Introducción

0,1 General

Esta norma internacional se ha preparado para proporcionar requisitos para establecer, aplicar,
mantener y mejorar continuamente un sistema de gestión de la seguridad de la información. La
adopción de un el sistema de gestión de la seguridad de la información es una decisión estratégica
para una organización. El establecimiento y la implementación del sistema de gestión de seguridad
de la información de una organización está influenciado necesidades y objetivos de la
organización, los requisitos de seguridad, los procesos organizacionales utilizados y la tamaño y
estructura de la organización. Se espera que todos estos factores influyentes cambien con el
tiempo.

El sistema de gestión de la seguridad de la información preserva la confidencialidad, integridad y

disponibilidad de la información aplicando un proceso de gestión de riesgos y da confianza a las
partes interesadas que los riesgos se gestionan adecuadamente.

Es importante que el sistema de gestión de la seguridad de la información forme parte e integre

procesos de la organización y la estructura general de gestión y que la seguridad de la información
se considera en el diseño de procesos, sistemas de información y controles. Se espera que una
seguridad de la información la implementación del sistema de gestión se escalará de acuerdo con
las necesidades de la organización.

Esta norma internacional puede ser utilizada por partes internas y externas para evaluar la
capacidad para cumplir con los requerimientos de seguridad de la información de la organización.
El orden en que se presentan los requisitos en esta norma internacional no refleja su importancia
o implicar el orden en que se van a implementar. Los elementos de lista se enumeran para
propósito de referencia solamente.

ISO/IEC 27000 describe la descripción y el vocabulario de la administración de seguridad de la

información, que hace referencia a la familia de normas del sistema de gestión de la seguridad de
la información (incluyendo

ISO/IEC 27003 [2], ISO/IEC 27004 [3] e ISO/IEC 27005 [4]), con términos y definiciones
relacionados.

0.2 Compatibilidad con otras normas del sistema de gestión

Este estándar internacional aplica la estructura de alto nivel, títulos idénticos de la subcláusula,
texto idéntico, términos comunes, y definiciones básicas definidas en el anexo SL de las directivas
ISO/IEC, parte 1, ISO consolidada y por lo tanto, mantiene la compatibilidad con otras normas del
sistema de gestión que aprobó el anexo SL.

Este enfoque común definido en el anexo SL será útil para aquellas organizaciones que decidan
operar un único sistema de gestión que cumple con los requisitos de dos o más normas del
sistema de gestión.
Tecnología de la información: técnicas de seguridad
Sistemas de gestión de seguridad de la información: requisitos
1 Alcance
Esta norma internacional especifica los requisitos para establecer, implementar, mantener y
mejorar continuamente un sistema de gestión de la seguridad de la información en el contexto de
la organización. Esta norma internacional también incluye los requisitos para la evaluación y el
tratamiento de los riesgos de seguridad de la información adaptados a las necesidades de la
organización. Los requisitos establecidos en este Normas internacionales son genéricos y están
destinadas a ser aplicables a todas las organizaciones, independientemente de tipo, tamaño o
naturaleza. Excluyendo cualquiera de los requisitos especificados en las cláusulas 4 a 10 no es
aceptable cuando una organización reclama conformidad con esta norma internacional.

2 Referencias normativas
Los siguientes documentos, en su totalidad o en parte, son referenciados normativamente en este
documento y son indispensable para su aplicación. Para las referencias anticuadas, sólo se aplica la
edición citada. Para no fechado se aplican las referencias, la última edición del documento al que
se hace referencia (incluidas las enmiendas).

ISO/IEC 27000, tecnología de la información — técnicas de seguridad — administración de la

seguridad de la información

sistemas — visión general y vocabulario

3 términos y definiciones

A los efectos del presente documento, se aplican los términos y definiciones indicados en la norma
ISO/IEC 27000.

4 contexto de la organización
4,1 entender la organización y su contexto

La organización determinará cuestiones externas e internas que sean pertinentes a su propósito y

que afectar su capacidad de alcanzar los resultados previstos de su sistema de gestión de la
seguridad de la información.

Nota la determinación de estas cuestiones se refiere al establecimiento del contexto externo e

interno de la organización

considerado en la cláusula 5,3 de la ISO 31000:2009 [5].

4,2 entender las necesidades y expectativas de las partes interesadas

La organización determinará:

a las partes interesadas que sean pertinentes para el sistema de gestión de la seguridad de la
información; Y
b) los requisitos de estas partes interesadas en materia de seguridad de la información.

Nota los requisitos de las partes interesadas pueden incluir requisitos legales y reglamentarios y

obligaciones contractuales.

4,3 determinación del alcance del sistema de gestión de la seguridad de la información

La organización determinará los límites y aplicabilidad de la seguridad de la información sistema

de gestión para establecer su alcance.