® icontec Internacional NORMA TECNICA NTC-ISO-IEC COLOMBIANA 27001 2013-12-11 TECNOLOGIA DE LA INFORMACION, TECNICAS DE SEGURIDAD. SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION. REQUISITOS E: INFORMATION TECHNOLOGY. SECURITY TECHNIQUES INFORMATION SECURITY MANAGEMENT SYSTEMS. REQUIREMENTS. (CORRESPONDENCIA: esta norma es una adopcién idéntica (IDT) por traduccién de la norma ISOMEC 27001: 2013. DESCRIPTORES: sistemas de gestién - seguridad de la informacién; informacién, técnicas de seguridad, gestion. Les: 36,040 oral Insulo Colombiana de Norms Téoneas y Cariicacon (ICONTEC) “4237 Bogola, D.C. - Tal. (S71) 6078888 - Fax (S71) 2221435, Prohibida su aprostccion Primera acualizacion teed 2073-12-20,NORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacién) INTRODUCCION O41 02 44 42 43 4a BA 52 53 et CONTENIDO Pagina GENERALIDADES.. COMPATIBILIDAD CO, HBTEMAS DE GESTION... A INFORMACION. LIDERAZGO wo LIDERAZGO Y COMPROMISO POLITICA... ROLES, RESPONSABILIDADES Y AUTORIDADES EN LA ORGANIZACION .....3 PLANIFICACION ACCIONES PARA TRATAR RIESGOS Y OPORTUNIDADES..NORMA TECNICA COLOMBIANA NTC-ASO4EC 27001 (Primera actualizacién) 62 z wa 72 73 74 75 8 a4 a2 83 2. a4 92 93 40. 10.4 10.2 MEJORA CONTINUA, DOCUMENTO DE REFERENCIA, Paging OBJETIVOS DE SEGURIDAD DE LA INFORMACION Y PLANES PARA LOGRARLOS SOPORTE, RECURSos,, COMPETENCIA, TOMA DE CONCIENCiA, COMUNICACION ..... INFORMACION DOCUMENTADA., OPERACION .. EVALUACION DEL DESEMPENO SEGUIMIENTO, MEDICION, ANALISIS Y EVALUACION. AUDITORIA INTERNA NO CONFORMIDADES Y acciones CORRECTIVas.NORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacién) Pagina BIBLIOGRAFIA..... ANEXO A (Normativo) OBJETIVOS DE CONTROL Y CONTR¢NORMA TECNICA COLOMBIANA _NTC4SO-IEC 27001 (Primera actualizacién) INTRODUCCION 0.1 GENERALIDADES Famicima. ha sido elaborada para suministrar requisitos para el establecimiento, rareleentacién, mantonimiento y mejora continua de un sistema de gesliSn do la soguridad te 'a informacién. La adopeién de un sistema de gestion de seguridad Ge la informacion we uve sesien estatéaica para una organizacién. El establecimiento e implomentavion de! satere Se eaten de la seguridad de la informacion de una organizacion estan infuenclados pr loa SR NSames Y oblelives de la organizacion, los requisitos de seguridad, los procesos aaieacioneles empleados. y el tamano y estructura de la organizacion, Se espera que todos ‘estos factores de influencia cambien can el tiempo. organizacion, Ge resente Norma puede ser usada por partes intemnas y extemas para evaluar la capacidad Ge [a organizacién para cumplir los requisitos de seguridad de la propia organizacion, Evomden en que se presentan los requisitos en esta Norma no reflea su importancia ni el orden eesetee Se van a implementar. Los elementos de la lista se enumeran solamente, pera propésitos de referencia, LE ISCHEC 27000 describe fa vision general y el vocabulario de sistemas de gestion de la Seguridad de la informacion, y referencia la familia de normas de sistemas de gestion de 1a TSG IEG 279as fa mermacion (ineluidas las NTC-SOMEC 27003{2), ISOMEC 2700413} y 'SOMEC 2700514), con los términos y definiciones relacionadas 0.2 COMPATIBILIDAD CON OTRAS NORMAS DE SISTEMAS DE GESTION fen Norma aplica la estructura de alto nivel, ttulos idénticos de numerales, texto idéntica, sores, Comunes y definiciones esenciales. definidas en el Anexo SL de las Directing GOAEC, Parte 1, Suplemento ISO consolidado, y por tanto, mantieno la compatbiidid eos otras normas de sistemas de gestién que han adoptado el Anoxo SL. Fenaentadue comin definido en el Anexo SL seré ail para aquelas organizaciones que Saeklan poner en funcionamiento un Unico sistema de gestion que cumpla los retuisitos do dos (© mas normas de sistemas de gestién,NORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacion) TECNOLOGIA DE LA INFORMACION. TECNICAS DE SEGURIDAD. SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION. REQUISITOS OBJETO Y CAMPO DI Esta Norma especifica los re iplementar, mantener y mejorar jon dentro del contexto de para la valoracion y el 5 necesidades de la ‘organizacin. stan previstos para ser aplicabl . fio © naturaleza, Cuando sles ptable excluir cuaiquiel Los siguient 8 totalidad, se referer Wvamente en este documento y SOs es pala jon. Para referent fas solo se aplica ia plica la edicion| iente del documento ISONIEG 27000, Informetidas ee Techniques. Information Security Management Systems. Ov ‘TERMINOS Y DEFINICION! Para los propositos de este documento SeaBlIB#h los términos y definiciones presentados en la norma ISONEC 27000. 4, CONTEXTO DE LA ORGANIZACION 41 CONOCIMIENTO DE LA ORGANIZACION Y DE SU CONTEXTO La organizacién debe determinar las cuestiones externas e internas que son pertinentes para ‘su propésito y que afectan su capacidad para lograr jos resultados previstos de su sistema de gestion de la soguridad de la informacién NOTA La doterminacién de estas custiones hace referencia a establecor ef eantexto externa @ interno de la rganizacion,considerado en el numeral 8.8 de ia NTC-ASO 31000201 5) 1 de 26NORMA TECNICA COLOMBIANA _NTC-4SO4EC 27001 (Primera actualizacién) 42 COMPRENSION DE LAS NECESIDADES Y EXPECTATIVAS DE LAS PARTE INTERESADAS La organizacién debe determinar: #) [3s partes interesadas que son pertinentes al sistema de gestion de la seguridad de informacién: y ©) Tos requisitos de estas partes interesadas pertinentes a seguridad de la informacién, NOTA Los requistos do las partes Interesadas oblgaciones cortractuaes. 9 inclu fas requisits Jogates y reglamentaros, yl 43 DETERMINACION DEL ALCANCE DEL SISTEMA DE GESTION DE LA SEGURIDAI DE LA INFORMACION {2 organizacion debe determinar los limites y la aplicablidad del sistema de gestion de 1 seguridad de la informacién para establecer su alcance. Cuando se determina este aicance, la organizacién debe considerar: 8) las cuestiones externas e internas referidas en el numeral 4.1, y ) os requisites referidos en ef numeral 4.2; y ©) Ins interfaces y dependencias entre las actividades realizadas por la organizacion,y las ue realizan otras organizaciones. El alcance debe estar disponible como informacion documentada, 44 SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACION {2 organizacién debe establecer, implementar, mantener y mejorar continuamente un sistema dle gestion de ta seguridad de la informacién, de acuerdo con los requisitos de esta Nome 5. LIDERAZGO 5.1 LIDERAZGO Y COMPROMISO 1ila direccién debe demostrarfiderazgo y compromiso con respecto al sistema de gestion de la seguridad de Ia informacisn: 3) _asegurano que se establezcan la politica de la seguridad de la informacién y los cbietivos de la seguridad de fa informacién, y que estos sean compatibles ten ta direccién estratégica de ta organizacién ©) _asegurando la integracién de los eequisitos del sistema de gestion de la seguridad de la informacion en los procesos de la organizacion; ©) asegurando que los recursos necesarios para el sistema de gestidn de la seguridad de la informacién estén disponibies;fel yles DAD ela ma de los a de NORMA TECNICA COLOMBIANA NTC-ASO-IEC 27001 (Primera actualizacion) 4) comuricando la importancia de una gesien de ta segutidad de Ia informacion eficaz y comunigerformidad con los requisilos del sistema Oe igestion de la seguridad de la informacion; 2) ssegurando que el sistema de gestion de la seguridad de la informacion logre Tes resultados previstos; 1 diigiendo y apoyando a las personas. Pale contribuir 2 la eficacta del sistema de gestion de la seguridad de ta informacion; 9) promeviendo la mejora continua, ¥ hy epoyando otros roles pertinentes, seccion, para demostrar su fiderazgo aplicado & ‘sus dreas de responsabilidad. 52 POLITICA de fa informacién que: La alta direcciin debe estable a) b) 6.2) 0 proporcione of ia seguridad de Ia la seguridad comunicarse dentro dé 9) estar disponible para l a apropiado. 5.3 ROLES, RESPONSABILID! 5 EN LA ORGANIZACION La alta diteccion debe asegurarse de al Fevonsabiidades y autoridades para Tos roles Fotinentes a la seguridad de fa informacion se asianen ¥ ‘comuniquen.. La alta direccion debe asignar la responsabilidad y autoridad para: a) asegurarse de que el sistema de gestion de ta seguridad de la informacion sea Gonforme con los requisitos de esta Norma: by informar a la ata direccién sobre ot desempeno del sistema de gestion de la seguridad de la informacién, mar responsabisdades y axtoriades para formar sobre NOTA La atta dleccién también, puede, csi 1a efermacion dant Ge Ia organizacion MOA pera del sistema do gestion de la seguridad 3NORMA TECNICA COLOMBIANA _NTC-4SO-EC 27001 (Primera actualizacion) 6 PLANIFICACION 6.1 ACCIONES PARA TRATAR RIESGOS Y OPORTUNIDADES 6.1.1 Generalidades er planiicar el sistema de gestion de seguridad de fa Informacién, la organkzacién debe Sorsi sera las cuestiones referidas en el numeral 4.1 y los requistos a que ee hace ieratee Se." Numeral 4.2. y determinar los riesgos y oportunidades que es necesario tats, cone ta de ®) _asegurarse de que el sistema de gestisn de fa seguridad de la informacion pueda lograr Sus resultados previstos; ) _prevenir o reducir efectos indeseados: y ©) lograr ia mefora continua, La organizacién debe planificar: 4%) las acciones para tratar estos riesgos y oportunidedes: y e) — lamanera ge: 1) Integrar e implementar estas acciones en sus procesos del sistema de gestién de la seguridad de la informacién, 2) evaluar ta eficacia do estas acciones, 8.1.2 Valoracién de riesgos de la seguridad de la informacion iactBanizacién debe defini y aplicar un proceso de valoracién de riesgos de la seguridad de la Informacion que: ®) gslablezea_y mantenga cierios de riesgo de Ja seguridad de la informacién que inctuyan; 1) Los criterios de aceptacion de riesgos:; y 2) ks ‘otiterios para realizar valoraciones de riesgos de la seguridad de la informacién; ©) asegure que las valoraciones repetidas de riesgos de la seguridad de la informacion Produzcan resultados consistentes, validos y comparables. ©} identifique los riesgos de ta seguridad de la informacién, 1) aplicar el proceso de valoracién de riesyos de la seguridad de la informacién para identificar los riesgos asociados con la pérdida de confidencialdad, oo inlegridad y de disponibilidad de informacién dentro del alcance del sistema Je gestin de la seguridad de la informacién; & 2) identiticar a los duenos de los riesgos:3) lobe neia in °) yar OD 9 La organizacién debe conse ca del proceso de valoracion de riesgos de fa seguridad de la info de riesgos de Ia seguridad de la informacién. NORMA TECNICA COLOMBIANA _NTC-SO-IEC 27001 (Primera actualizacion) analice los riesgos de la seguridad de la informacion: 4) Valorar las consecuencias potenciales que resultaran si se materializaran tos riesgos identificados en 6.1.2 c) 1); 2) Valorar la probabilidad realista de que ocurran los riesgos identificados en 6.1.2 thy 3) determinar los niveles de riesgo: evalu los riesgos de seguridad de la informacién: 1) comparar fos resultados, flisis de riesgos con los criterios de riesgo ‘ostablecidos en 6.1.2 2) priorizar los riesat yniento de riesgos. de la seguridad de os de cualquier fuente, foxo A, y verificar que no NOTA1 — ElAnex0 A cor p contol y conoles. Se invita @ los usuarios de atta Norma a consis 180° por als os contoles necesaris. NOTA2 Los opjetios de ‘Ar san exhaustvos, y puedsn ser necesarios producir una deciaracion de aplicabilidad que contenga los controles necesarios {véanse el numeral 6.1.3 b) y ©)) y la justificacién de tas inclusiones, ya sea que se impiementen o no, y I justifieacion para las exclusiones de los controles del Anexo A; formular un plan de tratamiento de riesgos de la seguridad de la informacién: y obtener, de parte de los duetios de los riesgos, la aprobacién del plan de tratamiento de fiesgos de Ia seguridad de la informacién, y la acentacion de los resgos residuales dela seguridad de la informacién,NORMA TECNICA COLOMBIANA — NTCASO.JEC 27001 (Primera actualizacién) Osta Roe G9 wala ytatarento de resgos det segurtnd de 's informacion que se presenta en ‘ste Noms salves con os prince y dostcesgonatoa ene 150 3700015}. 62 OBJETIVOS DE seGURIDAD DE LA INFORMACION Y PLANES PARA LOGRARLOS nageanzacion debe ostablecer los objotvos de seguiddad de '@ informacién en tas funciones y niveles pertinentes, ‘Los objetivos de seguridad de la informacion deben. 3) ser coherentes con la politica de seguridad de la informacion; >) ser medibies (si es posible); ©) ener en cuenta fos requisitos de la. seguridad de la informacion aplicables, y los ‘esutedes de a valoracon y del tratamiento de los reseos, 4) ser comunicados; y ©) ser actualizados, segin sea apropiado. Ee crganizacién debe conservarinformactén documentada Sobre los objetives de la Seguridad de la informacién, Geando se hace la planiicacién para lograr sus objetivos de la seguridad de la informacion, la organizacion debe determiner 9) foque se vaa hacer, 9) que recursos se requerirén; F) quién sera responsable: )) cuando se finalizars; y D_ cémo se evaluardn los resultados. 7. SoPoRTE 7.4 RECURSOS ta twanizacion debe determinar y_proporeionar los recursos necesarios para ef seguir ionto; Inplementacién, mahtenimiente y mejora cents del sistema de gestion de la Seguridad de la informacién, 7.2 COMPETENCIA La organizacién debe: #) _determinar la competencia necesaria de las personas que realizan, bajo su control, un |y ria en "ARA, ves y los. NORMA TECNICA COLOMBIANA _NTC-ISO-EC 27001 (Primera actualizacién) b) _asegurarse de que estas personas sean competentes, baséndose en la educacién, formacién o experiencia adecuadas; ©) cuando sea aplicable, tomar acciones para adquirir la competencia necesaria y evaluar la oficacia de las acciones tomiadas; y d)—_conservar la Informacién documentada apropiada, como evidencia de la competencia. NOTA Las acclones apticabies pueden incur, por ejemplo: la frmacitn, Ia tuoria 0 la reasignacibn de no personas empleadas actualments;o a contralacn de persenas competantes. 7.3 TOMA DE CONCIENCIA Las personas que realizan el trabajo de la organizacién deben tomar conciencia oe: a) la politica de la segurid: b) su contribucién a fa efi fe la seguridad de la informacién, incluyendo Ios, sempgio de la seguridad de la ¢ 1@ de gestion de ta Ta y extemas quién debe comunicar} los procesos para llevar 7.5 INFORMACION DOCUMEN? 7.54 Generalidades Elsistema de gestion de la seguridad de la informacién de la organizacién debe inclu: 8) lainformacién documentada requerida por esta Norma: y b) Ia informacién documentada que fa organizacién ha determinado que es a : la eficacia del sistema de gestion de la seguridad de la informacisn. - NOTA. Elalcance de la infermacién documentada para un sistema de gastibn dela seguridad de nee puede ser ciflerente de una organizacin a ota, debido a oS 2) eltamatio de fa erganizacn y a au po de actividades, process, productos y sari, 7NORMA TECNICA COLOMBIANA NTC-+ISO-IEC 27001 (Primera actualizacién) ©) completed de oo orocesos y sug Interacciones, y ©) lacompetenca de ts personas, 72 Creacién y actuolizacion [puando se crea y actualiza informacién documentada, ia organizacién det be asegurarse de que ‘0 siguiente sea apropiado. ®) Ia identification y descripcién (or elempla, tuo, fecha, autor 0 nimero de referencia); ©) el formato (por ejemplo, idioma, version del sof (or ejemplo, papel, electrénico) ©) la revision y aprobacién con respecto a 'a idoneidad y adecuacién, 783° Control de ta informacion documentada a informacion documentada requeride fot asst de gestion de ta seguridad de la ‘nformacion y por esta Norma se dota Controlar para asequrarse de que 9) e346 disponible y adecuada para gu ‘80. donde y cuando se necesite;y 5) 216 protegida adecuadamente (for ejemplo, contra pérdida de la Confidencialidad, uso ‘naclecuado, 0 pérvie de integrigad). Para el control de Actividades, segtin s la Informacién documentada, ta organizacion debe tratar las siguientes 2 aplicable: ©) distribucién, acceso, recuperacién y Uso; 9) almacenamiento y preservacién, 'ncluida la preservacién de fa legibitidad, ®) control de cambios (por ejemplo, Control de version): y 1) tetencion y disposicién, La informacion documentada de rigen externc, que ta organizacién ha determinado que es Operacién del Necesaria para la planificaciin Gel sistema de gestion ce lo sesudog de la informacién, se debe identiicar y Controlar, segin sea adecuade: Section R882 Olea na declan. conamione ie we SoMeNNe para consuitae ‘a infermacisn ‘documenta, a pr weed Gare constr y madara oma oa et, OPERACION 841 PLANIFICACION Y CONTROL OPERACIONAL, ic Ovanizacion debe planitcar,implementar y controlar los procesos necesarios GS (eauistos de segurkiad de a informe o amemblementar las acciones determinaune on numeral 6.1. La organizacion tambo al mcmentar planes para lograr los objeines se {2 Seguridad dela informacion determined el numeral 6.2,NORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actus ‘acién) La organizacién debe mantener informacion documentada en la medida necesaria para tener la confianza en que los procesos se han llevado a cabo segun lo planificado, La organizacién debe controlar los cambios planificados y revisar las consecuencias de los cambios no previstos, tomando acciones para mitigar los efectos adversos, cuando sea necesario. La organizacién debe asegurar que los procesos contratados exlernamente estén controlados. 8.2 _ VALORACION DE RIESGOS DE LA SEGURIDAD DE LA INFORMACION La organizacién debe llevar a cabo valoraciones do rlesgos de la seguridad de la informacion a intervaios planificados o cuando se proy ‘ocurran cambios significativas, teniendo en ‘cuenta los oriterios establecidos en et ). La organizacién debe conse; valoraciones de riesgos de la, ELA INFORMACION informacion. La organis riesgos ISIS Y EVALUACION la seguridad de n6n y Ia eficacia det jon, a) a qué es necesario h: rio medir, incluidos los procesos y controles de la seguil b) los métodos de seguimientt 'y evaluacién, segtin sea aplicable, para asegutar resultados validos; NOTA Para ser consideradas valids, ‘comparabies yrepreductles Ios. métodos selecclonadot doberian produir resutadoe ©) _cuéndo se deben llevar a cabo el seguimiento y la medicion: 4) quién debe llevar a cabo el seguimisnto y la medicién; ©) cuando se deben analizar y evaluar las resultados del seguimiento y de la medicion; y 1) quién debe analizar y evaluar estos resultados. La organizacién debe conservar informacion documentada apropiada como evidencia de los resultados del monitores y de la medicion. 9NORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 {Primera actualizacién) 9.2 AUDITORIA INTERNA a) es conforme con: 1) Ios propios requisites de la organizacién para su sistoma de gestion de la seguridad de la informacién; y 2) tos requisitos de esta Norma 5) esta implementado y mantenido eficazmente. La organizacién debe ©) planicar,establcer,implementar y mantener uno o varios programas de autitoria que Pian genecs, MecweRcia, los métodos, las responsabildsdes, "os renner ue Blanflcacion y a elaboracion de informes. Los programas do auritone dere tener en cuenta Ta imporancia de los procesos involucrados ¥ los resullatoe da ine auitorias previas; ©) ara cada auditoria, definic ios eriterios y el alcance de ésta ©) _gelescioner los aucitores y levar a cabo auditoras para asegurarse de fa objetividad y Ja imparcialidad del proceso de auditoria, 4) asegurarse de que los resuitads de las austorias se informan a le ireccion pertinente: y 9) senservar informacion documentada como evidencia de la implementacién del Programa de auditoria y de los resultados de ésta, NOTA Para mayor informacion cansitar las normas NTC-ISO 19011 y NTCASO 27007 9.3 REVISION POR LA DIRECCION Ceol Sireccién debe revisar el sistema de gostién de la seguridad de la informacién de ta eheacia eontinat te” 208 Plonifcades, para asegurarse de su conveniences aden noC, y eficacia continuas, La revision por la direccién debe incluir consideraciones sobre: ®) sl estado de las acciones con relacién a las revsiones previes por la direesi6n: ©) Ios cambios en las euvestiones externas e internas que sean pertinentes al sistema de gestion de la seguridad de fa informacisn, ©) Felroalimentacién sobre ef desempetio de la seguridad de la informacisn, incluidas las tendencias relativas a: 1) no conformidades y acciones correctivas; 2) seguimiento y resultados de las mediciones; 10 eeNORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacion) 3) resultados de la auditoria; y 4) —_cumplimiento de los objetivos de la seguridad de la informacién; 4) retroalimentacién de las partes interesadas; e) resultados de la valoracién de riesgas y estado del plan de tratamiento de riesgos; y f) las oportunidades de mejora contina. Los elementos de salida do fa revision por la direccién deben incluir las decisiones relacionadas ‘con las oportunidades de mejora continua y cualquier necesidad de cambio en el sistema de gestion de la seguridad de la informaci6r ida como evidencia de los resultados de. ylormidad, con el n otra parte, medi formidad, y les similares, o que potencialmente adrian ccurtir ©) implementar cualquier accién ) __revisar la eficacia de las acciones correctivas tomadas, y €} hacer cambios al sistema de gestién de la seguridad de la informacién, si es necesario, Las acciones correctivas deben ser apropiadas a los efectos de las no conformidades ‘encontradas, La organizacion debe conservar informacién documentada adecuada, como evidencia de: #) la naturaleza de las no conformidades y cualquier accién posterior tomada: y 9) tos resultados de cualquier accién correctiva. uNORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacion) 10.2 MEJORA CONTINUA La organizacion debe mejorar continuamente la conveniencia, adecuacién y oficacia det sistema de gestion de la seguridad de la informacién, 12a det NORMA TECNICA COLOMBIANA _NTC-1SO-IEC 27001 (Primers actualizacion) ANEXO A (Normative) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA Los objtivos de control y controles enumerados en ta Tabla 81 $¢ ‘obtienen directamente de ta es nee 27002:2019{1], numerales 5 2 18 y estan alineados con ‘lia, y se deben usar en ccontexto con ef numeral 6.1.3, ‘Tabla A.1, Objetivos de control y controles KE POLITICAS DE LA SEGURIDAD DE LA INFORMACION gua de a fformacion [ast Orientacién| ‘Gpjetvo: Brinda orentacin y soporte, Por va ia seguridad de fa omaciin de acuordo eon jel negocio y 500 a eye Ta.1.1 | Polticas pare la segurided, lainiorracin de poltieas para ia sequided de ia Lacosdan, publicada y comnicada 2 108 acon 8 daben revisor & poracion dala fe de Ia soguried "AEA | Contacto conta autor 4 BAA] Contacto con grupos de | interés especial \ se 5 jades con grupos de interés especial iu fe copies aie erie) KEAE | Sopiad eto wera | Conte en la gestion de proyectos ‘La seguridad de is informacion se debe tratar en la gestidn de proyectos, | Sessa to ‘ispositivos méviles y teletrabajo Jeiraba y el uso do aspostives mvs. nto araizarla segura [ozs | Pas ome deontos [coal ros Sarena na paca Sasrectorat bs waa | ones ccna 1 unas medidas do seguridad! de soporte, \rouveidos por el uso de dlspostivas 13NORMA TECNICA COLOMBIANA _ NTC-ISO4EC 27001 (Primera actualizacién) ATA ‘A622 | Telebabaje AT SEGURIDAD DE LOS RECURSOS HUMANOS ‘Antes de asumirel emple Objetive: Asogurar que foe emplead para los que se consiaran, Tabla At, (Contiquacién) ‘Soporte, pata proteger Ia informacion a la quo so tens aceasa, que es rocesada © almacenada on fs lugares on ls que se ‘eat lable, os contaisiascomprendn sus respansabilados y san lnece on os eles see eee tae Controt ‘Las verifcaciones de Jos antecedentes de todos los candidates 9 un Bimploo Se eben ovata cabo de acuerde con las" loyes ‘eglameniaciones y ética perinentes, y dedan ser proporconaics os Fequistos de negocio, a la clastiacion de la iformaccon a due ae va a tener acceso, y ales desgos peribiios Objetiva KE A724 | Responsabilgades | oreo Durante la ejecucién del emploo Asequrarse do que los empicad 01 informactiny las cumplon ‘at | Conor _ os, acuerdos contractuales. con emploados y contatstas eben _slablocer sus responanblidedes y las de la argarizacisn en cuanto a a [ seguried ce la informacion 10 ¥ contrasts tomen concioncia de sus responsabiidades ee segunda | e — | La drectn cebeexg 2 to208 os emplendos ¥ contrasts a aplcacion fe Ia seguridad de ta informacién de acuerdo con las pelicas | bracedinientss astablecéos por organizacin, bjatwo: Proteagee ‘educacién y formacion em ‘Seguritad de Ia nformacion Proceso dseipinario A73__Terminacién y cambio de empleo Toma de concioncia, | Conta? les intereses de fa organizacisn A734 | Terminacion 0 cambio do | Conta i ‘sponeabildodes de empleo '2 | Todos tos empleados de is organizacidn, y en donde sea pertinente, los | Conltatistes, deben recibir 1a eaueacion y la formation en tore, oe onciencia apropiaga, y actualzaciones regulaes coore las palices 5 rocedimienios de la crganizacion vortinentos para su conga | Contos eee ‘Se debe contar con un procoso formal cual debe ser comuricade, para ‘emprender acciones conte empleados que hayan comelva una viola aa seguridad 69 la informacion Coniral | Se deven implementar una paltca y unas medides de seguridad ce [conor aaa ‘ome part del procesa ta cambia a teeminacién de empleo. Las responsabildades y los deberes de seguridad! de a informacion que | ormanccen validos después ce ls torminacion 0 cambio se emia ce ‘eben dofinr, comunicar al empleado o contratsta y se dobon hacer curt. 4[fae | a Baes re ee ee as NORMA TECNICA COLOMBIANA _NTC-1SO-IEC 27001 (Primera actualizacién) ‘AB _ GESTION DE ACTIVOS AB.1_ Responsabilidad por los activos: (bjtivo: Idanttca los actives orpanizacionales y detinir las responsablidedes de proecciin apropiadas, ‘Tabla AA. (Continuacion) 18.1.4 | tnvantaro ‘da | Contr! 'Se dedon Kentfcar fos aciivos asoclados con Informacion © lstalaciones de Procesamiento de informacion, y se debe slaborar y mantener un inventaro de elas actives Tas.t2 | Propiodaa do acivos ies | Conte Los eetivos mantenidas en el Inentario deben tener un propetaio, ‘Als. | Devouclon Objet: Ie organizacin, ABA | Uso aceplable de | Control se implomentar regis para ef usa aceptabie de zados con informacién e ineialaciones de ries extoras deben devolver todoa Jos Eriven a su cargo, al terminar su empleo, ‘AB2A eles medias | removibies i | medios RRSS | Transferencia | medi fsa i ‘ABS Mangjo de modioe Objativo: Evia ta divolaacien, ie mk "AGS | Gestion de medias | Contr! ‘A832 | Dupasicin de los | Cont! | Se dote disponer en forma seguia de los madios cuando ya no so roquieran, nlkzavo pracedimientos formes, “ae | Contot ae | Los madios que contenen informacién se deben protager contra acca | bulotizado, usa indebido 0 cortupcdin durante el anspor 16NORMA TECNICA COLOMBIANA _ NTC4SO-IEC 27001 (Primera actualizacién) Tabla A.t.(Continuacién) Ae GonTROL BE AGeESO - Reais dl negocio para coil de accoao Oop Liar el ecoto a vrnacn ya elconee B44 | Police de contol ae Gait | peceso Se debe establecer, docs mentary revisor una politica de contre! de acceso 12d de la informacion [A942 [Acceso a rodeo y=] Conor in servis en rec Sok Me debe pormir acceso de fos usuarios a a rey alos servicio de ced aul Hee aro os que hayan sd autorizados especieacne aaa fe acoso de usuarios Odjeive ~ ae aires Ascgurar ef acceso de los usuarios autorica el acceso no autonizads a sistomes y semicoe, ‘A224 | Regist _y cancebcién | Conta’ Geledisto de usuarios | So debe mpismanior un proceso ‘enna de cs | fesisto de usuarios, nara postr la asignacoe A922 | Suminisvo de acceso de | Gonirat gist y de cancelacion de te los derechos de acceso, parce Imolementar un proceso de suminsto de acceso formal de usumos Dara asignar o revocor ls decechos do accoso para todo tpo de usueroe (eee ___| Prats os sistemas y sence A923 | Gostin de derechos 08 | Contal eces0 pCO Se Nae restnge prwlegndo ] A924 | Gestion Ge iformacon | Contot de meanag "°° | asinactn de inormacin de autenteaciin scars io eon proceso da geston formal ¥ contol ta asignacisn y uso de derechos de acceso Secreta se debe cantolar por Rovitn doe doechos | Contr de acceso de usuarios Los propietarios de fos activos eeeeecHE svat, erie rales Retiro 0 ajuste de los | Contra! Srochos de arses rechos do acceso de Les de | informacion y 3 las inotalaclones do pee eee eee A293 _ Responsabilidades de los tenlicacin, | A934 [ Uso do informacion de | Conroy | nutertcacion seer i Objet: Hacer quo los usuarasrindan cuentas Pot le slvaguarda ee su iformaciin de aun Se debe eng os usuarae au cpa i pices de expinincan Bir lio ce ai oes ee ABA Conta de acceso sstemes yapicacongs tat tr ol eat arian a tonas yaaa ‘A244 ] Rests de eco a | con | ete. Sipienese a informacién y a las tunclnes de fos sistemas ao ise epfcacionas se" deb restora do acuerdo con la politica de, cont os acceso, He 6NORMA TECNICA COLOMBIANA _NTC4SO4EC 27001 (Primera actualizacién) Tabla A.1.(Continuacion) Objective Ania Objet: procesar ata lanaz amas Aa0 ‘A10.1 Controles criptografices [Asa2 [Procediniento de | Conor ~ [ ngresosenve Cuando fo rears le pltca de cont de seceso,e czas a stemas y | spaces se dab conte macau protea de reso sepa A943 | Sstora de gostin de | Conor contrasefios Los sistemas de gastion de contrasefias deben ser interactives y deben segura incatad ‘Asaa | Uso de progamas | Cont ‘itarios rvlegadss | se debe resvingy contr eectamentse usa do rogram tari que pectin tener expcciod Je andar el sistema yee conles to Tat L E Sekcacerae mi ADAS | Contol de acceso a | Contot cédigos fuente de programas CRIPTOGRAFIA ‘Asegurar el uso apropiado Integrdad oe i informacion, Contreies “de acceso Tsieos Seguiad de oficnas Feciniase nstalaciones: Se ety Gi 2 os cigs fuente los programas. Se debe of “enptogrations Bt seguridad fsica a ofcinas. ecintos istalaciones, aAntaa i | Proteccion contra amenazas exl836y | Se debe dsefory apicar proteccin fisca contra desasies naturales, ataque ambiortaies ‘malicioses 0 acsientes, [A11.15 | Trabajo en droas | Contra! | segura [A146 | Areas de despacho | Cont! carga | Se dobon ciserary apicar procodiontos para trabajo en areas soguras, | ‘Se deben contolar os puntos de access tales como éreas de despacho y de {carga y aos puntos en donde pueden entrar personas no sutonzasas, y 10S posible, aislarlos do las intolaciones de procesamienta de informacion para titra accesa no aviotzado, wi | | ‘ t i | i i i ' NORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacién) Tabla A.1.(Continuacién} ang Equipos: Odjtiva: Provonir la pérdida, dafio, robo © carmpromiso da aves, y la Ilerupcin Go las operacones de orgenizaciin, ‘A128 | Ubcatn y protec co Tos equpos ‘A122 | Senicies de suminise Gone eee eee Los eauivos deben estar ubicados y protegidos para reduc los vesges de ‘amenazas y poligres del eniomo, y las posiiades de acceso no | eutorzade, Contr! Los equipos se deben proteger conta falas de energia y ottas | intertupcines causacias por falas on los sarcios do suministo, Angs ‘0.11.23 | Scgurd del cableada ‘A124 | Mantenimienio de equipes Retiro de actives Contat El cableado ce energia oldcrica y de telecomunizaciones qué porta datos © indo soporte a fos servicios de Informacan se debe proteper conta | inerceptacin, intererenca o dao. Contr Los equipes se deben mantener coreciamonte pare asogurar su dispon iki e integrdad continu Contra Los equipes, informacion 0 software no se deben retrar de su sito sin | auiotizacion ravia, Ata Ani29 [ae AALS | Seguridad de equipos y | Controt zi ‘ {uara J9 185 | Se deben apicar madidas de seguridad a los activos que se encuentran instalciones | fusra de las instalaciones do Ia organzzacin, toniendo en cuenta, fas | sterentes riesgo de trabajar fuora da cha insalaciones, AA12z | Oisposicién segura © | Control ‘euiizacin de equipos Equipos “do usuario, osatondice Poliica de esertario Employ pantalla iin Otjotiv: segura as operaciones corrects y seguras de las instalacones de prosasamonto de informacion _| fotecsionapropiad. | instolacones de prasesamiento de informacion, |EGURIDAD DE LAS OPERACIONES [ass Procedimientos operacionales y tesponsabilidades ‘Se deben verficar todos fos elamanios de equizos que contongan medion [9% almacenamionto pare asegurar que cikjuier dato. confdoneial 0 | software licencia haya sto retrado © sonreescrdo en forma seaura anes Se Su dspaeien 0 reo. Contrat | Los usuarios deben asapurarse de que a os equizos desatencios se les da Contr Se debe adoptar una politica de esesitorotinsio para los papetes y medios fe aimacenamiento remoubles, y una poltica de pantala tpn en os | Procedimientos ~~ Ge | Cantor Speracien documentades | Los grocedimiontos. de opetacén se deben documentar y poner a I | sisposicion de todos ios ueuarice que los necestan i [sana | Geamnaccanbos | comet Se deben contolar fos cambios en la organizaciin, an los procesos de ‘egocio, wn las insialacones y en oe sistemas. de. procesamiento. de Informacisn quo ofecan a seguridad dal informacion 18NORMA TECNICA COLOMBIANA _NTC-SO-IEC 27001 (Primera actualizaci Tabla A.A, (Continuacion) Gestion do capacidad ] ‘Contror Se debe hacer sequimiento ai uso de recursos, hacer fos slustes. y | aver proyecciones de os requisites de capaci futra, para ssegurar | el eesempefo requerdo del sistora. "A114 | Soparacién do los emblertes | Control | 82 desaroll, pruebas, Y | Se debon sapararlos ambientes de desarola, prueba y eperacion perecion | reducir os nesgos de accoso © cambios no aulorzads al ambiente de Leperacisn 12.2 Proteccién contra cédigos maliciosos ‘djetva: Asegurarse de que la evormacién y las Istaiaconas de procesamiento de informacion estén proteaidas contra cédigos maliioscs. ‘a.t2.24 | Contioles contra cbdigos | Pateiosos contoles 6 detecsion, do provencién y de 123 Copias de respaido Objet: 7 Froteger contra la pe az. | Respals Protec de regio del operacor ae ees (A244 | Sncorzacion do rees i fot slemse de pocasaniono do ifeaasin eur ergartznciono rita de equa se oben Si falric hon de eer de tere ‘A125 Control de software operacional ‘Objetve: ‘Asegurarse dela ntegridad de los sistemas opsracionales, A125.1 | Instalaciin de software en | Contra! ‘sstomas operate 0 deten implementar procedimienios para controlar f inetalackén do software en sisicrnas operatives 19NORMA TECNICA COLOMBIANA _NTC-ISO4EC 27001 (Primera actualizacién) aaa7 Gestion ‘A326 Gestion da fa vuinerabiidad tenia Objatvo: Preveni el aprovecharnionto dias winerabidades Wcnlcas, An26, oe ulnorabiidades técnices [ Resiciones “sata | Cont | recanse te, eee A427 Consideracione Odjetiva: Minimizar e! impacto de las actividades de auditoria sobre los sistemas operat Gontroles de auatorias de | Contay | Sstemas do informacion | minimizar las intetuncianes en los pracesos del negocio, ‘SEGURIDAD DE LAS COMUNICACIONES, A181 Gestion de la seguridar ojevo. segura a protein dis | sosozone Anat Controies de vodes __[ Bor parte de ios 3 sobre auditorias de sistemas do informacion ‘Tabla A.1. (Continuaeion) tas | Control ee Se debe oblenaroportunamene fomacionacarca de ios vineretiodes | Menkes de os stoma de nfornacn gue se usen, vatar a sepraon | dela orgorzaconsesiasnineraaany enor is acane speaen __ Bare otro raego aeocido, | So dove e tablecer ¢ implamentar la regs p bs peereen aeeancaEEcECE Los remuisitos y actividades de auditor que involueran ta vericacin de fos sSstomas operatives se deben planiicar y acartar culadosamonte para las rece informacion en las redes, y sus insalociones de procesaniento de hformadin | Las redes se deton gestonar y controlar pore proteger ta informacion én ‘Sistemas y aplicaciones, An42 | cores 13.2 Transferencia de | Seguridad de tos sanvcios | Gontro! Separactin en trodes | Cont! Mantener ta Seguiiad ae la Informacién Se doben identifica los mecanismos de sequided, ios niveles de senicia y | ls requistos de gestin de todos ios sancios de red, inclaos ov Wa | acuerios de servicio de rod, ya sea que los servicios se prsten istemamenteo Se contraten axtemamente os grupos de servicios de informacion, usuariesy ssiemas da informacion Sse deden separa sn Ins reds, aay lnformacién ansfeide dentro de una organizacién y con cualquier ena Informacien Poliicas y provedimienios | Canto! Jo tanstorencia, © | So dabe cantar con policas. procedimientos y contioles de transferencia formales para proteger Ia lransferencia do Informacion mediante el use do todo tbo de inselaciares ce Comunicaciones, | Contr os acverdos eben tratar ta transferencia segura de informacion eel Negocio ene le organizacin y las partes extemas, Mensajeria electénlea | Coniroh - Se debe proteger adecuacamento la informacién inca en la monajria slecrnica, ft a = eel ‘A326 | Acuerdos «6 | Conte | confidonsiatdad © de no divulgacn Se deten identifica, revisar coguacmente y documenta fos requisias para los souerdos de confidencialdad 0 no cwulgacion “quo rofelon’ tne lecesidades de Ia oganizacion para Ia proteccion de le nleemacion iene pore roeeron ge tainormacion | 20NORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacion) Tabla A. (Continuacién) ‘Adquisici6n, desarrollo y “Act Requisitos de seguridad de los sistemas de informacion aja: Aswoica ue To ecquiod da naracin sea une pate nega de lo stemax de niacin rar | Oe et Eato meluye iarbian fos regustoe para sistemas Ge Informacion que prestan services se | redo | ‘AtaA4 | Anais y espocticacén de [ Gant equistos de seguridad Ge (0 | Cos requis relacionados con seguridad oe fa informacion se debe informacion | IRculr en tos reouisos para nuevos sistemas de informacion © para | moras os lsoras inormacion evsenes | Bad | Seguridad do sanieos de las | Conta Seeetones en rede | cucrada on log sevcins de as opeadones que ables : on Se aabe poteger oo aetoues | | i etre Yale y medion Mo ‘A14.1.3 | Proteccién do jes.) Con : |Get sewiee ce bas vansacsons de os sents os | aplicaciones Saaree ee GigE, para evita la ranemision completa, el i wo suiorzaga de mensajes, 12 ‘A142 Seguridad Objet desarrollo g Anaad So daten estabiecery 4 gtomas, alos cesar factor mediante el uso de ‘R142. | Rovision : apteaciones Giaies p= plataformas! ambos en la tor ae BB jpovoci.y sometr a prueba para asegurer ave ‘perocion| 2 fen fax operaciones 0 soguridas ae Ia "A142. | Restrcciones en los cambio ‘les paquates de software I mociicaciones a os paquetes de sofware, los Wa loa earios necesarios, y[odos los cambios ‘Aaa.25 | Prncipos de consiruccion de los sistemas seguros Se daben esiablecer, documentary mantener principios pare, SShsttceign de sistomas soguros. y apicarlas 0 cuaiquicr ocivedad do inplementacion de sstemes de informacion, ‘At826 | Ambiente de deserolo | Control segue Las oiganizeciones doben establecer y proleger adecuadamonte as | Ruedas de deseros sequras para las actividades de desaratio € i Mtegracin de sistemas que camprendan todo el ciclo de vida de | Uosarrota se sistemas. ‘A427 | Desarolo ‘oniratado | Control fxternamente Le organizacin debe euparvsar y hacer sequimiento ds fo act ‘osarfolo de sistemas contatados externament 2NORMA TECNICA COLOMBIANA _NTC4SO-IEC 27001 (Primera actualizacién) ‘Tabla A1. (Continuacién) rerery sstemas i Brusbas do seguildad do Contrah al Durante el deseolo se deben levar a cabo prusbas de unclonalitad de la segura, [Rize sstemas Prucba de aceplacion de Gonirah Para los sistemas de informacién nuevos, actualzaciones y ovevas \ersiones, 28 deben establecor programas de prueba para aceptacion y trtarias da aceptacin relacionados, ‘Aaa3 Datos do procba 143.4 prueba ‘Objetive: Asequrar la protaccién de los datos usados para pruebas. Proteccién de datos 6@ | Conte! [AAS _ RELACIONES CON LOS PROVEEDORES Tats1 jeguridad de la informacion en las relaciones con los proveedores | objetivo: Ascgurar la prolecein de los actvos do la organizacion qua sean accesibies@ los proveedores | Los datos de prueba se deben soleccionar, proteger y_ controlar | culdadasamente Aasaa leformacicn par Poilica de seguridad de te | Contol rejacones con proveedoras, 4 Los requistos de seguridad de la informacion para miaar fos tesgos fsociados con ol aoceso da provoncores a los actvos de la onganizacion be deen scordar con éstos y se deben documentar Tratamiento provaodoree ia soguad | conor dentro de los acuerdos Con | Se deben establecer y acordar todos Ios requisites de seguridad de la | informacién pertnentes con cata proveedor que puada tener acceso, proceser, aimacenar. comuniesr 0 sumbysitar componentes de Infrossinictura de TI para le informacion dele orznizacin, Ats13 | comunieacion ‘Cadena de suminisiva de’ | tecnologia do informacion y Gontroh Los acverdos con praveedores debon incur requisitos para trator os Fesgos de seguridad de la inormacen ascciades con is cadena de Suministe de productos y servicios de tecnologia de informacion y | comunicacion Objet. tos prove Mantener odors. el nivel acoréado de seguridad de I informacion y de prestacién dol servicio en ines con fos acuerdas con [oe senveios proveedores ae i521] Sepsis y Tain de Gonirat Las organizacones deben hacsr seguimiento, revisar y auditar con ‘egulonded la prestacin de servic de los proveedores. —— ocean ee ‘Gestién de incidentes de seguridad de la informacion ‘A464 _Gestiin de incidentes y majoras en la soguridad de [a informacion (A18.2.2 | Gesiiin da cambios en os | servicios de os proveedores | Sp deen gestionar los cambios en o! suministro de servicios per parte de Control | es provesdores, include e! manteninvanto y Ia mejara de fs pollicns, procedimiontas y contoles de seguridad de fa Informacion exstentes fenlendo en cusita la crteidad ds ls nformacion, sistemas y rocesos del ragacie invlucrados, ya eevaluacln de ins resans. [ Responsabvigades: procedimientos ‘Objativa, Asegurar un enfoque coherente y eficaz par include la comunicacion sabre evartos de segurkad y cebiéades. ¥ Ta gastién do Incidentes Ge seguridad de Ia informacion, | cantor ‘Se deben establecer lag responsabildades y procedimientos de gestion para asequrar una respuesta rapida eficazy ordenada los mcldentes de | Seguridad ce a informacion 22‘A16.12|Repore de eventos Seguridad dea inert |stats ‘16.15 | Respuesta a incddontes sequrd de la infarc incidentes. de informacion ‘objeto: donogocie dl faras AATA2 | implemeniacin de continued de la sogutl Ta informacion | [AATA3 | Verticacién, revision AAT Redundancias do" procasemiento informacion 0 | Contos “A641. | Reyer de —dliddes de | Cont Sega erracon ‘AA6.414 | Evaluacibn da eventos de | Control | seguridad de la informacion ‘evaluacion de a contindad de | Lg orgartzacion debe veiicar a intervalos Ia segutidad dela invormactin 7 Odjetivo: Asequra a disponibilidad de instalaciones da proc 4.47.24 | Disponibildad de istalaciones | Conta! 3° | Las. instalaciones de _procasamianto de informacion se deben NORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacién) Tabla A.1. (Continvacion) | Los eventos de seouriad de la informacién se daben informar a ‘raves de fos cansles de gostsn apropiacos, fan pronio coma sea | posibie | Se debe exigir a todos ios ompoatos y contaistas que usan los Servicios y sistemas de informaciin de i oiganizaeiin, que observer L¥-teporen cualquier debiidad do soguridaa de ia. informacion ‘observeda o sospechada en bs sistemas a servicios, Loe, cy resolver incdentes de 3 ara reduci la pesibildad © Hos para la seguridad dela contnudad oe Hq @@Son de la seguridad do. la clones adversdgpfor ejemplo, durante una crisis 0 stablacer, documentar, plementary Fecimieios y conivolas para asegurat ol real Rl nara la seguridad de la informacion durante | regulares los contcles te ominvidad “do ls seguridad de la. informacion estabiccisos ¢ Implementados, con el fn de aseguear que son valdos y ef durante situacnes aaversas, Implementar con rodundancis sufcionie pata eumpir los resuistos, sonia 23NORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacién) Ae, Ai CUMPLIMIENTO CCumplimionto de requisits logales y contractualee (ass vitor of incumpiéniento. de tas obligociones legales, estatvarias, da reglamontacién 0 contractuales conivactisios Dereoroe Intelectuat ae relacionadas con segurdad di Informacion y de cualquier raquo de seguridad, [1 | loniteanon oe i ogizen | tpicnse ye ropoion ‘propiedad Tabla At. (Continuacién) ‘cont 7 Todos los requisites estatutanes, reglamontanos y contractsles ertnentos y of enfoque de fa organizwcion pore cumplies, se debon ‘dontfcar y_ documentar explictamente, y mantonorios actualzad0s para cada tistoma de informacion y para la organtzacin, contrat ‘Se doben implomentar procedimionios apropiados para asogurar el curplmiento de. tos sequistos.legislatvos, de. reglamentacién y ‘contactualog relacionados con los derechos do propingad inolecia! Y te uso de produetas de sofware patents “R813 | Protec ao aistos Conor Los. rogisis se deben proteger contra peraida, destrucion, falsifeactén, acceso no aulorizado y liberacion no aulorcada, de acuerdo con fos requisine lagbltves. de regiamentacion, ontractualos y do informacion personales ‘Aste.14 | Privacidad y proteccién de de datos conirot ‘So deben asagurat la privacidad y Ia protecckn de la nformanion oo ‘datos personales, como se exige én Ia legslacn y a reglamantacion pertinentes, cuando sea aplcable. Reglamentacion de controlos exptograicas Control Se deben user controles eretogratiess, en cumplimianto de todos los Acuerdos,lglslacion y relamnantacion pertnentos, ‘Rowson independiente de lo ‘Asegurar que la soguiidad do jentos organizaciorates, seguitiad de la informacion | Cumplinienie ca i vy moras da seguridad Falteas | Cantot cien Conrot | El enloque de fa organizacion para la gestion de la seguridad de Ia Inforracion y su inplementaciir (es dec. tos objetvos de contol, los | contoles, ae poliieas, los procesos y (es procedimiantos pore Seguicad de la informaciSn) se doben revisor independientemente & intervies planvicaces 0 cuando ecuren cambios signficatvos. or etroctores deben revisar con recularidad ol cumplimiento det procesamiento y procedimientos de informacsn dno de su area de Fesponsabiidad, con as polteas y normas de soguridas spropiaaos, y eualquier ato requis da seguridad Revsién tecnica we anal Control oe Sistomas do fnformacion se deben ravisar perédicamente para | seterminar ef cumlimionto con las policas y normas de seguridad de LIainformacion, 24.NORMA TECNICA COLOMBIANA _NTC-ISO-EC 27001 (Primera actualizacion) wy ie BI 4) 5) (6) BIBLIOGRAFIA ISONEC 27002:2013, information Technology. Securty Techniques. Code of Practice for Information Security Controls. GTC-ISO/EC 27003:20%2, Tecnologia de ta informacién. técnicas de seguridad. Guia de implementacion dé un sistema de gestion de la seguridad de la informacién. ISOMEC 27004-2009, Information Technology. Security Techniques. Information Security ‘Management. Measurement. ISO/IEC 27005:2071, Information Leehagloay. Securty Techniques. Information Security Risk Management. NTC-ISO 31000:2011, Ge ps y directrices. ment. Procedures Specific to ISO, ISO/IEC Directives, Pak 2012. 25NORMA TECNICA COLOMBIANA DOCUMENTO DE REFERENCIA INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ‘Security Techniques. Information Security Management Systems. Requirements. Geneva: SO, 2013, 23 p. (ISONEC 27001:2013 (E)). NTC-ISO-IEC 27001 (Primera actualizacién) 26 Information Technology.