Beruflich Dokumente
Kultur Dokumente
0. INTRODUCCIN.
0.1. GENERALIDADES.
Esta norma ha sido elaborada para suministrar requisitos para establecer, implementar,
mantener y mejorar el SGSI. La adopcin es una decisin estratgica para la empresa. Est
influenciada su establecimiento e implementacin por las necesidades y objetivos de la
organizacin, los requisitos de seguridad, los procesos organizacionales empleados, y el
tamao y estructura de la organizacin.
Esta norma puede ser usada por partes internas y externas para evaluar la capacidad de la
organizacin para cumplir los requisitos de seguridad
2. REFERENCIAS NORMATIVAS.
ISO/IEC 27000, Information Technology Security Techniques Information Security
Management Systems Overview and Vocabulary.
3. TERMINOS Y DEFINICIONES.
Se aplican los trminos y definiciones presentados en la norma ISO/IEC 27000.
rea de Formacin 1 de 19
Esta no es la Norma Original, es una Interpretacin de SGS Colombia S.A., Divisin S&SC
VISIN GENERAL ISO 27001:2013
4. CONTEXTO DE LA ORGANIZACIN.
4.1. CONOCIMIENTO DE LA ORGANIZACIN Y DE SU CONTEXTO.
La empresa debe determinar los aspectos externos e internos que son necesarios para cumplir
su propsito y que afectan su capacidad para lograr los resultados previstos en el SGSI.
Nota. La terminacin de estos aspectos hace referencia a establecer el contexto interno y
externo de la empresa, referencia a la norma ISO 31000:2009 en el apartado 5.3.
Se debe determinar:
a. Las partes interesadas que son pertinentes al SGSI.
b. Los requisitos de las partes interesadas.
Nota. Los requisitos pueden incluir los requisitos legales y de reglamentacin y las
obligaciones contractuales.
Se debe determinar los lmites y la aplicabilidad del SGSI para establecer su alcance.
Para determinar el alcance la organizacin debe considerar:
a. Aspectos internos y externos referidos en el 4.1. y
b. Los requisitos referidos en 4.2.; y
c. Las interfaces y dependencias entre las actividades realizadas y las que realizan otras
empresas.
5. LIDERAZGO.
5.1. LIDERAZGO Y COMPROMISO.
La Alta Direccin debe demostrar liderazgo y compromiso con respecto al SGSI as:
a. Asegurado que se establece la poltica y los objetivos del SGSI.
b. Asegurando la integracin de los requisitos del SGSI con los procesos de negocio
c. Asegurando la disponibilidad de los recursos necesarios
d. Comunicando la importancia de una gestin eficaz y de conformidad con los requisitos del
SGSI.
e. Asegurando que el SGSI logre los resultados previstos.
f. Dirigiendo y apoyando al personal para aportar a la eficacia del SGSI.
g. Promoviendo mejora continua.
rea de Formacin 2 de 19
Esta no es la Norma Original, es una Interpretacin de SGS Colombia S.A., Divisin S&SC
VISIN GENERAL ISO 27001:2013
h. Apoyando otros roles pertinentes de la direccin para demostrar liderazgo aplicado a sus
reas de responsabilidad.
5.2. POLTICA
Nota. La Alta Direccin tambin puede asignar responsabilidad y autoridades para informar
sobre el desempeo del SGSI dentro de la organizacin.
6. PLANIFICACIN.
6.1. ACCIONES PARA TRATAR RIESGOS Y OPORTUNIDADES.
6.1.1. GENERALIDADES.
Al planificar el SGSI, se debe considerar las cuestiones referidas en el apartado 4.1. Y los
requisitos a que se hace referencia en el apartado 4.2. Y determinar los riesgos y
oportunidades con el fin de:
a. Asegurar que el SGSI pueda lograr los resultados previstos.
b. Prevenir o reducir los efectos indeseados.
c. Lograr la mejorar continua.
La organizacin debe planificar:
d. Las acciones para tratar los riesgos y oportunidades
e. La manera de:
1. Integrar e implementar estas acciones en sus procesos
2. Evaluar la eficacia de estas acciones.
Se debe establecer objetivos en las funciones y niveles pertinentes. Los objetivos deben:
a. Ser coherentes con la poltica.
b. Ser medibles. (Si es posible).
c. Tener en cuenta los requisitos de seguridad aplicables, y los resultados de la evaluacin y
del tratamiento de riesgos.
rea de Formacin 4 de 19
Esta no es la Norma Original, es una Interpretacin de SGS Colombia S.A., Divisin S&SC
VISIN GENERAL ISO 27001:2013
d. Ser comunicados.
e. Ser actualizados
Se debe conservar informacin documentada sobre los objetivos. Cuando se planifica para
lograr los objetivos, se debe determinar:
f. Lo que se va a hacer.
g. Recursos que requieran
h. Responsable.
i. Cuando se finalizar
j. Como se evaluarn los resultados.
7. SOPORTE.
7.1. RECURSOS.
7.2. COMPETENCIA.
Se debe:
a. Determinar la competencia de las personas que realizan un trabajo que afecte el
desempeo de la seguridad de la informacin.
b. Asegurar que las personas sean competentes, basndose en: educacin, formacin o
experiencia adecuadas.
c. Tomar acciones para adquirir la competencia necesario y evaluar su eficacia (cuando sea
aplicable)
d. Conservar la informacin documentada apropiada como evidencia.
7.4. COMUNICACIN.
rea de Formacin 5 de 19
Esta no es la Norma Original, es una Interpretacin de SGS Colombia S.A., Divisin S&SC
VISIN GENERAL ISO 27001:2013
Se debe incluir:
a. Informacin documentada requerida por la norma
b. Informacin documentada que la organizacin ha determinado que es necesaria para la
eficacia del SGSI.
8. OPERACIN.
8.1. PLANIFICACIN Y CONTROL OPERACIONAL.
Se debe planificar, implementar y controlar los procesos necesarios para cumplir los requisitos
y para implementar las acciones determinadas en 6.1. Se debe implementar planes para
lograr los objetivos del SGSI.
Se debe mantener informacin documentada, cuando sea necesaria para tener confianza en
que los procesos se han llevado a cabo segn lo planificado.
Se debe controlar los cambios planificados y revisar las consecuencias de los cambios no
previstos, mitigando los efectos adversos, cuando se requiera.
rea de Formacin 6 de 19
Esta no es la Norma Original, es una Interpretacin de SGS Colombia S.A., Divisin S&SC
VISIN GENERAL ISO 27001:2013
Se debe determinar:
a. A qu se requiere hacer seguimiento y medir, incluidos los procesos y controles del SGSI.
b. Los mtodos de seguimiento, medicin, anlisis y evaluacin, para asegurar resultados
vlidos.
c. Cundo se deben llevar a cabo el seguimiento y la medicin.
d. Quien debe llevar a cabo el seguimiento y la medicin.
e. Cundo se deben analizar y evaluar los resultados de seguimiento y medicin.
f. Quin debe analizar y evaluar estos resultados.
Se debe conservar informacin documentada apropiada como evidencia de los resultados del
monitoreo y la medicin.
Se debe:
c. Planificar, establecer, implementar y mantener uno o varios programas de auditora que
tenga: frecuencia, mtodos, responsabilidades, recursos de planificacin, y la elaboracin
de informes. El programa debe tener en cuenta la importancia de los procesos y los
resultados de las auditoras anteriores.
d. Definir criterios y alcance.
rea de Formacin 7 de 19
Esta no es la Norma Original, es una Interpretacin de SGS Colombia S.A., Divisin S&SC
VISIN GENERAL ISO 27001:2013
La salida de la revisin por la direccin deben incluir las decisiones relacionadas con las
oportunidades de mejora y cualquier necesidad de cambio.
10. MEJORA
10.1. NO CONFORMIDADES Y ACCIONES CORRECTIVAS.
rea de Formacin 9 de 19
Esta no es la Norma Original, es una Interpretacin de SGS Colombia S.A., Divisin S&SC
VISIN GENERAL ISO 27001:2013
ANEXO A.
OBJETIVOS DE CONTROL Y CONTROLES.
rea de Formacin 12 de 19
Esta no es la Norma Original, es una Interpretacin de SGS Colombia S.A., Divisin S&SC
VISIN GENERAL ISO 27001:2013
A.11.2.6. Seguridad de equipos y activos fuera del predio. Se deben aplicar medidas de seguridad
a los activos que se encuentran fuera de los predios de la organizacin, teniendo en cuenta los
diferentes riesgos de trabajar fuera de dichos predios.
A.11.2.7. Disposicin segura o reutilizacin de equipos. Se deben verificar todos los elementos de
equipos que contengan medios de almacenamiento para asegurar que cualquier dato confidencial
o software con licencia haya sido retirado o sobre escrito en forma segura antes de su disposicin
o rehso.
A.11.2.8. Equipos sin supervisin de los usuarios. Los usuarios deben asegurarse de que el equipo
sin supervisin tenga la proteccin apropiada.
A.11.2.9. Poltica de escritorio limpio y pantalla limpia. Se debe adoptar una poltica de escritorio
limpio para los papeles y medios de almacenamiento removibles, y una poltica de pantalla limpia
para las instalaciones de procesamiento de informacin.
A.12. SEGURIDAD DE LAS OPERACIONES.
A.12.1. Procedimientos operacionales y responsabilidades.
Objetivo. Asegurar las operaciones correctas y seguras de las instalaciones de procesamiento de
informacin.
A.12.1.1. Procedimientos de operacin documentadas. Los procedimientos operativos se deben
documentar y poner a disposicin de todos los usuarios que los necesitan.
A.12.1.2. Gestin de Cambios. Se deben controlar los cambios en la organizacin, en los procesos
de negocio, en las instalaciones y en los sistemas de procesamiento de informacin que afectan la
seguridad de la informacin.
A.12.1.3. Gestin de Capacidad. Se debe hacer seguimiento al uso de recursos, hacer los ajustes, y
hacer proyecciones de los requisitos de capacidad futura, para asegurar el desempeo requerido
del sistema.
A.12.1.4. Separacin de los ambientes de desarrollo, ensayo y operacin. Se deben separar los
ambientes de desarrollo, ensayo y operativos, para reducir los riesgos de acceso o cambios no
autorizados al ambiente operacional.
A.12.2. Proteccin contra cdigos maliciosos.
Objetivo. Asegurarse de que la informacin y las instalaciones de procesamiento de informacin
estn protegidas contra cdigos maliciosos.
A.12.2.1. Controles contra cdigos maliciosos. Se deben implementar controles de deteccin, de
prevencin y de recuperacin, combinarlos con la toma de conciencia apropiada de los usuarios,
para proteger contra cdigos maliciosos.
A.12.3. Copias de Respaldo.
Objetivo. Proteger contra la prdida de datos.
A.12.3.1. Copias de respaldo de la informacin. Se deben hacer copias de respaldo de la
informacin, software e imgenes de los sistemas y ponerlas a prueba regularmente de acuerdo
con una poltica de copias de respaldo acordadas.
A.12.4. Registro y Seguimiento.
Objetivo. Registrar eventos y generar evidencia.
A.12.4.1. Registro de eventos. Se deben elaborar, conservar y revisar regularmente los registros
de eventos acerca de actividades del usuario, excepcionales, fallas y eventos de seguridad de la
informacin.
A.12.4.2. Proteccin de la informacin de registro. Las instalaciones y la informacin de registro
se deben proteger contra alteracin y acceso no autorizado.
rea de Formacin 14 de 19
Esta no es la Norma Original, es una Interpretacin de SGS Colombia S.A., Divisin S&SC
VISIN GENERAL ISO 27001:2013
A.12.4.3. Registros del administrador y del operador. Las actividades del administrador y del
operador del sistema se deben registrar y los registros se deben proteger y revisar con
regularidad.
A.12.4.4. Sincronizacin de relojes. Los relojes de todos los sistemas de procesamiento de
informacin pertinentes dentro de una organizacin o mbito de seguridad se deben sincronizar
con una nica fuente de referencia de tiempo.
A.12.5. Control de Software Operacional.
Objetivo. Asegurarse de la integridad de los sistemas operacionales.
A.12.5.1. Instalacin de software en sistemas operativos. Se deben implementar procedimientos
para controlar la instalacin de software en sistemas operativos.
A.12.6. Gestin de vulnerabilidad tcnica.
Objetivo. Prevenir el aprovechamiento de las vulnerabilidades tcnicas.
A.12.6.1. Gestin de las vulnerabilidades tcnicas. Se debe obtener oportunamente informacin
acerca de las vulnerabilidades tcnicas de los sistemas de informacin que se usen; evaluar la
exposicin de la organizacin a estas vulnerabilidades, y tomar las medidas apropiadas para tratar
el riesgo asociado.
A.12.6.2. Restricciones sobre la instalacin de Software. Se debe establecer e implementar el
reglamento de instalacin de software por parte de los usuarios.
A.12.7. Consideraciones sobre auditoras de sistemas de informacin.
Objetivo. Minimizar el impacto de las actividades de auditora sobre los sistemas operativos.
A.12.7.1. Controles sobre auditoras de Sistemas de Informacin. Los requisitos y actividades de auditora
que involucran la verificacin de los sistemas operativos se deben planificar y acordar cuidadosamente para
minimizar las interrupciones en los procesos del negocio.
A.13. SEGURIDAD DE LAS COMUNICACIONES.
A.13.1. Gestin de Seguridad de Redes.
Objetivo. Asegurar la proteccin de la informacin en las redes, y sus instalaciones de procesamiento de
informacin de soporte.
A.13.1.1. Controles de redes. Las redes se deben gestionar y controlar para proteger la informacin en
sistemas y aplicaciones.
A.13.1.2. Seguridad de los servicios de red. Se deben identificar los mecanismos de seguridad y los niveles
de servicio y los requisitos de gestin de todos los servicios de red, e incluirlos en los acuerdos de servicios
de red, e incluirlos en los acuerdos de servicio de red, ya sea que los servicios se presten internamente o se
contraten externamente.
A.13.1.3. Separacin en las redes. Los grupos de servicios de informacin, usuarios y sistemas de
informacin se deben separar en las redes.
A.13.2. Transferencia de informacin.
Objetivo. Mantener la seguridad de la informacin transferida dentro de una organizacin y con cualquier
entidad externa.
A.13.2.1. Polticas y procedimientos de transferencia de informacin. Se debe contar con polticas,
procedimientos y controles de transferencia formales para proteger la transferencia de informacin,
mediante el uso de todo tipo de instalaciones de comunicaciones.
A.13.2.2. Acuerdos sobre transferencia de informacin. Los acuerdos deben tratar la transferencia segura
de informacin del negocio entre la organizacin y las partes externas.
A.13.2.3. Mensajes electrnicos. Se debe proteger apropiadamente la informacin incluida en los mensajes
electrnicos.
A.13.2.4. Acuerdos de confidencialidad o de no divulgacin. Se deben identificar, revisar regularmente y
documentar los requisitos para los acuerdos de confidencialidad o no divulgacin que reflejen las
necesidades de la organizacin para la proteccin de la informacin.
A.14. Adquisicin, desarrollo y mantenimiento de sistemas.
A.14.1. Requisitos de seguridad de los sistemas de informacin.
rea de Formacin 15 de 19
Esta no es la Norma Original, es una Interpretacin de SGS Colombia S.A., Divisin S&SC
VISIN GENERAL ISO 27001:2013
Objetivo. Garantizar que la seguridad de la informacin sea una parte integral de los sistemas de
informacin durante todo el ciclo de vida. Esto incluye los requisitos para sistemas de informacin que
prestan servicios sobre redes pblicas.
A.14.1.1. Anlisis y especificacin de requisitos de seguridad de la informacin. Los requisitos relacionados
con seguridad de la informacin se deben incluir en los requisitos para nuevos sistemas de informacin o
para mejoras a los sistemas de informacin existentes.
A.14.1.2. Seguridad de servicios de las aplicaciones en redes pblicas. La informacin involucrada en
servicios de aplicaciones que pasan sobre redes pblicas se debe proteger de actividades fraudulentas,
disputas contractuales y divulgacin y modificacin no autorizadas.
A.14.1.3. Proteccin de transacciones de servicios de aplicaciones. La informacin involucrada en las
transacciones de servicios de aplicaciones se debe proteger para prevenir la transmisin incompleta, el
enrutamiento errado, la alteracin no autorizada de mensajes. La divulgacin no autorizada y la duplicacin
o reproduccin de mensajes no autorizados.
A.14.2. Seguridad en los procesos de desarrollo y de soporte.
Objetivo. Asegurar que la seguridad de la informacin est diseada e implementada dentro del ciclo de
vida de desarrollo de los sistemas de informacin.
A.14.2.1. Poltica de desarrollo seguro. Se deben establecer y aplicar reglas para el desarrollo de software y
de sistemas a los desarrollos dentro de la organizacin.
A.14.2.2. Procedimiento de control de cambios en sistemas. Los cambios a los sistemas dentro del ciclo de
vida de desarrollo de software y de sistemas a los desarrollos dentro de la organizacin.
A.14.2.3. Revisin tcnica de aplicaciones despus de cambios en la plataforma de operaciones. Cuando se
cambian las plataformas de operacin, se deben revisar las aplicaciones crticas del negocio, y poner a
prueba para asegurar que no haya impacto adverso en las operaciones o seguridad organizacionales.
A.14.2.4. Restricciones sobre los cambios de paquetes de software. Se deben desalentar las modificaciones
a los paquetes de software, que se deben limitar a los cambios necesarios, y todos los cambios se deben
controlar estrictamente.
A.14.2.5. Principios de construccin de sistemas de seguros. Se deben establecer, documentar y mantener
principios para la organizacin de sistemas seguros, y aplicarlos a cualquier trabajo de implementacin de
sistemas de informacin.
A.14.2.6. Ambiente de desarrollo seguro. Las organizaciones deben establecer y proteger adecuadamente
los ambientes de desarrollo seguros para las tareas de desarrollo e integracin de sistemas que comprendan
todo el ciclo de vida de desarrollo de sistemas.
A.14.2.7. Desarrollo contratado externamente. La organizacin debe supervisar y hacer seguimiento de la
actividad de desarrollo de sistemas subcontratados.
A.14.2.8. Pruebas de seguridad de sistemas. Durante el desarrollo se deben llevar a cabo ensayos de
funcionalidad de la seguridad.
A.14.2.9. Pruebas de aceptacin de sistemas. Para los sistemas de informacin nuevos, actualizaciones y
nuevas versiones se deben establecer programas de ensayo y criterios relacionados.
A.14.3. Datos de ensayo.
Objetivo. Asegurar la proteccin de los datos usados para ensayos.
A.14.3.1. Proteccin de datos de ensayo. Los datos de ensayo se deben seleccionar, proteger y
controlar cuidadosamente.
A.15. RELACIONES CON LOS PROVEEDORES.
A.15.1. Seguridad de la informacin en las relaciones con los proveedores.
Objetivo. Asegurar la proteccin de los activos de la organizacin que sean accesibles a los
proveedores.
A.15.1.1. Poltica de seguridad de la informacin para las relaciones con proveedores. Los
requisitos de seguridad de la informacin para mitigar los riesgos asociados con el acceso de
proveedores a los activos de la organizacin se deben acordar con estos y se deben documentar.
rea de Formacin 16 de 19
Esta no es la Norma Original, es una Interpretacin de SGS Colombia S.A., Divisin S&SC
VISIN GENERAL ISO 27001:2013
rea de Formacin 17 de 19
Esta no es la Norma Original, es una Interpretacin de SGS Colombia S.A., Divisin S&SC
VISIN GENERAL ISO 27001:2013
control, los controles, la polticas, los procesos y los procedimientos para seguridad de la
informacin se deben revisar independientemente a intervalos planificados o cuando ocurran
cambios significativos.
A.18.2.2. Cumplimiento con las polticas y normas de seguridad. Los directores deben revisar con
regularidad el cumplimiento del procesamiento y procedimientos de informacin dentro de su
rea de responsabilidad, con las polticas y normas de seguridad apropiadas y cualquier otro
requisito de seguridad.
A.18.2.3. Revisin del Cumplimiento Tcnico. Los Sistemas de informacin se deben revisar con
regularidad para determinar el cumplimiento con las polticas y normas de seguridad de la
informacin.
rea de Formacin 19 de 19
Esta no es la Norma Original, es una Interpretacin de SGS Colombia S.A., Divisin S&SC