NORMA TCNICA NTC-ISO-IEC

COLOMBIANA 27001

2013-12-11

TECNOLOGA DE LA INFORMACIN.
TCNICAS DE SEGURIDAD. SISTEMAS DE
GESTIN DE LA SEGURIDAD DE LA
INFORMACIN. REQUISITOS

E: INFORMATION TECHNOLOGY. SECURITY TECHNIQUES.

INFORMATION SECURITY MANAGEMENT SYSTEMS.
REQUIREMENTS.

CORRESPONDENCIA: esta norma es una adopcin idntica

(IDT) por traduccin de la norma
ISO/IEC 27001: 2013.

DESCRIPTORES: sistemas de gestin - seguridad de la

informacin; informacin, tcnicas de
seguridad, gestin.

I.C.S.: 35.040

Editada por el Instituto Colombiano de Normas Tcnicas y Certificacin (ICONTEC)

Apartado 14237 Bogot, D.C. - Tel. (571) 6078888 - Fax (571) 2221435

Prohibida su reproduccin Primera actualizacin

Editada 2013-12-20
 PRLOGO

El Instituto Colombiano de Normas Tcnicas y Certificacin, ICONTEC, es el organismo

nacional de normalizacin, segn el Decreto 2269 de 1993.

ICONTEC es una entidad de carcter privado, sin nimo de lucro, cuya Misin es fundamental
para brindar soporte y desarrollo al productor y proteccin al consumidor. Colabora con el
sector gubernamental y apoya al sector privado del pas, para lograr ventajas competitivas en
los mercados interno y externo.

La representacin de todos los sectores involucrados en el proceso de Normalizacin Tcnica

est garantizada por los Comits Tcnicos y el perodo de Consulta Pblica, este ltimo
caracterizado por la participacin del pblico en general.

La norma NTC-ISO-IEC 27001 (Primera actualizacin) fue ratificada por el Consejo Directivo de
2013-12-11.

Esta norma est sujeta a ser actualizada permanentemente con el objeto de que responda en
todo momento a las necesidades y exigencias actuales.

A continuacin se relacionan las empresas que colaboraron en el estudio de esta norma a

travs de su participacin en el Comit Tcnico 181 Gestin de la tecnologa de la informacin.

AVIANCA S.A. INLAC

AZTECA COMUNUCACIONES LA POLAR- CF
BANCO AGRARIO DE COLOMBIA S.A. MINISTERIO DE TECNOLOGAS DE LA
CENET S.A. INFORMACIN Y LAS
CROSS BORDER TECHNOLOGY S.A.S. COMUNICACIONES
ECOPETROL - SLB NEWNET S.A.
ESICENTER - SINERTIC PROJECT ADVANCED MANAGEMENT
GEOCONSULT - ECP QUALITIC LTDA
HALLIBURTON - ECOPETROL SERVIENTREGA
HELM BANK TOP FACTORY
INFOTRACK S.A.

Adems de las anteriores, en Consulta Pblica el Proyecto se puso a consideracin de las

siguientes empresas:

A TODA HORA S.A ATH BANCO DE OCCIDENTE

ACH COLOMBIA S.A. BRANCH OF MICROSOFT COLOMBIA INC
ACTUALIZACIONES DE SISTEMAS LTDA. CAJA COLOMBIANA DE SUBSIDIO
AGENDA DE CONECTIVIDAD FAMILIAR COLSUBSIDIO
ALFAPEOPLE ANDINO S.A. CENTRO DE INVESTIGACIN Y
ALIANZA SINERTIC DESARROLLO EN TECNOLOGIAS DE LA
BANCO CAJA SOCIAL INFORMACION Y LAS COMUNICACIONES
BANCO COMERCIAL AV VILLAS CENTRO POLICLNICO DEL OLAYA
BANCO DAVIVIENDA S.A. C.P.O. S.A.
BANCO DE BOGOT CHOUCAIR TESTING S.A.
BANCO DE LA REPBLICA CIBERCALL S.A.
COLOMBIA TELECOMUNICACIONES S.A. KEXTAS LTDA.
E.S.P. LOGIN LEE LTDA.
COMERCIO ELECTRNICO EN INTERNET MAKRO SUPERMAYORISTA S.A.
CENET S.A. MAREIGUA LTDA.
COMPUREDES S.A. MEGABANCO
CONTRALORA DE CUNDINAMARCA MICROCOM COMUNICACIN Y
COOPERATIVA DE PROFESIONALES DE SEGURIDAD LTDA.
LA SALUD -PROSALCO I.P.S.- NEGOTEC NEGOCIOS Y TECNOLOGA
CORREDOR EMPRESARIAL LTDA.
CREDIBANCO NEXOS SOFTWARE S.A.S.
CRUZ ROJA COLOMBIANA SECCIONAL PARQUES Y FUNERARIAS S.A.
CUNDINAMARCA Y BOGOT JARDINES DEL RECUERDO
DAKYA LTDA. PIRAMIDE ADMINISTRACION DE
DIGIWARE INFORMACION LTDA.
ECOPETROL S.A. POLITCNICO MAYOR AGENCIA
ENLACE OPERATIVO S.A. CRISTIANA DE SERVICIO Y EDUCACIN
ESCUELA COLOMBIANA DE CARRERAS LTDA.
INDUSTRIALES PONTIFICIA UNIVERSIDAD JAVERIANA
ETB S.A. E.S.P. QUALITY SYSTEMS LTDA.
FLUIDSIGNAL GROUP S.A. SISTEMAS Y FORMACIN S.A.S.
FONDO DE EMPLEADOS DEL SOCIEDAD COLOMBIANA DE
DEPARTAMENTO DE ANTIOQUIA ARCHIVISTAS
FUNDACIN PARQUE TECNOLGICO SUN GEMINI S.A.
DEL SOFTWARE DE CALI - SYNAPSIS COLOMBIA LTDA.
PARQUESOFT- TEAM FOODS COLOMBIA S.A.
FUNDACIN UNIVERSITARIA INPAHU TECNOLOGAS DE INFORMACIN Y
GEMAS INGENIERIA Y CUNSULTORIA COMUNICACIONES DE COLOMBIA LTDA.
SAS TELMEX COLOMBIA S.A.
GESTIN & ESTRATEGIA S.A.S. TIQAL S.A.S
GETRONICS COLOMBIA LTDA. TOMS MORENO CRUZ Y CA. LTDA.
GIT LTDA. TRANSFIRIENDO S.A.
HMT S.A.S. TRANSPORTADORA DE VALORES
HOSPITAL SAN VICENTE ESE DE ATLAS LTDA.
MONTENEGRO TUS COMPETENCIAS LTDA.
INFOCOMUNICACIONES S.A.S. UNIVERSIDAD DISTRITAL FRANCISCO
INSTITUTO DE ORTOPEDIA INFANTIL JOS DE CALDAS
ROOSEVELT UNIVERSIDAD NACIONAL ABIERTA Y A
IPX LTDA. DISTANCIA
IQ CONSULTORES UNIVERSIDAD NACIONAL DE COLOMBIA
IT SERVICE LTDA. UNIVERSIDAD SANTIAGO DE CALI
JAIME TORRES C. Y CA. S.A.
JIMMY EXENOVER ESPINOSA LPEZ

ICONTEC cuenta con un Centro de Informacin que pone a disposicin de los interesados
normas internacionales, regionales y nacionales y otros documentos relacionados.

DIRECCIN DE NORMALIZACIN
NORMA TCNICA COLOMBIANA NTC-ISO-IEC 27001 (Primera actualizacin)RESEUMEN

CONTENIDO

Pgina

INTRODUCCIN .................................................................................................................... i

0.1 GENERALIDADES ..................................................................................................... i

0.2 COMPATIBILIDAD CON OTRAS NORMAS DE SISTEMAS DE GESTIN ............... i

1. OBJETO Y CAMPO DE APLICACIN ...................................................................... 1

2. REFERENCIAS NORMATIVAS ................................................................................. 1

3. TRMINOS Y DEFINICIONES ................................................................................... 1

4. CONTEXTO DE LA ORGANIZACIN ....................................................................... 1

4.1 CONOCIMIENTO DE LA ORGANIZACIN Y DE SU CONTEXTO ........................... 1

4.2 COMPRENSIN DE LAS NECESIDADES Y EXPECTATIVAS

DE LAS PARTES INTERESADAS ............................................................................ 2

4.3 DETERMINACIN DEL ALCANCE DEL SISTEMA DE GESTIN

DE LA SEGURIDAD DE LA INFORMACIN ............................................................ 2

4.4 SISTEMA DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN ..................... 2

5. LIDERAZGO .............................................................................................................. 2

5.1 LIDERAZGO Y COMPROMISO ................................................................................. 2

5.2 POLTICA .................................................................................................................. 3

5.3 ROLES, RESPONSABILIDADES Y AUTORIDADES EN LA ORGANIZACIN ........ 3

6. PLANIFICACIN ....................................................................................................... 4

6.1 ACCIONES PARA TRATAR RIESGOS Y OPORTUNIDADES.................................. 4

NORMA TCNICA COLOMBIANA NTC-ISO-IEC 27001 (Primera actualizacin)RESEUMEN

Pgina

6.2 OBJETIVOS DE SEGURIDAD DE LA INFORMACIN

Y PLANES PARA LOGRARLOS ............................................................................... 6

7. SOPORTE .................................................................................................................. 6

7.1 RECURSOS ............................................................................................................... 6

7.2 COMPETENCIA ......................................................................................................... 6

7.3 TOMA DE CONCIENCIA ........................................................................................... 7

7.4 COMUNICACIN ....................................................................................................... 7

7.5 INFORMACIN DOCUMENTADA............................................................................. 7

8. OPERACIN.............................................................................................................. 8

8.1 PLANIFICACIN Y CONTROL OPERACIONAL ...................................................... 8

8.2 VALORACIN DE RIESGOS DE LA SEGURIDAD DE LA INFORMACIN ............. 9

8.3 TRATAMIENTO DE RIESGOS DE LA SEGURIDAD DE LA INFORMACIN ........... 9

9. EVALUACIN DEL DESEMPEO ............................................................................ 9

9.1 SEGUIMIENTO, MEDICIN, ANLISIS Y EVALUACIN......................................... 9

9.2 AUDITORA INTERNA ............................................................................................. 10

9.3 REVISIN POR LA DIRECCIN ............................................................................. 10

10. MEJORA .................................................................................................................. 11

10.1 NO CONFORMIDADES Y ACCIONES CORRECTIVAS.......................................... 11

10.2 MEJORA CONTINUA .............................................................................................. 12

DOCUMENTO DE REFERENCIA ....................................................................................... 26

NORMA TCNICA COLOMBIANA NTC-ISO-IEC 27001 (Primera actualizacin)RESEUMEN

Pgina

BIBLIOGRAFA ................................................................................................................... 25

ANEXO A (Normativo)
OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA........................................ 13
NORMA TCNICA COLOMBIANA NTC-ISO-IEC 27001 (Primera actualizacin)RESEUMEN

INTRODUCCIN

0.1 GENERALIDADES

Esta Norma ha sido elaborada para suministrar requisitos para el establecimiento,

implementacin, mantenimiento y mejora continua de un sistema de gestin de la seguridad de
la informacin. La adopcin de un sistema de gestin de seguridad de la informacin es una
decisin estratgica para una organizacin. El establecimiento e implementacin del sistema
de gestin de la seguridad de la informacin de una organizacin estn influenciados por las
necesidades y objetivos de la organizacin, los requisitos de seguridad, los procesos
organizacionales empleados, y el tamao y estructura de la organizacin. Se espera que todos
estos factores de influencia cambien con el tiempo.

El sistema de gestin de la seguridad de la informacin preserva la confidencialidad, la

integridad y la disponibilidad de la informacin, mediante la aplicacin de un proceso de gestin
del riesgo, y brinda confianza a las partes interesadas acerca de que los riesgos son
gestionados adecuadamente.

Es importante que el sistema de gestin de la seguridad de la informacin sea parte de los

procesos y de la estructura de gestin total de la informacin de la organizacin y que est
integrado con ellos, y que la seguridad de la informacin se considere en el diseo de
procesos, sistemas de informacin y controles. Se espera que la implementacin de un sistema
de gestin de seguridad de la informacin se difunda de acuerdo con las necesidades de la
organizacin.

La presente Norma puede ser usada por partes internas y externas para evaluar la capacidad
de la organizacin para cumplir los requisitos de seguridad de la propia organizacin.

El orden en que se presentan los requisitos en esta Norma no refleja su importancia ni el orden
en el que se van a implementar. Los elementos de la lista se enumeran solamente para
propsitos de referencia.

La ISO/IEC 27000 describe la visin general y el vocabulario de sistemas de gestin de la

seguridad de la informacin, y referencia la familia de normas de sistemas de gestin de l a
seguridad de la informacin (incluidas las NTC-SO/IEC 27003[2], ISO/IEC 27004[3] y
ISO/IEC 27005[4]), con los trminos y definiciones relacionadas.

0.2 COMPATIBILIDAD CON OTRAS NORMAS DE SISTEMAS DE GESTIN

Esta Norma aplica la estructura de alto nivel, ttulos idnticos de numerales, texto idntico,
trminos comunes y definiciones esenciales definidas en el Anexo SL de las Directivas
ISO/IEC, Parte 1, Suplemento ISO consolidado, y por tanto, mantiene la compatibilidad con
otras normas de sistemas de gestin que han adoptado el Anexo SL.

Este enfoque comn definido en el Anexo SL ser til para aquellas organizaciones que
decidan poner en funcionamiento un nico sistema de gestin que cumpla los requisitos de dos
o ms normas de sistemas de gestin.

i
NORMA TCNICA COLOMBIANA NTC-ISO-IEC 27001 (Primera actualizacin)RESEUMEN

TECNOLOGA DE LA INFORMACIN.
TCNICAS DE SEGURIDAD.
SISTEMAS DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN.
REQUISITOS

1. OBJETO Y CAMPO DE APLICACIN

Esta Norma especifica los requisitos para establecer, implementar, mantener y mejorar
continuamente un sistema de gestin de la seguridad de la informacin dentro del contexto de
la organizacin. La presente Norma incluye tambin los requisitos para la valoracin y el
tratamiento de riesgos de seguridad de la informacin, adaptados a las necesidades de la
organizacin. Los requisitos establecidos en esta Norma son genricos y estn previstos para
ser aplicables a todas las organizaciones, independientemente de su tipo, tamao o naturaleza.
Cuando una organizacin declara conformidad con esta Norma, no es aceptable excluir
cualquiera de los requisitos especificados de los numerales 4 al 10.

2. REFERENCIAS NORMATIVAS

Los siguientes documentos, en parte o en su totalidad, se referencian normativamente en este

documento y son indispensables para su aplicacin. Para referencias fechadas slo se aplica la
edicin citada. Para referencias no fechadas se aplica la edicin ms reciente del documento
referenciado (incluida cualquier enmienda).

ISO/IEC 27000, Information Technology. Security Techniques. Information Security

Management Systems. Overview and Vocabulary.

3. TRMINOS Y DEFINICIONES

Para los propsitos de este documento se aplican los trminos y definiciones presentados en la
norma ISO/IEC 27000.

1 de 26
NORMA TCNICA COLOMBIANA NTC-ISO-IEC 27001 (Primera actualizacin)RESEUMEN

BIBLIOGRAFA

[1] ISO/IEC 27002:2013, Information Technology. Security Techniques. Code of Practice for
Information Security Controls.

[2] GTC-ISO/IEC 27003:2012, Tecnologa de la informacin. tcnicas de seguridad. Gua

de implementacin de un sistema de gestin de la seguridad de la informacin.

[3] ISO/IEC 27004:2009, Information Technology. Security Techniques. Information Security

Management. Measurement.

[4] ISO/IEC 27005:2011, Information Technology. Security Techniques. Information Security

Risk Management.

[5] NTC-ISO 31000:2011, Gestin del riesgo. Principios y directrices.

[6] ISO/IEC Directives, Part 1, Consolidated ISO Supplement. Procedures Specific to ISO,
2012.

2
NORMA TCNICA COLOMBIANA NTC-ISO-IEC 27001 (Primera actualizacin)RESEUMEN

IMPORTANTE

Este resumen no contiene toda la informacin necesaria para la aplicacin del documento normativo original al que se
refiere la portada. ICONTEC lo creo para orientar a su cliente sobre el alcance de cada uno de sus documentos y facilitar
su consulta. Este resumen es de libre distribucin y su uso es de total responsabilidad del usuario final.

El documento completo al que se refiere este resumen puede consultarse en los centros de informacin de ICONTEC en
Bogot, Medelln, Barranquilla, Cali o Bucaramanga, tambin puede adquirirse a travs de nuestra pgina web o en
nuestra red de oficinas (vase www.icontec.org).

El logo de ICONTEC y el documento normativo al que hace referencia este resumen estn cubiertos por las leyes de
derechos reservados de autor.

Informacin de servicios aplicables al documento aqu referenciado la encuentra en: www.icontec.org o por medio del
contacto cliente@icontec.org

ICONTEC INTERNACIONAL