VISIN GENERAL ISO 27001:2013

INTERPRETACIN ISO 27001:2013

TECNOLOGA DE LA INFORMACIN. TCNICAS DE SEGURIDAD. SISTEMAS DE GESTIN DE LA

SEGURIDAD DE LA INFORMACIN REQUISITOS.

0. INTRODUCCIN.

0.1. GENERALIDADES.

Esta norma ha sido elaborada para suministrar requisitos para establecer, implementar,
mantener y mejorar el SGSI. La adopcin es una decisin estratgica para la empresa. Est
influenciada su establecimiento e implementacin por las necesidades y objetivos de la
organizacin, los requisitos de seguridad, los procesos organizacionales empleados, y el
tamao y estructura de la organizacin.

EL SGSI preserva la confidencialidad, la integridad y la disponibilidad de la informacin,

mediante la aplicacin de la gestin del riesgo y brinda confianza a las partes interesadas
acerca de que los riesgos son gestionados adecuadamente.

Esta norma puede ser usada por partes internas y externas para evaluar la capacidad de la
organizacin para cumplir los requisitos de seguridad

0.2. COMPATIBILIDAD CON OTRAS NORMAS DE SISTEMAS DE GESTIN.

Esta norma aplica la estructura de alto nivel, ttulos idnticos de apartados, textos idnticos,
trminos comunes y definiciones esenciales definidas en el Anexo SL de las Directivas ISO/IEC y
por tanto es compatible con otras normas de sistemas de gestin que han adoptado el Anexo
SL

1. OBJETO Y CAMPO DE APLICACIN.

Esta norma especfica los requisitos para establecer, implementar, mantener y mejorar
continuamente un SGSI.
Incluye tambin los requisitos para la evaluacin y el tratamiento de riesgos de Seguridad de la
Informacin.
Los requisitos son genricos y estn previstos para ser aplicables a todas las organizaciones,
independiente de su tipo, tamao o naturaleza.
No se permite la exclusin de los requisitos especificados en los apartados 4 a 10.

2. REFERENCIAS NORMATIVAS.
ISO/IEC 27000, Information Technology Security Techniques Information Security
Management Systems Overview and Vocabulary.

3. TERMINOS Y DEFINICIONES.
Se aplican los trminos y definiciones presentados en la norma ISO/IEC 27000.

rea de Formacin 1 de 19
Esta no es la Norma Original, es una Interpretacin de SGS Colombia S.A., Divisin S&SC
 VISIN GENERAL ISO 27001:2013

4. CONTEXTO DE LA ORGANIZACIN.
4.1. CONOCIMIENTO DE LA ORGANIZACIN Y DE SU CONTEXTO.

La empresa debe determinar los aspectos externos e internos que son necesarios para cumplir
su propsito y que afectan su capacidad para lograr los resultados previstos en el SGSI.
Nota. La terminacin de estos aspectos hace referencia a establecer el contexto interno y
externo de la empresa, referencia a la norma ISO 31000:2009 en el apartado 5.3.

4.2. COMPRENSIN DE LAS NECESIDADES Y EXPECTATIVAS DE LAS PARTES INTERESADAS.

Se debe determinar:
a. Las partes interesadas que son pertinentes al SGSI.
b. Los requisitos de las partes interesadas.

Nota. Los requisitos pueden incluir los requisitos legales y de reglamentacin y las
obligaciones contractuales.

4.3. DETERMINACIN DEL ALCANCE DEL SGSI.

Se debe determinar los lmites y la aplicabilidad del SGSI para establecer su alcance.
Para determinar el alcance la organizacin debe considerar:
a. Aspectos internos y externos referidos en el 4.1. y
b. Los requisitos referidos en 4.2.; y
c. Las interfaces y dependencias entre las actividades realizadas y las que realizan otras
empresas.

El alcance debe estar disponible como informacin documentada

4.4. SISTEMA DE GESTIN DE SEGURIDAD DE LA INFORMACIN.

Se debe establecer, implementar, mantener y mejorar continuamente un SGSI, de acuerdo

con los requisitos de la norma ISO 27001:2013.

5. LIDERAZGO.
5.1. LIDERAZGO Y COMPROMISO.

La Alta Direccin debe demostrar liderazgo y compromiso con respecto al SGSI as:
a. Asegurado que se establece la poltica y los objetivos del SGSI.
b. Asegurando la integracin de los requisitos del SGSI con los procesos de negocio
c. Asegurando la disponibilidad de los recursos necesarios
d. Comunicando la importancia de una gestin eficaz y de conformidad con los requisitos del
SGSI.
e. Asegurando que el SGSI logre los resultados previstos.
f. Dirigiendo y apoyando al personal para aportar a la eficacia del SGSI.
g. Promoviendo mejora continua.

rea de Formacin 2 de 19
Esta no es la Norma Original, es una Interpretacin de SGS Colombia S.A., Divisin S&SC
 VISIN GENERAL ISO 27001:2013

h. Apoyando otros roles pertinentes de la direccin para demostrar liderazgo aplicado a sus
reas de responsabilidad.

5.2. POLTICA

La Alta Direccin debe establecer una poltica que:

a. Sea adecuada al propsito de la empresa.
b. Incluya objetivos de Seguridad de la Informacin (6.2) o proporcione el marco para el
establecimiento de los mismos.
c. Incluya un compromiso de cumplir los requisitos aplicables relacionados con la Seguridad.
d. Incluya compromiso de Mejora Continua
La poltica debe:
e. Estar como informacin documentada.
f. Comunicarse dentro de la empresa.
g. Estar disponible para las partes interesadas, segn sea apropiado.

5.3. ROLES, RESPONSABILIDADES Y AUTORIDADES EN LA ORGANIZACIN.

La Alta Direccin debe asegurarse de que se asignan y comunican las responsabilidades y

autoridades.

La Alta Direccin debe asignar la responsabilidad y autoridad para:

a. Asegurarse de que el SGSI es conforme con los requisitos de la norma.
b. Informar a la Alta Direccin sobre el Desempeo del SGSI.

Nota. La Alta Direccin tambin puede asignar responsabilidad y autoridades para informar
sobre el desempeo del SGSI dentro de la organizacin.

6. PLANIFICACIN.
6.1. ACCIONES PARA TRATAR RIESGOS Y OPORTUNIDADES.
6.1.1. GENERALIDADES.

Al planificar el SGSI, se debe considerar las cuestiones referidas en el apartado 4.1. Y los
requisitos a que se hace referencia en el apartado 4.2. Y determinar los riesgos y
oportunidades con el fin de:
a. Asegurar que el SGSI pueda lograr los resultados previstos.
b. Prevenir o reducir los efectos indeseados.
c. Lograr la mejorar continua.
La organizacin debe planificar:
d. Las acciones para tratar los riesgos y oportunidades
e. La manera de:
1. Integrar e implementar estas acciones en sus procesos
2. Evaluar la eficacia de estas acciones.

6.1.2. EVALUACIN DE RIESGOS DE LA SEGURIDAD DE LA INFORMACIN.

Se debe definir y aplicar un proceso de evaluacin de riesgos del SGSI que:

rea de Formacin 3 de 19
Esta no es la Norma Original, es una Interpretacin de SGS Colombia S.A., Divisin S&SC
 VISIN GENERAL ISO 27001:2013

a. Establezca y mantenga criterios de riesgo de seguridad que incluya:

1. Criterios de Aceptacin de Riesgos.
2. Criterios para realizar evaluaciones de riesgos.
b. Asegure que las evaluaciones repetidas de riesgos produzcan resultados consistentes,
vlidos y comparables.
c. Identifique los riesgos:
1. Aplicar el proceso de evaluacin de riesgos para identificar los riesgos asociados con la
prdida de la confidencialidad, de integridad y de disponibilidad de la informacin
dentro del alcance.
2. Identificar a los dueos de los riesgos.
d. Analice los riesgos:
1. Evaluar las consecuencias potenciales si se materializan los riesgos identificados 6.1.2
c. 1.
2. Evaluar la probabilidad realista de que ocurran los riesgos identificados 6.1.2 c. 1.
3. Determinar los niveles de riesgo.
e. Evale los riesgos:
1. Comparar los resultados del anlisis de riesgos con los criterios establecidos en
identificados 6.1.2 a.
2. Priorizar los riesgos analizados para el tratamiento de riesgos.

Se debe conservar informacin documentada acerca del proceso de evaluacin de riesgos.

6.1.3. TRATAMIENTO DE RIESGOS DE LA SEGURIDAD DE LA INFORMACIN.

Se debe definir y aplicar un proceso de tratamiento de riesgos para:

a. Seleccionar las opciones apropiadas de tratamiento de riesgos, teniendo en cuenta los
resultados de la evaluacin de riesgos.
b. Determinar todos los controles que sean necesarios para implementar las opciones
escogidas para el tratamiento de riesgos.
c. Comparar los controles determinados en 6.1.3 b. con los del Anexo A y verificar que no se
han omitidos controles.
d. Elaborar una Declaracin de Aplicabilidad que tenga los controles necesarios y la
justificacin de las exclusiones, ya sea que se implementen o no y la justificacin para las
exclusiones de los controles del Anexo A.
e. Formular un plan de tratamiento de riesgos.
f. Obtener la aprobacin del plan te tratamiento de riesgos y la aceptacin de riesgos
residuales por parte de los dueos de los riesgos

Se debe conservar informacin documentada acerca del proceso de tratamiento de riesgos.

6.2. OBJETIVOS DE SEGURIDAD DE LA INFORMACIN Y PLANES PARA LOGRARLOS.

Se debe establecer objetivos en las funciones y niveles pertinentes. Los objetivos deben:
a. Ser coherentes con la poltica.
b. Ser medibles. (Si es posible).
c. Tener en cuenta los requisitos de seguridad aplicables, y los resultados de la evaluacin y
del tratamiento de riesgos.
rea de Formacin 4 de 19
Esta no es la Norma Original, es una Interpretacin de SGS Colombia S.A., Divisin S&SC
 VISIN GENERAL ISO 27001:2013

d. Ser comunicados.
e. Ser actualizados

Se debe conservar informacin documentada sobre los objetivos. Cuando se planifica para
lograr los objetivos, se debe determinar:
f. Lo que se va a hacer.
g. Recursos que requieran
h. Responsable.
i. Cuando se finalizar
j. Como se evaluarn los resultados.

7. SOPORTE.
7.1. RECURSOS.

Se debe determinar y proporcionar los recursos para establecer, implementar, mantener y

mejorar el SGSI.

7.2. COMPETENCIA.

Se debe:
a. Determinar la competencia de las personas que realizan un trabajo que afecte el
desempeo de la seguridad de la informacin.
b. Asegurar que las personas sean competentes, basndose en: educacin, formacin o
experiencia adecuadas.
c. Tomar acciones para adquirir la competencia necesario y evaluar su eficacia (cuando sea
aplicable)
d. Conservar la informacin documentada apropiada como evidencia.

7.3. TOMA DE CONCIENCIA.

Las personas deben tomar conciencia de:

a. La poltica.
b. Su contribucin a la eficacia, incluyendo los beneficios de una mejora del desempeo.
c. Las implicaciones de la No Conformidad con los requisitos del SGSI.

7.4. COMUNICACIN.

Se debe determinar la necesidad de comunicaciones externas e internas que incluyan;

a. El contenido de la comunicacin.
b. Cuando comunicar.
c. A quin comunicar.
d. Quin debe comunicar
e. Los procesos para llevar a cabo la comunicacin.

rea de Formacin 5 de 19
Esta no es la Norma Original, es una Interpretacin de SGS Colombia S.A., Divisin S&SC
 VISIN GENERAL ISO 27001:2013

7.5. INFORMACIN DOCUMENTADA.

7.5.1. GENERALIDADES.

Se debe incluir:
a. Informacin documentada requerida por la norma
b. Informacin documentada que la organizacin ha determinado que es necesaria para la
eficacia del SGSI.

Nota: El alcance de la informacin documentada puede ser diferente de una organizacin a

otra, debido a:
a. El tamao de la organizacin y su tipo de actividades, procesos, productos y servicios.
b. La Complejidad de los procesos y sus interacciones.
c. La Competencia de las personas.

7.5.2. CREACIN Y ACTUALIZACIN.

Cuando se crea o actualiza informacin documentada, se debe asegurar que:
a. La identificacin y descripcin
b. El formato y sus medios de soporte.
c. La revisin y aprobacin con respecto a la idoneidad y adecuacin.

7.5.3. CONTROL DE LA INFORMACIN DOCUMENTADA.

La informacin documentada se debe controlar para asegurar que:

a. Est disponible y adecuado para su uso, cuando y donde se requiere
b. Est protegida adecuadamente.

Para controlar la informacin se debe tratar de:

c. Distribucin, acceso, recuperacin y uso
d. Almacenamiento y preservacin, incluido la legibilidad.
e. Control de Cambios
f. Retencin y disposicin.

Se debe identificar y controlar la informacin de origen externo, que la organizacin ha

determinado que es necesario para la planificacin y operacin del SGSI.

8. OPERACIN.
8.1. PLANIFICACIN Y CONTROL OPERACIONAL.

Se debe planificar, implementar y controlar los procesos necesarios para cumplir los requisitos
y para implementar las acciones determinadas en 6.1. Se debe implementar planes para
lograr los objetivos del SGSI.

Se debe mantener informacin documentada, cuando sea necesaria para tener confianza en
que los procesos se han llevado a cabo segn lo planificado.

Se debe controlar los cambios planificados y revisar las consecuencias de los cambios no
previstos, mitigando los efectos adversos, cuando se requiera.
rea de Formacin 6 de 19
Esta no es la Norma Original, es una Interpretacin de SGS Colombia S.A., Divisin S&SC
 VISIN GENERAL ISO 27001:2013

Se debe asegurar que los procesos contratados externamente sean controlados.

8.2. EVALUACIN DE RIESGOS DE LA SEGURIDAD DE LA INFORMACIN.

Se debe llevar a cabo evaluaciones de riesgos a intervalos planificados o cuando se propongan

u ocurran cambios significativos. Segn los criterios establecidos en 6.1.2.a.

Se debe conservar informacin documentada de los resultados de las evaluaciones de riesgo.

8.3. TRATAMIENTO DE RIESGOS DE LA SEGURIDAD DE LA INFORMACIN.

Se debe implementar el plan de tratamiento de riesgos. Se debe conservar informacin

documentada de los resultados del tratamiento de riesgos.

9. EVALUACIN DEL DESEMPEO.

9.1. SEGUIMIENTO, MEDICIN, ANLISIS Y EVALUACIN.

Se debe evaluar el desempeo del SGSI y la eficacia del SGSI.

Se debe determinar:
a. A qu se requiere hacer seguimiento y medir, incluidos los procesos y controles del SGSI.
b. Los mtodos de seguimiento, medicin, anlisis y evaluacin, para asegurar resultados
vlidos.
c. Cundo se deben llevar a cabo el seguimiento y la medicin.
d. Quien debe llevar a cabo el seguimiento y la medicin.
e. Cundo se deben analizar y evaluar los resultados de seguimiento y medicin.
f. Quin debe analizar y evaluar estos resultados.

Se debe conservar informacin documentada apropiada como evidencia de los resultados del
monitoreo y la medicin.

9.2. AUDITORA INTERNA.

Se debe llevar a cabo auditoras internas a intervalos planificados, para proporcionar

informacin acerca de si el SGSI:
a. Es conforme con:
1. Los propios requisitos de la organizacin para su SGSI
2. Los requisitos de la norma.
b. Estn implementado y mantenido eficazmente.

Se debe:
c. Planificar, establecer, implementar y mantener uno o varios programas de auditora que
tenga: frecuencia, mtodos, responsabilidades, recursos de planificacin, y la elaboracin
de informes. El programa debe tener en cuenta la importancia de los procesos y los
resultados de las auditoras anteriores.
d. Definir criterios y alcance.
rea de Formacin 7 de 19
Esta no es la Norma Original, es una Interpretacin de SGS Colombia S.A., Divisin S&SC
 VISIN GENERAL ISO 27001:2013

e. Seleccionar los auditores

f. Asegurarse de que los resultados de las auditoras se informan a la direccin pertinente
g. Conservar informacin documentada de la implementacin del Programa de Auditora y
de los resultados de sta.
9.3. REVISIN POR LA DIRECCIN.

Se debe revisar el SGSI a intervalos planificados para asegurarse de su conveniencia,

adecuacin y eficacia continuas.

La revisin por la direccin debe incluir:

a. Estado de las acciones de las revisiones anteriores.
b. Cambios en los aspectos externos e internos que afecten el SGSI
c. Retroalimentacin del desempeo del SGSI, incluidas las tendencias a:
1. No Conformidades y Acciones Correctivas.
2. Seguimiento y resultados de las mediciones.
3. Resultados de la auditora.
4. Cumplimiento de los objetivos del SGSI
d. Retroalimentacin de las partes interesadas.
e. Resultados de la evaluacin de riesgos y estado del plan de tratamiento.
f. Oportunidades de mejora.

La salida de la revisin por la direccin deben incluir las decisiones relacionadas con las
oportunidades de mejora y cualquier necesidad de cambio.

Se debe conservar informacin documentada como evidencia de los resultados de las

revisiones por la direccin.

10. MEJORA
10.1. NO CONFORMIDADES Y ACCIONES CORRECTIVAS.

Cuando se tenga una No Conformidad, se debe:

a. Reaccionar ante la No Conformidad, segn aplique:
1. Tomar acciones para controlarla y corregirla.
2. Hacer frente a las consecuencias
b. Evaluar la necesidad de acciones para eliminar las causas, con el fin de que no vuelvan a
ocurrir las No Conformidades, mediante:
1. Revisin de la No Conformidad.
2. Determinar las causas.
3. Determinar si existen No Conformidades similares o que potencialmente podran
ocurrir.
c. Implementar acciones
d. Revisar la eficacia de las acciones tomadas.
e. Hacer cambios al SGSI cuando sea necesario.

Las acciones deben ser apropiadas a los efectos de las No Conformidades.

Se debe conservar informacin como evidencia de:

rea de Formacin 8 de 19
Esta no es la Norma Original, es una Interpretacin de SGS Colombia S.A., Divisin S&SC
 VISIN GENERAL ISO 27001:2013

f. La naturaleza de la No Conformidad y cualquier accin tomada

g. Los resultados de las acciones.

10.2. MEJORA CONTINUA.

Se debe mejorar continuamente la idoneidad, adecuacin y eficacia del SGSI.

rea de Formacin 9 de 19
Esta no es la Norma Original, es una Interpretacin de SGS Colombia S.A., Divisin S&SC
 VISIN GENERAL ISO 27001:2013

ANEXO A.
OBJETIVOS DE CONTROL Y CONTROLES.

A.5. POLTICA DE LA SEGURIDAD DE LA INFORMACIN.

A.5.1. Orientacin de la Direccin para la Gestin de la Seguridad de la Informacin.
Objetivo. Brindar orientacin y soporte, por parte de la direccin, de acuerdo con los requisitos
del negocio y con las leyes y reglamentos pertinentes.
A.5.1.1. Polticas para la Seguridad de la Informacin. Se debe definir un conjunto de polticas
para la seguridad de la informacin, aprobada por la Direccin, publicada y comunicada a los
empleados y partes interesadas.
A.5.1.2. Revisin de las Polticas para seguridad de la informacin. Las Polticas para Seguridad de
la Informacin se deben revisar a intervalos planificados o si ocurren cambios significativos, para
asegurar su idoneidad, adecuacin y eficacia continas.
A.6. ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN.
A.6.1. Organizacin Interna.
Objetivo. Establecer un marco de referencia de gestin para iniciar y controlar la
implementacin y operacin del SGSI.
A.6.1.1. Seguridad de la Informacin Roles y Responsabilidades. Se deben definir y asignar todas
las responsabilidades de la seguridad de la informacin.
A.6.1.2. Separacin de deberes. Las tareas y reas de responsabilidad en conflicto se deben
separar para reducir las posibilidades de modificacin no autorizada o no intencional o el uso
indebido de los activos de la organizacin.
A.6.1.3. Contacto con las autoridades. Se debe mantener contactos apropiados con las
autoridades pertinentes.
A.6.1.4. Contacto con grupos de inters especial. Se deben mantener controles apropiados con
grupos de inters especial u otros foros y asociaciones profesionales especializadas en seguridad.
A.6.1.5. Seguridad de la informacin en Gestin de Proyectos. La seguridad de la informacin se
debe tratar en la gestin de proyectos, independiente del tipo de proyecto,
A.6.2. Dispositivos Mviles y Teletrabajo.
Objetivo. Garantizar la seguridad del teletrabajo y el uso de dispositivos mviles.
A.6.2.1. Poltica para dispositivos mviles. Se deben adoptar una poltica y unas medidas de
seguridad de soporte, para gestionar los riesgos introducidos por el uso de dispositivos mviles.
A.6.2.2. Teletrabajo. Se deben implementar una poltica y medidas de seguridad de soporte para
proteger la informacin a la que se tiene acceso, que es procesada o almacenada en los lugares en
los que se realiza teletrabajo.
A.7. SEGURIDAD DE LOS RECURSOS HUMANOS.
A.7.1. Antes de asumir el empleo.
Objetivo. Asegurar que los empleados y contratistas comprenden sus responsabilidades y son
idneos en los roles para los que se consideran.
A.7.1.1. Seleccin. Las verificaciones de los antecedentes de todos los candidatos a un empleo se
deben llevar a cabo de acuerdo con las leyes, reglamentos y tica pertinentes, y deben ser
proporcionales a los requisitos de negocio, a la clasificacin de la informacin a que se va a tener
acceso, y a los riesgos percibidos.
A.7.1.2. Trminos y condiciones del empleo. Los acuerdos contractuales con empleados y
contratistas deben establecer sus responsabilidades y las de la organizacin en cuanto a seguridad
de la informacin.
A.7.2. Durante la ejecucin del empleo.
rea de Formacin 10 de 19
Esta no es la Norma Original, es una Interpretacin de SGS Colombia S.A., Divisin S&SC
 VISIN GENERAL ISO 27001:2013

Objetivo. Asegurarse que los empleados y contratistas tomen conciencia de sus

responsabilidades de seguridad de la informacin y las cumplan.
A.7.2.1. Responsabilidades de la Direccin. La direccin debe exigir a todos los empleados y
contratistas la aplicacin de la seguridad de la informacin de acuerdo con las polticas y
procedimientos establecidos de la organizacin.
A.7.2.2. Toma de conciencia, educacin y formacin de la Seguridad de la Informacin. Todos los
empleados de la organizacin y donde sea pertinente, los contratistas deben recibir educacin y
la formacin en toma de conciencia apropiada, y actualizaciones regulares sobre las polticas y
procedimientos pertinentes para su cargo.
A.7.2.3. Proceso disciplinario. Se debe contar con un proceso formal y comunicado para
emprender acciones contra empleados que hayan cometido una violacin a la seguridad de la
informacin.
A.7.3. Terminacin y cambio de empleo.
Objetivo. Proteger los intereses de la organizacin como parte del proceso de cambio o
terminacin del empleo.
A.7.3.1. Terminacin o cambio de responsabilidades de empleo. Las responsabilidades y los
deberes de seguridad de la informacin que permanecen vlidos despus de la terminacin o
cambio de empleo se deben definir, comunicar al empleado o contratista y se deben hacer
cumplir.
A.8. GESTIN DE ACTIVOS.
A.8.1. Responsabilidad por los Activos.
Objetivo. Identificar los activos organizacionales y definir las responsabilidades de proteccin
apropiada.
A.8.1.1. Inventario de Activos. Se deben identificar los activos asociados con informacin e
instalaciones de procesamiento de informacin, y se debe elaborar y mantener un inventario de
estos activos.
A.8.1.2. Propiedad de los activos. Los activos mantenidos en el inventario deben ser propios.
A.8.1.3. Uso Aceptable de los Activos. Se deben identificar, documentar e implementar reglas
para el uso aceptable de informacin y de activos asociados con informacin e instalaciones de
procesamiento de informacin.
A.8.1.4. Devolucin de Activos. Todos los empleados y usuarios de partes externas deben
devolver todos los activos de la organizacin que se encuentren a su cargo, al terminar su empleo,
contrato o acuerdo.
A.8.2. Clasificacin de la Informacin.
Objetivo. Asegurar que la organizacin recibe un nivel apropiado de proteccin de acuerdo con
su importancia para la organizacin.
A.8.2.1. Clasificacin de la Informacin. La informacin se debe clasificar en funcin de los
requisitos legales, valor, criticidad y susceptibilidad a divulgacin o a modificacin no autorizada.
A.8.2.2. Etiquetado de la Informacin. Se debe desarrollar e implementar un conjunto apropiado
de procedimientos para el etiquetado de la informacin, de acuerdo con el esquema de
clasificacin de informacin adoptado por la organizacin.
A.8.2.3. Manejo de Activos. Se deben desarrollar e implementar procedimientos para el manejo
de activos, de acuerdo con el esquema de clasificacin de informacin adoptado por la
organizacin.
A.8.3. Manejo de medios de soporte.
Objetivo. Prevenir la divulgacin, la modificacin, el retiro o la destruccin de informacin
almacenada en medios de soporte.
rea de Formacin 11 de 19
Esta no es la Norma Original, es una Interpretacin de SGS Colombia S.A., Divisin S&SC
 VISIN GENERAL ISO 27001:2013

A.8.3.1. Gestin de medios de Soporte Removibles. Se deben implementar procedimientos para

la gestin de medios de soporte removibles, de acuerdo con el esquema de clasificacin adoptado
por la organizacin.
A.8.3.2. Disposicin de los medios de soporte. Se debe disponer en forma segura de los medios
de soporte cuando ya no se requieran, utilizando procedimientos formales.
A.8.3.3. Transferencia de medios de soporte fsicos. Los medios que contienen informacin se
deben proteger contra acceso no autorizado, uso indebido o corrupcin durante el transporte.
A.9. CONTROL DE ACCESO.
A.9.1. Requisitos del Negocio para Control de Acceso.
Objetivo. Limitar el acceso a informacin y a instalaciones de procesamiento de informacin.
A.9.1.1. Poltica de Control de Acceso. Se debe establecer, documentar y revisar una poltica de
control de acceso con base en los requisitos del negocio y de seguridad de la informacin.
A.9.1.2. Acceso a redes y a servicios en red. Solo se debe permitir acceso de los usuarios a la red y
a los servicios de red para los que hayan sido autorizados especficamente.
A.9.2. Gestin de Acceso de Usuarios.
Objetivo. Asegurar el acceso de los usuarios autorizados e impedir el acceso no autorizado a
sistemas y servicios.
A.9.2.1. Registro y cancelacin del registro de usuarios. Se debe implementar un proceso formal
de registro y de cancelacin del registro para posibilitar la asignacin de los derechos de acceso.
A.9.2.2. Suministro de acceso de usuarios. Se debe implementar un proceso de suministro de
acceso formal de usuarios para asignar o cancelar los derechos de acceso a todo tipo de usuarios
para todos los sistemas y servicios.
A.9.2.3. Gestin de derechos de acceso privilegiado. Se debe restringir y controlar la asignacin y
uso de derechos de acceso privilegiado.
A.9.2.4. Gestin de informacin de autenticacin secreta de usuarios. La asignacin de
informacin de autenticacin secreta se debe controlar por medio de un procedimiento de gestin
formal.
A.9.2.5. Revisin de los derechos de acceso de usuarios. Los dueos de los activos deben revisar
los derechos de acceso de los usuarios a intervalos regulares.
A.9.2.6. Cancelacin o ajuste de los derechos de acceso. Los derechos de acceso de todos los
empleados y de usuarios externos a la informacin y a las instalaciones de procedimiento de
informacin se deben cancelar al terminar su empleo, contrato o acuerdo, o se deben ajustar
cuando se hagan cambios.
A.9.3. Responsabilidades de los usuarios.
Objetivo. Hacer que los usuarios rindan cuentas por la custodia de su informacin de
autenticacin.
A.9.3.1.Uso de informacin secreta. Se debe exigir a los usuarios que cumplan las prcticas de la
organizacin para el uso de informacin de autenticacin secreta.
A.9.4. Control de Acceso a Sistemas y Aplicaciones.
Objetivo. Prevenir el uso no autorizado de sistemas y aplicaciones.
A.9.4.1. Restriccin de acceso a informacin. El acceso a la informacin y a las funciones de los
sistemas de las aplicaciones se debe restringir de acuerdo con la poltica de control de acceso.
A.9.4.2. Procedimiento de Conexin Segura. Cuando lo requiere la poltica de control de acceso,
el acceso a sistemas y aplicaciones se debe controlar mediante un proceso de conexin segura.
A.9.4.3. Sistema de Gestin de Contraseas.los sistemas de gestin de contraseas deben ser
interactivos y deben asegurar contraseas de calidad.

rea de Formacin 12 de 19
Esta no es la Norma Original, es una Interpretacin de SGS Colombia S.A., Divisin S&SC
 VISIN GENERAL ISO 27001:2013

A.9.4.4. Uso de programas utilitarios privilegiados. Se debe restringir y controlar estrechamente

el uso de programas utilitarios que podran tener capacidad de anular el sistema y los controles de
las aplicaciones.
A.9.4.5. Control de Acceso a Cdigos Fuente de Programas. Se debe restringir el acceso a cdigos
fuente de programas.
A.10. CRIPTOGRAFA
A.10.1. Controles Criptogrficos.
Objetivo. Asegurar el uso apropiado y eficaz de la criptografa para proteger la confiabilidad, la
autenticidad y/o la integridad de la informacin.
A.10.1.1. Poltica sobre el uso de controles Criptogrficos. Se debe desarrollar e implementar una
poltica sobre el uso de controles criptogrficos para proteccin de informacin.
A.10.1.2. Gestin de Claves. Se debe desarrollar e implementar una poltica sobre el uso,
proteccin y tiempo de vida de claves criptogrficas, durante todo su ciclo de vida.
A.11. SEGURIDAD FSICA Y AMBIENTAL.
A.11.1. reas Seguras.
Objetivo. Prevenir el acceso fsico no autorizado, el dao y la interferencia a la informacin y a
las instalaciones de procesamiento de informacin de la organizacin.
A.11.1.1. Permetro de Seguridad Fsica. Se deben definir y usar permetros de seguridad, y
usarlos para proteger reas que contengan informacin confidencial o crtica, e instalaciones de
manejo de informacin.
A.11.1.2. Controles Fsicos de entrada. Las reas seguras se deben proteger mediante controles
de entrada apropiados para asegurar que solamente se permite el acceso a personal autorizado.
A.11.1.3. Seguridad de oficinas, salones e instalaciones. Se debe disear y aplicar seguridad fsica
a oficinas, salones e instalaciones.
A.11.1.4. Proteccin contra amenazas externas y ambientales. Se debe disear y aplicar
proteccin fsica contra desastres naturales, ataques maliciosos o accidentes.
A.11.1.5. Trabajo en reas seguras. Se deben disear y aplicar procedimientos para trabajo en
reas seguras.
A.11.1.6. reas de despacho y carga. Se deben controlar los puntos de acceso tales como reas de
despacho y de carga y otros puntos en donde pueden entrar personas no autorizadas, y si es
posible, aislarlos de las instalaciones de procesamiento de informacin para evitar el acceso no
autorizado.
A.11.2. Equipos.
Objetivo. Prevenir la prdida, dao, robo o compromiso de activos, y la interrupcin de las
operaciones de la organizacin.
A.11.2.1. Ubicacin y proteccin de los equipos. Los equipos deben estar ubicados y protegidos
para reducir los riesgos de amenazas y peligros ambientales y las posibilidades de acceso no
autorizado.
A.11.2.2. Servicios Pblicos de soporte. Los equipos se deben proteger de fallas de potencia y
otras interrupciones causadas por fallas en los servicios pblicos de soporte.
A.11.2.3. Seguridad del cableado. El cableado de potencia y de telecomunicaciones que porta
datos o brinda soporte a los servicios de informacin se debe proteger contra interceptaciones,
interferencia o dao.
A.11.2.4. Mantenimiento de equipos. Los equipos se deben mantener correctamente para
asegurar su disponibilidad e integridad continuas.
A.11.2.5. Retiro de Activos. Los equipos, informacin o software no se deben retirar de su sitio sin
autorizacin previa.
rea de Formacin 13 de 19
Esta no es la Norma Original, es una Interpretacin de SGS Colombia S.A., Divisin S&SC
 VISIN GENERAL ISO 27001:2013

A.11.2.6. Seguridad de equipos y activos fuera del predio. Se deben aplicar medidas de seguridad
a los activos que se encuentran fuera de los predios de la organizacin, teniendo en cuenta los
diferentes riesgos de trabajar fuera de dichos predios.
A.11.2.7. Disposicin segura o reutilizacin de equipos. Se deben verificar todos los elementos de
equipos que contengan medios de almacenamiento para asegurar que cualquier dato confidencial
o software con licencia haya sido retirado o sobre escrito en forma segura antes de su disposicin
o rehso.
A.11.2.8. Equipos sin supervisin de los usuarios. Los usuarios deben asegurarse de que el equipo
sin supervisin tenga la proteccin apropiada.
A.11.2.9. Poltica de escritorio limpio y pantalla limpia. Se debe adoptar una poltica de escritorio
limpio para los papeles y medios de almacenamiento removibles, y una poltica de pantalla limpia
para las instalaciones de procesamiento de informacin.
A.12. SEGURIDAD DE LAS OPERACIONES.
A.12.1. Procedimientos operacionales y responsabilidades.
Objetivo. Asegurar las operaciones correctas y seguras de las instalaciones de procesamiento de
informacin.
A.12.1.1. Procedimientos de operacin documentadas. Los procedimientos operativos se deben
documentar y poner a disposicin de todos los usuarios que los necesitan.
A.12.1.2. Gestin de Cambios. Se deben controlar los cambios en la organizacin, en los procesos
de negocio, en las instalaciones y en los sistemas de procesamiento de informacin que afectan la
seguridad de la informacin.
A.12.1.3. Gestin de Capacidad. Se debe hacer seguimiento al uso de recursos, hacer los ajustes, y
hacer proyecciones de los requisitos de capacidad futura, para asegurar el desempeo requerido
del sistema.
A.12.1.4. Separacin de los ambientes de desarrollo, ensayo y operacin. Se deben separar los
ambientes de desarrollo, ensayo y operativos, para reducir los riesgos de acceso o cambios no
autorizados al ambiente operacional.
A.12.2. Proteccin contra cdigos maliciosos.
Objetivo. Asegurarse de que la informacin y las instalaciones de procesamiento de informacin
estn protegidas contra cdigos maliciosos.
A.12.2.1. Controles contra cdigos maliciosos. Se deben implementar controles de deteccin, de
prevencin y de recuperacin, combinarlos con la toma de conciencia apropiada de los usuarios,
para proteger contra cdigos maliciosos.
A.12.3. Copias de Respaldo.
Objetivo. Proteger contra la prdida de datos.
A.12.3.1. Copias de respaldo de la informacin. Se deben hacer copias de respaldo de la
informacin, software e imgenes de los sistemas y ponerlas a prueba regularmente de acuerdo
con una poltica de copias de respaldo acordadas.
A.12.4. Registro y Seguimiento.
Objetivo. Registrar eventos y generar evidencia.
A.12.4.1. Registro de eventos. Se deben elaborar, conservar y revisar regularmente los registros
de eventos acerca de actividades del usuario, excepcionales, fallas y eventos de seguridad de la
informacin.
A.12.4.2. Proteccin de la informacin de registro. Las instalaciones y la informacin de registro
se deben proteger contra alteracin y acceso no autorizado.

rea de Formacin 14 de 19
Esta no es la Norma Original, es una Interpretacin de SGS Colombia S.A., Divisin S&SC
 VISIN GENERAL ISO 27001:2013

A.12.4.3. Registros del administrador y del operador. Las actividades del administrador y del
operador del sistema se deben registrar y los registros se deben proteger y revisar con
regularidad.
A.12.4.4. Sincronizacin de relojes. Los relojes de todos los sistemas de procesamiento de
informacin pertinentes dentro de una organizacin o mbito de seguridad se deben sincronizar
con una nica fuente de referencia de tiempo.
A.12.5. Control de Software Operacional.
Objetivo. Asegurarse de la integridad de los sistemas operacionales.
A.12.5.1. Instalacin de software en sistemas operativos. Se deben implementar procedimientos
para controlar la instalacin de software en sistemas operativos.
A.12.6. Gestin de vulnerabilidad tcnica.
Objetivo. Prevenir el aprovechamiento de las vulnerabilidades tcnicas.
A.12.6.1. Gestin de las vulnerabilidades tcnicas. Se debe obtener oportunamente informacin
acerca de las vulnerabilidades tcnicas de los sistemas de informacin que se usen; evaluar la
exposicin de la organizacin a estas vulnerabilidades, y tomar las medidas apropiadas para tratar
el riesgo asociado.
A.12.6.2. Restricciones sobre la instalacin de Software. Se debe establecer e implementar el
reglamento de instalacin de software por parte de los usuarios.
A.12.7. Consideraciones sobre auditoras de sistemas de informacin.
Objetivo. Minimizar el impacto de las actividades de auditora sobre los sistemas operativos.
A.12.7.1. Controles sobre auditoras de Sistemas de Informacin. Los requisitos y actividades de auditora
que involucran la verificacin de los sistemas operativos se deben planificar y acordar cuidadosamente para
minimizar las interrupciones en los procesos del negocio.
A.13. SEGURIDAD DE LAS COMUNICACIONES.
A.13.1. Gestin de Seguridad de Redes.
Objetivo. Asegurar la proteccin de la informacin en las redes, y sus instalaciones de procesamiento de
informacin de soporte.
A.13.1.1. Controles de redes. Las redes se deben gestionar y controlar para proteger la informacin en
sistemas y aplicaciones.
A.13.1.2. Seguridad de los servicios de red. Se deben identificar los mecanismos de seguridad y los niveles
de servicio y los requisitos de gestin de todos los servicios de red, e incluirlos en los acuerdos de servicios
de red, e incluirlos en los acuerdos de servicio de red, ya sea que los servicios se presten internamente o se
contraten externamente.
A.13.1.3. Separacin en las redes. Los grupos de servicios de informacin, usuarios y sistemas de
informacin se deben separar en las redes.
A.13.2. Transferencia de informacin.
Objetivo. Mantener la seguridad de la informacin transferida dentro de una organizacin y con cualquier
entidad externa.
A.13.2.1. Polticas y procedimientos de transferencia de informacin. Se debe contar con polticas,
procedimientos y controles de transferencia formales para proteger la transferencia de informacin,
mediante el uso de todo tipo de instalaciones de comunicaciones.
A.13.2.2. Acuerdos sobre transferencia de informacin. Los acuerdos deben tratar la transferencia segura
de informacin del negocio entre la organizacin y las partes externas.
A.13.2.3. Mensajes electrnicos. Se debe proteger apropiadamente la informacin incluida en los mensajes
electrnicos.
A.13.2.4. Acuerdos de confidencialidad o de no divulgacin. Se deben identificar, revisar regularmente y
documentar los requisitos para los acuerdos de confidencialidad o no divulgacin que reflejen las
necesidades de la organizacin para la proteccin de la informacin.
A.14. Adquisicin, desarrollo y mantenimiento de sistemas.
A.14.1. Requisitos de seguridad de los sistemas de informacin.
rea de Formacin 15 de 19
Esta no es la Norma Original, es una Interpretacin de SGS Colombia S.A., Divisin S&SC
 VISIN GENERAL ISO 27001:2013

Objetivo. Garantizar que la seguridad de la informacin sea una parte integral de los sistemas de
informacin durante todo el ciclo de vida. Esto incluye los requisitos para sistemas de informacin que
prestan servicios sobre redes pblicas.
A.14.1.1. Anlisis y especificacin de requisitos de seguridad de la informacin. Los requisitos relacionados
con seguridad de la informacin se deben incluir en los requisitos para nuevos sistemas de informacin o
para mejoras a los sistemas de informacin existentes.
A.14.1.2. Seguridad de servicios de las aplicaciones en redes pblicas. La informacin involucrada en
servicios de aplicaciones que pasan sobre redes pblicas se debe proteger de actividades fraudulentas,
disputas contractuales y divulgacin y modificacin no autorizadas.
A.14.1.3. Proteccin de transacciones de servicios de aplicaciones. La informacin involucrada en las
transacciones de servicios de aplicaciones se debe proteger para prevenir la transmisin incompleta, el
enrutamiento errado, la alteracin no autorizada de mensajes. La divulgacin no autorizada y la duplicacin
o reproduccin de mensajes no autorizados.
A.14.2. Seguridad en los procesos de desarrollo y de soporte.
Objetivo. Asegurar que la seguridad de la informacin est diseada e implementada dentro del ciclo de
vida de desarrollo de los sistemas de informacin.
A.14.2.1. Poltica de desarrollo seguro. Se deben establecer y aplicar reglas para el desarrollo de software y
de sistemas a los desarrollos dentro de la organizacin.
A.14.2.2. Procedimiento de control de cambios en sistemas. Los cambios a los sistemas dentro del ciclo de
vida de desarrollo de software y de sistemas a los desarrollos dentro de la organizacin.
A.14.2.3. Revisin tcnica de aplicaciones despus de cambios en la plataforma de operaciones. Cuando se
cambian las plataformas de operacin, se deben revisar las aplicaciones crticas del negocio, y poner a
prueba para asegurar que no haya impacto adverso en las operaciones o seguridad organizacionales.
A.14.2.4. Restricciones sobre los cambios de paquetes de software. Se deben desalentar las modificaciones
a los paquetes de software, que se deben limitar a los cambios necesarios, y todos los cambios se deben
controlar estrictamente.
A.14.2.5. Principios de construccin de sistemas de seguros. Se deben establecer, documentar y mantener
principios para la organizacin de sistemas seguros, y aplicarlos a cualquier trabajo de implementacin de
sistemas de informacin.
A.14.2.6. Ambiente de desarrollo seguro. Las organizaciones deben establecer y proteger adecuadamente
los ambientes de desarrollo seguros para las tareas de desarrollo e integracin de sistemas que comprendan
todo el ciclo de vida de desarrollo de sistemas.
A.14.2.7. Desarrollo contratado externamente. La organizacin debe supervisar y hacer seguimiento de la
actividad de desarrollo de sistemas subcontratados.
A.14.2.8. Pruebas de seguridad de sistemas. Durante el desarrollo se deben llevar a cabo ensayos de
funcionalidad de la seguridad.
A.14.2.9. Pruebas de aceptacin de sistemas. Para los sistemas de informacin nuevos, actualizaciones y
nuevas versiones se deben establecer programas de ensayo y criterios relacionados.
A.14.3. Datos de ensayo.
Objetivo. Asegurar la proteccin de los datos usados para ensayos.
A.14.3.1. Proteccin de datos de ensayo. Los datos de ensayo se deben seleccionar, proteger y
controlar cuidadosamente.
A.15. RELACIONES CON LOS PROVEEDORES.
A.15.1. Seguridad de la informacin en las relaciones con los proveedores.
Objetivo. Asegurar la proteccin de los activos de la organizacin que sean accesibles a los
proveedores.
A.15.1.1. Poltica de seguridad de la informacin para las relaciones con proveedores. Los
requisitos de seguridad de la informacin para mitigar los riesgos asociados con el acceso de
proveedores a los activos de la organizacin se deben acordar con estos y se deben documentar.

rea de Formacin 16 de 19
Esta no es la Norma Original, es una Interpretacin de SGS Colombia S.A., Divisin S&SC
 VISIN GENERAL ISO 27001:2013

A.15.1.2. Tratamiento de la seguridad dentro de los acuerdos con proveedores. Se deben

establecer y acordar todos los requisitos de seguridad de la informacin pertinentes con cada
proveedor que puedan tener acceso, procesar, almacenar, comunicar o suministrar componentes
de infraestructura de TI para la informacin de la organizacin.
A.15.1.3. Cadena de suministro de tecnologa de informacin y comunicacin. Los acuerdos con
proveedores deben incluir requisitos para tratar los riesgos de seguridad de la informacin
asociados con la cadena de suministro de productos y servicios de tecnologa de informacin y
comunicacin.
A.15.2. Gestin de la prestacin de servicios de proveedores.
Objetivo. Mantener el nivel acordado de seguridad de la informacin y de prestacin del servicio
en lnea con los acuerdos con los proveedores.
A.15.2.1. Seguimiento y revisin de los servicios de los proveedores. Las organizaciones deben
hacer seguimiento, revisar y auditar con regularidad la prestacin de servicios de los proveedores.
A.15.2.2. Gestin de cambios a los servicios de los proveedores. Se deben gestionar los cambios
en el suministro de servicios por parte de los proveedores, incluido el mantenimiento y la mejora
de las polticas, procedimientos y controles de seguridad de la informacin existentes, teniendo en
cuenta la criticidad de la informacin, sistemas y procesos del negocio involucrados y la
reevaluacin de los riesgos.
A.16. GESTIN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIN.
A.16.1. Gestin de incidentes y mejoras en la seguridad de la informacin.
Objetivo. Asegurar un enfoque coherente y eficaz para la gestin de incidentes de seguridad de
la informacin, incluida la comunicacin sobre eventos de seguridad y debilidad.
A.16.1.1. Responsabilidades y procedimientos. Se deben establecer las responsabilidades y
procedimientos de gestin para asegurar una respuesta rpida, eficaz y ordenada a los incidentes
de seguridad de la informacin.
A.16.1.2. Informe de eventos de seguridad de la informacin. Los eventos de seguridad de la
informacin se deben informar a travs de los canales de gestin apropiados tan pronto como sea
posible.
A.16.1.3. Informe de debilidades de seguridad de la informacin. Se debe exigir a todos los
empleados y contratistas que usan los servicios y sistemas de informacin de la organizacin, que
se observen e informen cualquier debilidad de seguridad de la informacin observada o
sospechada en los sistemas o servicios.
A.16.1.4. Evaluacin de eventos de seguridad de la informacin y decisiones sobre ellos. Los
eventos de seguridad de la informacin se deben evaluar y se debe decidir si se van a clasificar
como incidentes de seguridad de la informacin.
A.16.1.5. Respuesta a incidentes de seguridad de la informacin. Se debe dar respuesta a los
incidentes de seguridad de la informacin de acuerdo con procedimientos documentados.
A.16.1.6. Aprendizaje obtenido de los incidentes de seguridad de la informacin. El conocimiento
adquirido al analizar y resolver incidentes de seguridad de la informacin se debe usar para
reducir la posibilidad o el impacto de incidentes futuros.
A.16.1.7. Recoleccin de evidencia. La organizacin debe definir y aplicar procedimientos para la
identificacin, recoleccin, adquisicin y preservacin de informacin que pueda servir como
evidencia.

rea de Formacin 17 de 19
Esta no es la Norma Original, es una Interpretacin de SGS Colombia S.A., Divisin S&SC
 VISIN GENERAL ISO 27001:2013

A.17. ASPECTOS DE SEGURIDAD DE LA INFORMACIN DE LA GESTIN DE LA CONTINUIDAD DE

NEGOCIO.
A.17.1. Continuidad de seguridad de la informacin
Objetivo. La continuidad de seguridad de la informacin se debe incluir en los sistemas de
gestin de la continuidad de negocio de la organizacin.
A.17.1.1. Planificacin de la continuidad de la seguridad de la informacin. La organizacin debe
determinar sus requisitos para la seguridad de la informacin y la continuidad de la gestin de
seguridad de la informacin en situaciones adversas, por ejemplo, durante una crisis o desastres.
A.17.1.2. Implementacin de la continuidad de la seguridad de la informacin. La organizacin
debe establecer, documentar, implementar y mantener procesos, procedimientos y controles para
asegurar el nivel de continuidad requerido para la seguridad de la informacin durante una
situacin adversa.
A.17.1.3. Verificacin, revisin y evaluacin de la continuidad de la seguridad de la informacin.
La organizacin debe verificar a intervalos regulares los controles de continuidad de la seguridad
de la informacin implementados con el fin de asegurar que los vlidos y eficaces durante
situaciones adversas.
A.17.2. Redundancia
Objetivo. Asegurarse de la disponibilidad de instalaciones de procesamiento de informacin.
A.17.2.1. Disponibilidad de instalaciones de procesamiento de informacin. Las instalaciones de
procesamiento de informacin se deben implementar con redundancia suficiente para cumplir los
requisitos de disponibilidad.
A.18. CUMPLIMIENTO.
A.18.1. Cumplimiento de requisitos legales y contractuales.
Objetivo. Evitar violaciones de las obligaciones legales, estatutarias, de reglamentacin o
contractuales relacionadas con seguridad de la informacin y de cualquier requisito de
seguridad.
A.18.1.1. Identificacin de los requisitos de legislacin y contractuales aplicables. Se deben
identificar, documentar y mantener actualizados explcitamente todos los requisitos legislativos
estatutarios, de reglamentacin y contractuales pertinentes, y el enfoque de la organizacin para
cada sistema de informacin y para la organizacin.
A.18.1.2. Derechos de Propiedad Intelectual. Se deben implementar procedimientos apropiados
para asegurar el cumplimiento de los requisitos legislativos, de reglamentacin y contractuales
relacionados con los derechos de propiedad intelectual y el uso de productos de software
licenciados.
A.18.1.3. Proteccin de registros. Los registros se deben proteger contra prdida, destruccin,
falsificacin, acceso no autorizado y liberacin no autorizada, de acuerdo con los requisitos
legislativos, de reglamentacin, contractuales y de negocio.
A.18.1.4. Privacidad y proteccin de la informacin identificable personalmente. Se deben
asegurar la privacidad y la proteccin de la informacin identificable personalmente, como se
exige en la legislacin y la reglamentacin pertinentes, cuando sea aplicable.
A.18.1.5. Reglamentacin de Controles Criptogrficos. Se deben usar controles criptogrficos, en
cumplimiento de todos los acuerdos
A.18.2. Revisiones de seguridad de la informacin
Objetivo. Asegurar que la seguridad de la informacin se implemente y opere de acuerdo con las
polticas y procedimiento organizacionales.
A.18.2.1. Revisin independiente de la seguridad de la informacin. El enfoque de la organizacin
para la gestin de la seguridad de la informacin y su implementacin (es decir, los objetivos de
rea de Formacin 18 de 19
Esta no es la Norma Original, es una Interpretacin de SGS Colombia S.A., Divisin S&SC
 VISIN GENERAL ISO 27001:2013

control, los controles, la polticas, los procesos y los procedimientos para seguridad de la
informacin se deben revisar independientemente a intervalos planificados o cuando ocurran
cambios significativos.
A.18.2.2. Cumplimiento con las polticas y normas de seguridad. Los directores deben revisar con
regularidad el cumplimiento del procesamiento y procedimientos de informacin dentro de su
rea de responsabilidad, con las polticas y normas de seguridad apropiadas y cualquier otro
requisito de seguridad.
A.18.2.3. Revisin del Cumplimiento Tcnico. Los Sistemas de informacin se deben revisar con
regularidad para determinar el cumplimiento con las polticas y normas de seguridad de la
informacin.

rea de Formacin 19 de 19
Esta no es la Norma Original, es una Interpretacin de SGS Colombia S.A., Divisin S&SC