Canteles de auditeras de Raa Sitomas de ormaan Hales de oustoria que inoleren fa verfcacin de os fpr planfear'y suotcr cudadosemente psa Mfnisa proceso el neg00, rs A Ata do fa eri de tas rece Aaaad Objetve: Asegurar ip de sopere. i eter con ioacon ait | Gees erred >| $3 iro) x Soe we | S¢ devon isenicar os . fs iveles de svio y bos te tos de gestion de todos JOs:S@ivibi0g ge red, € incluirlos en los. oo ane EE pres canes se pexen naman g se conrotonexternarionta Aas nsferencia de informa: a rar aco ern amen emipecedes, Bs eer pd ine we exiema es 71524 [Paes yaocniii [ OmR ” de transferencia de | se debetantarton polticas, procedimientos y controles de transfarencia informacion females pata proiegerlairanslarecia de inferiacion mediante e! uso de | to ipo de instalacones de comuncaciones aaa | Asveroos sobre | Cantor tearsterenoa e | Loe acuerdos deben tralar ly tansferencia seguta de informacion del informacion egos erie I organizacen ylas partes exer. ‘AA323 | Menssiera ecrénica | Contos Se debe proteger adeevedamanta Ia informacin incuida en la Trenseeria lesionca onfidenciaidod © de no | Se deven ienticer, revisor regularmente y dacumrtar los requis para sivulgacion jog aovetdos de confidencilisad a no cwuigacion que reljen las recestlades cel rgarizacien para la proteccion del informacion, 20x NORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacién) Tabla A‘. (Continuacién) ‘A414 Adquisici6n, desarrollo y manlenimienta de sistemas ‘A441 Requisitos de soguridad de las sistomas de informacion Objetivo: Asegurar di'la seguridad de ia informacion sea una parie integral de los sistemas de informacion durante todo el ciclo de vida. Esto incluye también los requisites para sistemas ee informacion ove prestan se-vicies sobre | redes puilicas, AA44.4 | Andisis y especiieacion ae | Contra: fequisites de seguridad de Ta | Los requisitos relacionados con seguridad de ta informacién se deben informacion | incur en los requisios para nucvos sistemas de informacién © para mejoras alos sistemas de informacion existentes, | AA4.1.2 | Segurised de servicios de las | Contior apiescores en vedes | cy y publicas: a macién involucrada en los servicios de las aplicaciones que if A ‘14.13 | Proleccln de trenseccotes Je los servicios ded | sotcscores . fats en las ransacciones de los servicios jteger para evilar la transmis‘on incampleta, el ‘tergeén no autonzada de’ mensies, 18 A TEU eaten reas Ad42 _ Soguridag@i loa ay | Objetivo: AsegufGetduella Seaurided de la iniowmact : sotaraio pier uend : Aifolo de sotware y de } Bin. Se deben nlc 3 sistemas, alos desaralge dele gis yor Begs Feecotr meds o oe AN422 Roviién eile dS aplcadores desoued etd carbios en le Pateloray peracion oe bln ls palafotinas de aperacién, se deben revsar fas el negoco, y sorter a arueba para asegutar que fas operaciones © soguridad dela Tata | Reseed on los car 2 los paquates de sotware a a tar las modificaciones a los paquetes do software, los cinles/an sbln into als cambios necesaton. todos los eamio= se deben controlar esticlamente A4.25 | Principios de const Control los sistemas seguros, Se deben establecer, documentary mantener principios para fe construccién de sistemas sepuros, y aplicalas a cualquier acivded 3 implementacion de sstamas de informacion ‘A4426 | Ambiente de desarrollo | Contro! seguro Les organizaciones deben establecer y protegar adecuadamente los ambientes de desarcllo segures para las actividades de dasatralo @ infogracion de sistemas que comprendan toda el ciclo do vida de esartalio de sistemas, ‘A427 | Desaralio ‘ontraiado | Control extemnamente La organizacion debe superviser y hacer seguimiento de la actividad de desarrallo de sistemas contratados externamente 24 po VOVPOR RP EHS HHHSF SSS SSSSIGGTGEHAT IVI IassIHNORMA TECNICA COLOMBIANA —NTG-ISQ-IEC 27001 (Primera actualizacién) Tabla A. {Continuaciém) aureus oe | ‘A142. | Pricbas de 14.2.9 | Prost | sistemas: Conver rante el desarrollo se deben leva’ 8 cake pruebas de Tunclanaliad de seguridad Contral = Pera los sistemas de informacién nuevos. actualzsciones y nuevas versiones, 2 degen establacer programas de prueba cara avoplaciin y briterias de aceplacién relacionados prelaccién de los datos usados para pruebas, de dios de Gontol Los datos ce prueba se daben selaccionar, protegar y controler Paltica de seguridad de ai] informacion pars Tes fe¢ de a informacién para mitigar los riesgos adores @ [03 acives 60 la crganizacion sips vse debe documentar Aa ‘seguridad fsuerdos con Solem Mantener et nivel acarda los proveedores. AAS.24 | Soguimiento y revisSAega | Jos servicios oe proveedores Gi ‘cambios en | sorvicos de los proveedores i ‘AAG.1 Gestién de incidentes y mejorse on fa seguridad do a Infor de seguridad dea Informacion Conor & Se deben i of (équisos de coguried de la iformacion Baers cen Blof que pueda tener acceso, procesar, amacenbr. eam ymister companentes cle RGU reAistes pare tratar los EBgoefados con la cadena de Fe octane y 5 zur con pss i si 8 ind jigo do beocos son oo cos servicio en tinea contos acverdos cn oy an de servicios de las proveedores — ga cattle onc fe corbin ane saris da trv por de los proveedores, incuido el mantenimiento y la mejora de las posticas, procedlimisntos y contoles de segurided de Ia informacién exislenies feniendo en eventa la cfiticidad de la rvormacion, sistemas y procesos del egono involierads, y la reeveluacin oe Io 3905, cian (Objeliva: Asegurat ‘enfoque eoherenie y eficaz para la gestion o& Ineidenies de segurigad de la Informacion, inlurda ia comunicacian sobre eventos de seguridad y debidades. Fatead | Responsaciaasce ferred Cont ci al Ge deben establecer las respensabildades y procedimentos de gestion para aseguiar una respuesta rapid, eficaz y erlenada alos ineidenties de Seguridad de [a informacion. PeVEGEUUUUEE TRUCE REELED NORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacién) Tabla At (Continuasién) [eneanl AAGt6 A46.1.2 ] Reporte de eventes de | Control Seguridad delainonmacién | Los evenios de segurded de Ia informacion se debon informar a | Waves oe los canaies de gestiin apropiadcs, tan pronto como sea ¥ posible A16.1.3 | Reporte de debiidades de | Contor Seduwiceddelainfermacién | se dobe exigr a todos los empleados y conlraistas que usan los Seivcis y sistemas oe informacion dela organizacién, que obse-ven | ¥ reporten cualquier debiddad de seguridad. do la. informacién bservada 0 sospechada en ls sistemas o servicios. ‘AAG44 | Evaluacion de _eventes oe | Conter seguridad de la informacion y ecisiones sobre alos Respuesta a eguridad de la informacion incidentes de seguridad de! Informacién Los events de seguridad da Ia informacién se deben evaluar y se debe decir sise van a clasficar como incidentes de segurdad ce la fe ‘i identicact que pueda Aarsa | Objetivo: La‘ de negocc de julPaion debe delermifer 48 requiitos para lo seguridad dela MEG Yala coninuidadigla gastin a In seguridad Go la HH ywacones acVirsas, por ejemplo, durante un criss 0 pies AAT.12 | implemeniacion a6 continuidad de la seguridag a BAuoRLGede establecer, decumentar, implementar y ‘a informacion procedimientgs ¥ contfoles para azegurer el nivel erido para la seguridad de Ia informacion durante Nadversa [4.47.43 | Verifcacin, —revieian—_y | Control Gvaluacién de a continuidad de | |g organizacitn debe veriicar a ntervalos regulares los controles de | ‘esoguriaddelainformacion | confinuidad de la seguidad deta informacion establecidos 6 implementades, con el fin de asegurar que son valdos y efeaces durante situaciones adverses, [2 AAT2A ‘A472 Redundanclas Objetvo: Asegurar la deponbiided & clones de procesami Disponibiidad de insialacianes | Contra’ oe na mameeamiento< 08 | uss instalaciones de procesemianto de infommacién 58 _daben informacion implementar con recundancia sufiants para cumplir ls requisioe de sisponiblidad 23NORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacin) Tabla A. (Continuacién) [A.18.4_Cumplimiento de requisites logales y contractuales Sbjetive: Evitar 21 incumplimiento de las obigacicnes te ‘elucionadas con seguridad de la informacion y de cualeuier| ‘A18.14 | Identtieacion do ta logslacion | Controt ara cade sistema de into A812 | Derechos de propiedad intalectuat ‘AA1BA.3 | Prateccién de repisros rerery | Atats A182 Ro ‘Objetva, Asegtigy procedimientos off ‘A162: | Revision seguridad de inspite con Tas, porta y eormas da soguricad Breas falquier oto requsla da seguridad sles, estatutaias, de reglamentacién © contracluales quista de seguridad apicable y de los requis | Todos ios requisites estalutaios, regiamentarios y coniractusies contracuales | iportinentes y et enfoque de la organizacion para cumplias, se daben Iienticar y documentar explictamente, y mantenerios actualizados edn y paral organizacion implementar procedimiantos apropiados para asegurar el de los requisios. lesislativos, de reglament Rb aulorzado y terecién no autor tegislaivas, de reglamentacién, les praceses los prosesinsentos para oi in) se deben revisar independientemente @ sande aeurran cembios sigiicalnvos. lacion y ada, 8 RAGES | Rewsion dal eumpimient | Contr Ja informacion tecnico los sistemas de informacion se deben revisar pariddicamente para ‘eterminar el cumplimienta con las politicas y normas de seguridad de 24OPCCCECERCCCSL TLS ILA LTTLEG LUST NORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacion) a (2) (3) BIBLIOGRAFIA ISO/IEC 27002:2013, information Technology. Security Techniques. Code of Practice for Information Security Controls. GTC-ISONEC 27003:2012, Tecnologia de la informacién. técnicas de seguridad. Guia de implomentacién de un sistema de gestion de la seguridad de la informacin. ISONEC 27004:2009, Information Technology. Security Techniques. Information Security Management. Measurement ISONEC 27005:2011, information Teahinolagy. Security Techniques. Information Security Risk Management. ISOIEC Directives, P% 2012. 25DOCUMENTO DE REFERENCIA INTERNATIONAL ORGANIZATION FOR Security Techniques. Information Security Mi 2013, 23 p. (ISONEC 27001:2013 (E)). NORMA TECNICA COLOMBIANA _ NTC-ISO-IEC 27001 (Primera actualizacién) STANDARDIZATION. lanagement Systems. poner Information Technology. Requirements, Geneva: ISO,