You are on page 1of 46

NORMA TCNICA COLOMBIANA

NTC-ISO/IEC 27001
2006-03-22

TECNOLOGfA ~E LA INFORMACiN. TCNICAS /DE DE SEGURIDAD. SISTEMAS LA SEGURIDAD DE GESTiN INFORMACIN (SGSI). REQUISITOS

DE LA

E:

INFORMATION TECHNOLOGY. SECURITY TECHNIQUES. INFORMATION SECURITY MANAGEMENT SYSTEMS. REQUIREMENTS

ICONTEC

CORRESPONDENCIA:

esta norma es una adopcin idntica (IDT) por traduccin, respecto a su documento de referencia, la norma ISO/lEC 27001. sistemas de gestin - seguridad de la informacin; seguridad de la informacin - requisitos.

DESCRI PTORES:

I.C.S.: 35.040.00
Editada por el Instituto Colombiano de Normas Tcnicas y Certificacin (ICON.TEC) Apartado 14237 Bogot, D.C. Te!. 6078888 Fax 2221435

Prohibida su reproduccin

Editada 2006-04-03

NORMA TCNICA COLOMBIANA

NTC-ISO/IEC 27001
2006-03-22

TECNOLOGfA DE LA INFORMACION. T~CNICAS DE SEGURIDAD. SISTEMAS GESTION DE LA SEGURIDAD' DE INFORMACION (SGSI). REQUISITOS

DE LA

E:

INFORMATION TECHNOLOGY. SECURITY TECHNIQUES. INFORMATION SECURITY MANAGEMENT SYSTEMS. REQUIREMENTS

CORRESPONDENCIA:

esta norma es una adopcin idntica (IDT) por traduccin, respecto a su documento de referencia, la norma
ISO/lEC 27001.

DESCRIPTORES:

sistemas de gestin - seguridad de la informacin; seguridad de la informacin - requisitos.

LC.S.: 35.040.00
Editada por el Instituto Colombiano de Normas Tcnicas y Certificacin (ICONTEC) Apartado 14237 Bogot, D.C. Te!. 6078888 Fax 2221435

Prohibida su reproduccin

Editada 2006-04-03

El Instituto Colombiano de Normas Tcnicas y Certificacin. nacional de normalizacin, segn el Decreto 2269 de 1993.

ICONTEC,

es el organismo

ICONTEC es una entidad de carcter privado. sin nimo de lucro. cuya Misin es fundamental para brindar soporte y desarrollo al productor y proteccin al consumidor. Colabora con el sector gubernamental y apoya al sector privado del pafs. para lograr ventajas competitivas en los mercados interno y externo. La representacin de todos los sectores involucrados en el proceso de Normalizacin Tcnica est garantizada por los Comits Tcnicos y el perrodo de Consulta Pblica. este ltimo caracterizado por la participacin del pblico en general. La NTC-ISO/IEC 27001 fue ratificada por el Consejo Directivo del 2006-03-22. Esta norma est sujeta a ser actualizada permanentemente todo momento a las necesidades y exigencias actuales. con el objeto de que responda en

A continuacin se relacionan las empresas que colaboraron en el estudio de esta norma a travs de su participacin en el Comit Tcnico 181 Tcnicas de seguridad de la informacin. AV VILLAS ASOCIACION BANCARIA DE COLOMBIA BANCO CAJA SOCIAL! COLMENA BCSC BANCO GRANAHORRAR BANCO DE LA REPBLICA BANISTMO COLSUBSIDIO D.S. SISTEMAS LTOA. ETB S.A. ESP Adems de las anteriores, siguientes empresas: FLUIDSIGNAL GROUP S.A. IQ CONSULTORES 10 OUTSOURCING S.A. MEGABANCO NEW NET S.A. SOCIEDAD COLOMBIANA DE ARCHIVfSTAS UNIVERSIDAD NACIONAL DE COLOMBIA

en Consulta Pblica el Proyecto se puso a consideracin

de las

ABN AMRO BANK AGENDA DE CONECTIVIDAD AGP COLOMBIA ALPINA S.A. ASESORfAS EN SISTEMA TIZACION DE DATOS S.A. ASOCIACION LATINOAMERICANA DE PROFESIONALES DE SEGURIDAD INFORMATICA COLOMBIA ATH BANCAF~ BANCO AGRARIO DE COLOMBIA BANCO COLPATRIA RED MULTIBANCA COLPATRIA

BANCO DAVIVIENDA BANCO DE BOGOT A BANCO DE COLOMBIA BANCO DE CR~DITO BANCO DE CR~DITO HELM FINANCIAL SERVICES BANCO DE OCCIDENTE BANCO MERCANTIL DE COLOMBIA BANCO POPULAR BANCO SANTANDER COLOMBIA BANCO STANDARD CHARTERED COLOMBIA BANCO SUDAMERIS COLOMBIA BANCO SUPERIOR BANCO TEQUENDAMA

BANCO UNION COLOMBIANO BANK BOSTON BANK OF AMERICA COLOMBIA BBVA BANCO GANADERO BFR S.A. CENTRO DE APOYO A LA TECNOLOGIA INFORMATICA -CATICITIBANK COINFIN LTDA. COLGRABAR LTDA. COMPAIA AGRfCOLA DE SEGUROS DE VIDA CONSTRUYECOOP CORPORACION FINANCIERA COLOMBIANA CORPORACION FINANCIERA CORFINSURA CORPORACION FINANCIERA DEL VALLE CREDIBANCO VISA CYBERIA S.A. ESCUELA DE ADMINISTRACION DE NEGOCIOS -EANFEDERACION COLOMBIANA DE LA INDUSTRIA DEL SOFTWARE - FEDESOFT-

DEFENSORIA DEL CLIENTE FINANCIERO FINAM~RICA S. A. FUNDACION SOCIAL INCOCR~DITO INDUSTRIAS ALIADAS S.A. INTERBANCO MINISTERIO DE COMERCIO, INDUSTRIA Y TURISMO MINISTERIO DE DEFENSA N.C.R. NEXOS SOFTWARE LTDA. REDEBAN MULTICOLOR SECRETARIA DE HACIENDA DISTRITAL SERVIBANCA SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO TMC & CIA UNIDADDE SERVICIOSTECNOLOGICOSLTDA. UNIVERSIDAD DE LOS ANDES UNIVERSIDAD JAVERIANA WORLDCAD LTDA.

I~NTEC cuenta con un Centro de Informacin que pone a disposicin de los interesados normas internacionales, regionales y nacionales y otros documentos relacionados.
DIRECCiN DE NORMALIZACiN

NORMA TCNICA COLOMBIANA

NTC-ISO/IEC 27001

"-

CONTENIDO

Pgina
O.

INTRODUCCiN GENERALIDADES ENFOQUE BASADO EN PROCESOS COMPATIBILIDAD CON OTROS SISTEMAS DE GESTION

0.1 0.2 0.3

I
1

111

1. 1.1 1.2

OBJETO GENERALIDADES APLiCACiN

1 1 1

2.

REFERENCIA NORMATIVA

3.
"--

TRMINOS Y DEFINICIONES

4. 4.1 4.2 4.3 5. 5.1 5.2 6.

SISTEMA DE GESTiN DE LA SEGURIDAD DE LA INFORMACION REQUISITOS GENERALES ESTABLECIMIENTO y GESTION DEL SGSI REQUISITOS DE DOCUMENTACiN RESPONSABILIDAD DE LA DIRECCION COMPROMISO DE LA DIRECCION GESTION DE RECURSOS AUDITORfAS INTERNAS DEL SGSI

4 4 4 9 10 10 11 12

NORMA TCNICA COLOMBIANA

NTC-ISO/IEC 27001

Pgina
7. 7.1 7.2 7.3 8. 8.1 8.2 8.3 REVISiN DEL SGSI POR LA DIRECCiN GENERALIDADES INFORMACiN PARA LA REVISiN RESULTADOS DE LA REVISiN MEJORA DEL SGSI MEJORA CONTINUA ACCiN CORRECTIVA ACCiN PREVENTIVA 12 12 12 13 13 13 14 14

ANEXO A OBJETIVOS DE CONTROL V CONTROLES ANEXO B PRINCIPIOS DE LA OCDE V DE ESTA NORMA ANEXO C CORRESPONDENCIA ENTRE LA NTC-ISO 9001:2000, LA NTC-ISO 14001:2004, V LA PRESENTE NORMA 33 15

34

NORMA TCNICA COLOMBIANA

NTC-ISO/IEC 27001

o.

INTRODUCCIN GENERALIDADES

0.1

Esta norma ha sido elaborada para brindar un modelo para el establecimiento, implementacin, operacin, seguimiento, revisin, mantenimiento y mejora de un sistema de gestin de la seguridad de la informacin (SGSI). La adopcin de un SGSI deberla ser una decisin estratgica para una organizacin. El diseo e implementacin del SGSI de una organizacin estn influenciados por las necesidades y objetivos, los requisitos de seguridad, los procesos empleados y el tamao y estructura de la organizacin. Se espera que estos aspectos y sus sistemas de apoyo cambien con el tiempo. Se espera que la implementacin de un SGSI se ajuste de acuerdo con las necesidades de la organizacin, por ejemplo, una situacin simple requiere una solucin de SGSI simple. Esta norma se puede usar para evaluar la conformidad, por las partes interesadas, tanto internas como externas.

0.2

ENFOQUE BASADO EN PROCESOS

Esta norma promueve la adopcin de un enfoque basado en procesos, para establecer, implementar, operar, hacer seguimiento, mantener y mejorar el SGSI de una organizacin. Para funcionar eficazmente, una organizacin debe identificar y gestionar muchas actividades. Se puede considerar como un proceso cualquier actividad que use recursos y cuya gestin permita la transformacin de entradas en salidas. Con frecuencia, el resultado de un proceso constituye directamente la entrada del proceso siguiente. La aplicacin de un sistema de procesos dentro de una organizacin, junto c~n la identificacin e interacciones entre estos procesos, y su gestin, se puede denominar como un "enfoque basado en procesos". El enfoque basado en procesos para la gestin de la seguridad de la informacin, presentado en esta norma, estimula a sus usuarios a hacer nfasis en la importancia de: a) comprender los requisitos de seguridad de la informacin del negocio, y la necesidad de establecer la polftica y objetivos en relacin con la seguridad de la informacin; implementar y operar controles para manejar los riesgos de seguridad de la informacin de una organizacin en el contexto de los riesgos globales del negocio de la organizacin; el seguimiento y revisin del desempeo y eficacia del SGSI. y la mejora continua basada en la medicin de objetivos.

b)

c) d)

NORMA TCNICA COLOMBIANA

NTC-ISO/IEC 27001

Esta norma adopta el modelo de procesos "Planificar-Hacer-Verificar-Actuar" (PHV A), que se aplica para estructurar todos los procesos del SGSI. La Figura 1 ilustra cmo el SGSI toma como elementos de entrada los requisitos de seguridad de la informacin y las expectativas de las partes interesadas, y a travs de las acciones y procesos necesarios produce resultados de seguridad de la informacin que cumplen estos requisitos y expectativas. La Figura 1 tambin ilustra los vfnculos en los procesos especificados en los numerales 4, 5, 6, 7 Y 8. La adopcin del modelo PHVA tambin reflejar los principios establecidos en las Directrices OCDE (2002)' que controlan la seguridad de sistemas y redes de informacin. Esta norma brinda un modelo robusto para implementar los principios en aquellas directrices que controlan la evaluacin de riesgos, diseo e implementacin de la seguridad, gestin y reevaluacin de la seguridad.
EJEMPLO 1 Un requisito podrfa ser que las violaciones a la seguridad de la informacin financiero severo a una organizacin, ni sean motivo de preocupacin para sta. no causen dao

EJEMPLO 2 Una expectativa podrfa ser que si ocurre un incidente serio, como por ejemplo el Hacking del sitio web de una organizacin, haya personas con capacitacin suficiente en los procedimientos apropiados, para minimizar el impacto.

/ I

~ -

____ car

II " I I \I ~ Actuar I interesadas Mantener " ---------- \I \ II el SGSI Establecer " mejorar Partes y operarI~ el SGSIel SGSI y Planificar I Implementar ~~~~ ~""" I
\ \

j? lJ

, ,,,

,,

/D

la informacin gestionada Seguridad de

Figura 1. Modelo PHV A aplicado a los procesos de SGSI

Directrices OCDE para la seguridad de sistemas y redes de informacin. Parls: OCDE, Julio de 2002. www.oecd.org.
11

Hacia una cultura de la seguridad.

NORMA TCNICA COLOMBIANA

NTC-ISO/lEC 27001

Planificar (establecer el SGSI)

Hacer (implementar

y operar el SGSI) y revisar el SGSI)

Verificar (hacer seguimiento

Actuar (mantener y mejorar el SGSI)

Establecer la polltica, los objetivos, procesos y procedimientos de seguridad pertinentes para gestionar el riesgo y mejorar la seguridad de la informacin, con el fin de entregar resultados acordes con las pollticas y Objetivos qlobales de una orqanizacin. Implementar y operar la polftica, los controles, procesos y procedimientos del SGSI. Evaluar, y, en donde sea aplicable, medir el desempeo del proceso contra la polftica y los objetivos de seguridad y la experiencia prctica, y reportar los resultados a la direccin, para su revisin. Emprender acciones correctivas y preventivas con base en los resultados de la auditorfa interna del SGSI y la revisin por la direccin, para lograr la mejora continua del SGSI.

0.3

COMPATIBILIDAD CON OTROS SISTEMAS DE GESTiN


con la NTC-ISO 9001 :2000 y la NTC-ISO 14001 :2004, con el fin de y operacin, consistentes e integradas con sistemas de gestin de gestin diseado adecuadamente puede entonces satisfacer los normas. La Tabla C.1 ilustra la relacin entre los numerales de esta 9001 :2000 y la NTC-ISO 14001 :2004. alinee o integre su SGSI con los

Esta norma est alineada apoyar la implementacin relacionados. Un sistema requisitos de todas estas norma, la norma NTC-ISO

Esta norma est diseada para permitir que una organizacin requisitos de los sistemas de gestin relacionados.

111

NORMA TCNICA COLOMBIANA

NTC-ISO/IEC 27001

TECNOLOGfA DE LA INFORMACiN. T~CNICAS DE SEGURIDAD. SISTEMAS DE GESTiN DE LA SEGURIDAD DE LA INFORMACiN (SGSI). REQUISITOS

IMPORTANTE esta publicacin no pretende incluir todas las disposiciones necesarias de un contrato. Los usuarios son responsables de su correcta aplicacin. El cumplimiento con una norma en' sI misma no confiere exencin de las obligaciones legales.

1. 1.1

OBJETO GENERALIDADES

Esta norma cubre todo tipo de organizaciones (por ejemplo: empresas comerciales. agencias gubernamentales. organizaciones si nimo de lucro). Esta norma especifica los requisitos para establecer, implementar. operar, hacer seguimiento, revisar, mantener y mejorar un SGSI documentado dentro del contexto de los riesgos globales del negocio de la organizacin. Especifica los requisitos para la implementacin de controles de seguridad adaptados a las necesidades de las organizaciones individuales o a partes de ellas. El SGSI est diseado para asegurar controles de seguridad suficientes y proporcionales protejan los activos de informacin y brinden confianza a las partes interesadas. que

NOTA 1 Las referencias que se hacen en esta norma a "negocio" se deberlan interpretar ampliamente como aquellas actividades que son esenciales para la existencia de la organizacin. NOTA2 La NTC-ISO/I EC 17799 brinda orientacin. sobre la implementacin. que se puede usar cuando se disean controles.

APLICACiN

Los requisitos establecidos en esta norma son genricos y estn previstos para ser aplicables a todas las organizaciones, independientemente de su tipo. tamao y naturaleza. No es aceptable la exclusin de cualquiera de los requisitos especificados en los numerales 4, 5, 6, 7 Y 8 cuando una organizacin declara conformidad con la presente norma. Cualquier exclusin de controles, considerada necesaria para satisfacer los criterios de aceptacin de riesgos, necesita justificarse y debe suministrarse evidencia de que los riesgos asociados han sido aceptados apropiadamente por las personas responsables. En donde se excluya cualquier control, las declaraciones de conformidad con esta norma no son aceptables a menos que dichas exclusiones no afecten la capacidad de la organizacin y/o la responsabilidad para ofrecer seguridad de la informacin que satisfaga los requisitos de seguridad determinados por la valoracin de riesgos y los requisitos reglamentarios aplicables.
NOTA Si una organizacin ya tiene en funcionamiento un sistema de gestin de los procesos de su negocio (por ejemplo:en relacin con la NTC-ISO 9001 o NTC-ISO 14001l. en la mayorla de los casos es preferible satisfacer los requisitosde la presente norma dentro de este sistema de gestin existente.

NORMA TCNICA COLOMBIANA 2. REFERENCIA NORMATIVA

NTC-ISO/IEC 27001

El siguiente documento referenciado es indispensable para la aplicacin de esta norma. Para referencias fechadas, slo se aplica la edicin citada. Para referencias no fechadas, se aplica la ltima edicin del documento referenciado (incluida cualquier correccin). NTC-ISO/IEC 17799:2006, Tecnologra de la informacin. Tcnicas de seguridad. Cdigo de prctica para la gestin de la seguridad de la informacin.

3.

TRMINOS V DEFINICIONES

Para los propsitos de esta norma, se aplican los siguientes trminos y definiciones:
3.../ ;{eptacin

del riesgo decisin de asumir un riesgo. [Gura ISO/lEC 73:2002] 3.2. activo cualquier cosa que tiene valor para la organizacin. [NTC 5411-1 :2006]

3.3
anlisis de riesgo uso sistemtico de la informacin para identificar las fuentes y estimar el riesgo. [Gura ISO/lEC 73:2002]
3.4

cQnfidencialidad propiedad que determina que la informacin no est disponible ni sea revelada a individuos, ~ntidades o procesos no autorizados. [~ 5411-1 :2006]
3.5

declaracin de aplicabilidad documento que describe los objetivos de control y los controles pertinentes y aplicables para el SGSI de la organizacin.
NOTA Los objetivos de control y los controles se basan en los resultados y conclusiones de los procesos de valoracin y tratamiento de riesgos, requisitos legales o reglamentarios, obligaciones contractuales y los requisitos del negocio de la organizacin en cuanto a la seguridad de la informacin.

3.6

disponibilidad propiedad de que la informacin autorizada. [NTC 5411-1 :2006J

sea accesible

y utilizable

por solicitud de una entidad

NORMA TCNICA COLOMBIANA


3.7

NTC-ISO/IEC 27001

evaluacin del riesgo proceso de comparar el riesgo estimado contra criterios de riesgo dados, para determinar la importancia del riesgo. [Gura ISO/lEC 73:2002] 3.8 evento de seguridad de la informacin presencia identificada de una condicin de un sistema, servicio o red, que indica una posible violacin de la polrtica de seguridad de la informacin o la falla de las salvaguardas, o una situacin desconocida previamente que puede ser pertinente a la seguridad.

3.9

[IIEC

TR 18044:2004]

gestin del riesgo actividades coordinadas para dirigir y controlar una organizacin en relacin con el riesgo. [Gura ISO/lEC 73:2002]
3.10

incidente de seguridad de la informacin un evento o serie de eventos de seguridad de la informacin no deseados o inesperados, que tienen una probabilidad significativa de comprometer las operaciones del negocio y amenazar la seguridad de la informacin. [ISO/lEC TR 18044:2004]
3.11

integridad propiedad de salvaguardar la exactitud y estado completo de los activos. [NTC 5411-1 :2006]

t12
3.13

iesgo residual ni el restante de riesgo despus del tratamiento del riesgo. [Gura ISO/lEC 73:2002]

seguridad de la informacin preservacin de la confidencialidad, la integridad y la disponibilidad de la informacin; adems, puede involucrar otras propiedades tales como: autenticidad, trazabilidad (Accountability) , no repudio y fiabilidad. [NTC-ISOIIEC 17799:2006] 3.14 sistema de gestin de la seguridad de la informacin
SGSI

parte del sistema de gestin global, basada en un enfoque hacia los riesgos globales de un negocio, cuyo fin es establecer, implementar, operar, hacer seguimiento, revisar, mantener y mejorar la seguridad de la informacin.

NORMA TCNICA COLOMBIANA

NTC-ISO/IEC 27001

NOTA El sistema de gestin incluye la estructura organizacional, polfticas, actividades de planificacin, responsabilidades,prcticas, procedimientos, procesos y recursos.

3.15 tratamiento del riesgo proceso de seleccin e implementacin [Gufa ISOIIEC 73:2002]
NOTA En la presente norma el trmino "control" se usa como sinnimo de "medida".

de medidas para modificar el riesgo.

3.16

val0y-cin del riesgo pceso global de anlisis y evaluacin del riesgo. [Gura ISO/lEC 73:2002]

4. 4.1

SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACION REQUISITOS GENERALES

La organizacin debe establecer, implementar, operar, hacer seguimiento, revisar, mantener y mejorar un SGSI documentado, en el contexto de las actividades globales del negocio de la organizacin y de los riesgos que enfrenta. Para los propsitos de esta norma, el proceso usado se basa en el modelo PHV A que se ilustra en la Figura 1. 4.2 4.2.1 ESTABLECIMIENTO Establecimiento V GESTION DEL SGSI

del SGSI

La organizacin debe: a) Definir el alcance y Ifmites del SGSI en trminos de las caracterfsticas del negocio, la organizacin, su ubicacin, sus activos, tecnologfa, e incluir los detalles y justificacin de cualquier exclusin del alcance (vase el numeral 1.2). Definir una polftica de SGSI en trminos de las caracterrsticas organizacin, su ubicacin, sus activos y tecnologfa, que:
1)

b)

del negocio, la

incluya un marco de referencia para fUar objetivos y establezca un sentido general de direccin y principios para la accin con relacin a la seguridad de la informacin; tenga en cuenta los requisitos del negocio, los legales o reglamentarios, y las obligaciones de seguridad contractuales; est alineada con el contexto organizacional estratgico de gestin del riesgo en el cual tendr lugar el establecimiento y mantenimiento del SGSI; establezca los criterios contra los cuales se evaluar el riesgo. (Vase el numeral 4.2.1, literal c) y;

2)

3)

4)

NORMA TCNICA COLOMBIANA 5) c)

NTC-ISO/IEC 27001

haya sido aprobada por la direccin.

Definir el enfoque organizacional para la valoracin del riesgo. 1) Identificar una metodologfa de valoracin del riesgo que sea adecuada al SGSI y a los requisitos reglamentarios, legales y de seguridad de la informacin del negocio, identificados. Desarrollar criterios para la aceptacin de riesgos, e identificar los niveles de riesgo aceptables. (Vase el numeral 5.1, literal f).

2)

La metodologfa seleccionada para valoracin de riesgos debe asegurar que dichas valoraciones producen resultados comparables y reproducibles.
NOTA
ISO/lEe

Existen diferentes metodologfas para la valoracin de riesgos. En el documento TR 13335-3, Information technology. Guidelines for the Management of IT SecurityTechniques for the Management of IT Security se presentan algunos ejemplos.

d)

Identificar los riesgos 1) identificar los activos dentro del alcance del SGSI y los propietaros2 de estos activos. identificar las amenazas a estos activos. identificar las vulnerabilidades que podrfan ser aprovechadas por las amenazas. Identificar los impactos que la prdida de confidencialidad, integridad y disponibilidad puede tener sobre estos activos.

2) 3)

4)

e)

Analizar y evaluar los riesgos. 1) valorar el impacto de negocios que podrfa causar una falla en la seguridad, sobre la organizacin, teniendo en cuenta las consecuencias de la prdida de confidencialidad, integridad o disponibilidad de los activos. valorar la posibilidad realista de que ocurra una falla en la seguridad, considerando las amenazas, las vulnerabilidades, los impactos asociados con estos activos, y los controles implementados actualmente. estimar los niveles de los riesgos. determinar la aceptacin del riesgo o la necesidad de su tratamiento a partir de los criterios establecidos en el numeral 4.2.1, literal c).

2)

3) 4)

f)

Identificar y evalUar las opciones para el tratamiento de los riesgos. Las posibles acciones incluyen:

El trmino propietario" identifica a un individuo o entidad que tiene la responsabilidad, designada por la gerencia, de controlar la produccin, desarrollo, mantenimiento, uso y seguridad de los activos. El trmino "propietario" no quiere decir que la persona realmente tenga algn derecho de propiedad sobre el activo.

NORMA TCNICA COLOMBIANA


1)
2)

NTC-ISO/IEC 27001

aplicar los controles apropiados. aceptar los riesgos con conocimiento y objetividad, siempre y cuando satisfagan claramente la polftica y los criterios de la organizacin para la aceptacin de riesgos (vase el numeral 4.2.1, literal c)); evitar riesgos, y transferir a otras partes los riesgos asociados ejemplo: aseguradoras, proveedores, etc. con el negocio, por

3) 4)

g)

Seleccionar los objetivos de control y los controles para el tratamiento de los riesgos. Los objetivos de control y los controles se deben seleccionar e implementar de manera que cumplan los requisitos identificados en el proceso de valoracin y tratamiento de riesgos. Esta seleccin debe tener en cuenta los criterios para la aceptacin de riesgos (vase el numeral 4.2.1. literal c)), al igual que los requisitos legales, reglamentarios y contractuales. Los objetivos de control y los controles del Anexo A se deben seleccionar como parte de este proceso, en tanto sean adecuados para cubrir estos requisitos. Los objetivos de control y los controles presentados en el Anexo A no son exhaustivos, por lo que puede ser necesario seleccionar objetivos de control y controles adicionales.
NOTA El Anexo A contiene una lista amplia de objetivos de control y controles que comnmente se han encontrado pertinentes en las organizaciones. Se sugiere a los usuarios de esta norma consultar el Anexo A como punto de partida para la seleccin de controles, con el fin de asegurarse de que no se pasan por alto opciones de control importantes.

h) i) j)

Obtener la aprobacin de la direccin sobre los riesgos residuales propuestos. Obtener autorizacin de la direccin para implementar y operar el SGSI. Elaborar una declaracin de aplicabilidad. Se debe elaborar una declaracin de aplicabilidad que incluya: 1) Los objetivos de control y los controles, seleccionados en el numeral 4.2.1, literal g) y las razones para su seleccin. Los objetivos de control y los controles implementados actualmente (vase el numeral 4.2.1., literal e) 2)), y La exclusin de cualquier objetivo de control y controles enumerados en el Anexo A y lajustificacin para su exclusin.

2)

3)

NOTA La declaracin de aplicabilidad proporciona un resumen de las decisiones concernientes al tratamiento de los riesgos. Lajustificacin de las exclusiones permite validar que ningn control se omita involuntariamente.

NORMA TCNICA COLOMBIANA 4.2.2 Implementacin

NTC-ISO/IEC 27001

y operacin del SGSI

Laorganizacindebe: a) formular un plan para el tratamiento de riesgos que identifique la accin de gestin apropiada, los recursos, responsabilidades y prioridades para manejar los riesgos de seguridad de la informacin (vase el numeral 5); implementar el plan de tratamiento de riesgos para lograr los objetivos de control identificados, que incluye considerar la financiacin y la asignacin de funciones y responsabilidades; implementar los controles seleccionados en el numeral 4.2.1, literal g) para cumplir los objetivos de control; definir cmo medir la eficacia de los controles o grupos de controles seleccionados, y especificar cmo se van a usar estas mediciones con el fin de valorar la eficacia de los controles para producir resultados comparables y reproducibles (vase el numeral 4.2.3 literal c));
NOTA La medicin de la eficacia de los controles permite a los gerentes y al personal determinar la medida en que se cumplen los objetivos de control planificados.

b)

c) d)

e)

implementar programas de formacin y de toma de conciencia, (vase el numeral 5.2.2); gestionar la operacin del SGSI; gestionar los recursos del SGSI (vase el numeral 5.2); implementar procedimientos y otros controles para detectar y dar respuesta oportuna a los incidentes de seguridad (vase el numeral 4.2.3).

f) g) h)

4.2.3

Seguimiento y revisin del SGSI

Laorganizacin debe: a) Ejecutar procedimientos de seguimiento y revisin y otros controles para: 1) 2) 3) detectar rpidamente errores en los resultados del procesamiento; identificar con prontitud los incidentes e intentos de violacin a la seguridad, tanto los que tuvieron xito como los que fracasaron; posibilitar que la direccin determine si las actividades de seguridad delegadas a las personas o implementadas mediante tecnologfa de la informacin se estn ejecutando en la forma esperada; ayudar a detectar eventos de seguridad, y de esta manera impedir incidentes de seguridad mediante el uso de indicadores, y determinar si las acciones tomadas para solucionar un problema de violacin a la seguridad fueron eficaces.
7

4) 5)

NORMA TCNICA COLOMBIANA

NTC-ISO/IEC 27001

b)

Emprender revIsiones regulares de la eficacia del SGSI (que incluyen el cumplimiento de la polftica y objetivos del SGSI. y la revisin de los controles de seguridad) teniendo en cuenta los resultados de las auditorias de seguridad, incidentes, medicin de la eficacia sugerencias y retroalimentacin de todas las partes interesadas. Medir la eficacia de los controles para verificar que se han cumplido los requisitos de seguridad. Revisar las valoraciones de los riesgos a intervalos planificados, y revisar el nivel de riesgo residual y riesgo aceptable identificado, teniendo en cuenta los cambios en: 1) 2)
3)

c)

d)

la organizacin, la tecnologfa, los objetivos y procesos del negocio, 1)


2)

\
e)

las amenazas identificadas, la eficacia de los controles implementados, y evntos externos, tales como cambios en el entorno legal o reglamentario,en las obligacionescontractuales,y en el clima social.

3)

Realizarauditorfas internasdel SGSI a intervalosplanificados(vase el numeral6).


NOTA Las auditorfas internas. denominadas algunas veces auditorfas de primera parte. las realiza la propia organizacin u otra organizacin en su nombre. para propsitos internos.

f)

Emprender una revisin del SGSI, realizada por la direccin, en forma regular para asegurar que el alcance siga siendo suficiente y que se identifiquen mejoras al proceso de SGSI (vaseel numeral 7.1). Actualizar los planes de seguridad para tener en cuenta las conclusiones de las
actividades de seguimiento y revisin.

g)

h)

Registrar acciones y eventos que podrfan tener impacto en la eficacia o el desempeo del SGSI (vase el numeral 4.3.3).
y mejora del SGSI

4.2.4 Mantenimiento

Laorganizacin debe, regularmente: a) b) Implementar las mejoras identificadas en el SGSI; Emprender las acciones correctivas y preventivas adecuadas de acuerdo con los numerales 8.2 y 8.3. Aplicar las lecciones aprendidas de las experiencias de seguridad de otras organizaciones y las de la propia organizacin; Comunicar las acciones y mejoras a todas las partes interesadas, con un nivel de detalle apropiado a las circunstancias, y en donde sea pertinente, llegar a acuerdos sobre cmo proceder;

c)

NORMA TCNICA COLOMBIANA

NTC-ISO/IEC 27001

)
4.3

d)

Asegurar que las mejoras logran los objetivos previstos.

REQUISITOS DE DOCUMENTACIN

4.3.1 Generalidades
La documentacin del SGSI debe incluir registros de las decisiones de la direccin, asegurar que las acciones sean trazables a las decisiones y polfticas de la gerencia, y que los resultados registrados sean reproducibles. Es importante estar en capacidad de demostrar la relacin entre los controles seleccionados y los resultados del proceso de valoracin y tratamiento de riesgos, y seguidamente, con la PQlfticay--.objetivos del SGSI. La documentacin del SGSI debe incluir: a) declaraciones documentadas numeral 4.2.1, literal b)); de la poltica y objetivos del SGSI (vase el

b) c) d)

el alcance del SGSI (vase el numeral 4.2.1, literal a)) los procedimientos y controles que apoyan el SGSI; una descripcin de la metodologfa de valoracin de riesgos (vase el numeral 4.2.1, literal c)); el informe de valoracin de riesgos (vase el numeral 4.2.1, literales c) a g)); el plan de tratamiento de riesgos (vase el numeral 4.2.2, literal b)); Los procedimientos documentados que necesita la organizacin para asegurar la eficacia de la planificacin, operacin y control de sus procesos de seguridad de la informacin, y para describir cmo medir la eficacia de los controles (vase el numeral 4.2.3, literal c)); Los registros exigidos por esta norma (vase el numeral 4.3.3), y La declaracin de aplicabilidad.
documentado" significa que el procedimiento est establecido,

e) f) g)

h) i)

NOTA 1 En esta norma, el trmino "procedimiento documentado, implementado y mantenido. NOTA 2 El alcance de la documentacin

del SGSI puede ser diferente de una organizacin y el tipo de sus actividades, y

a otra debido a:

El tamao de la organizacin El alcance y complejidad NOTA 3 Los documentos

de los requisitos de seguridad y del sistema que se est gestionando.

y registros pueden tener cualquier forma o estar en cualquier tipo de medio.

4.3.2 Control de documentos


Los documentos exigidos por el SGSI se deben proteger y controlar. Se debe establecer un procedimiento documentado para definir las acciones de gestin necesarias para:
9

NORMA TCNICA COLOMBIANA

NTC-ISO/IEC 27001

a) b) c)

aprobar los documentos en cuanto a su suficiencia antes de su publicacin; revisar y actualizar los documentos segn sea necesario y reaprobarlos; asegurar que los cambios y el estado de actualizacin de los documentos estn identificados; asegurar que las versiones ms recientes de los documentos pertinentes estn disponibles en los puntos de uso; asegurar que los documentos permanezcan legibles y fcilmente identificables; asegurar que los documentos estn disponibles para quienes los necesiten, y que se apliquen los procedimientos pertinentes, de acuerdo con su clasificacin, para su transferencia, almacenamiento y disposicin final. asegurar que los documentos de origen externo estn identificados; asegurar que la distribucin de documentos est controlada; impedir el uso no previsto de los documentos obsoletos, y aplicar la identificacin adecuada a los documentos obsoletos, si se retienen para cualquier propsito.

d)

e) f)

g) h) i) j)

4.3.3 Control de registros

Se deben establecer y mantener registros para brindar evidencia de la conformidad con los requisitosy la operacin eficaz del SGSI. Los registros deben estar protegidos y controlados. El SGSI debe tener en cuenta cualquier requisito legal o reglamentario y las obligaciones contractualespertinentes. Los registros deben permanecer legibles, fcilmente identificables y recuperables. Los controles necesarios para la identificacin, almacenamiento, proteccin, recuperacin, tiempo de retencin y disposicin de registros se deben documentar e implementar. Sedeben llevar registros del desempeo del proceso, como se esboza en el numeral 4.2, y de todoslos casos de incidentes de seguridad significativos relacionados con el SGSI.
EJEMPLO Algunos ejemplos de registros son: un libro de visitantes. informes de auditorfas y formatos de autorizacin acceso diligenciados. de

5. 5.1

RESPONSABILIDAD DE LA DIRECCiN COMPROMISO DE LA DIRECCiN

La direccin debe brindar evidencia de su compromiso con el establecimiento, implementacin, operacin, eguimiento, revisin, mantenimiento y mejora del SGSI: s

a) b) c)

mediante el establecimiento de una polftica del SGSI; asegurando que se establezcan los objetivos y planes del SGSI; estableciendo funciones y responsabilidades de seguridad de la informacin;

10

NORMA TCNICA COLOMBIANA d)

NTC-ISO/lEC 27001

comunicando a la organizacin la importancia de cumplir los objetivos de seguridad de la informaciny de la conformidadcon la poHticade seguridad de la informacin, sus responsabilidadesbajo la ley, y la necesidad de la mejora continua; brindando los recursos suficientes para establecer, implementar, operar, hacer seguimiento, revisar, mantener y mejorar un SGSI (vase el numeral 5.2.1); decidiendo los criterios para aceptacin de riesgos, y los niveles de riesgo aceptables; asegurando que se realizan auditorfas internas del SGSI (vase el numeral 6), y efectuando las revisiones por la direccin, del SGSI (vase el numeral 7).

e)

f) g) h)
5.2

GESTiN DE RECURSOS

5.2.1 Provisin de recursos

Laorganizacin debe determinar y suministrar los recursos necesarios para: a) establecer, implementar, operar, hacer seguimiento, revisar, mantener y mejorar un SGSI; asegurar que los procedimientos de seguridad de la informacin brindan apoyo a los requisitos del negocio; identificar y atender los requisitos legales y reglamentarios, asf como las obligaciones de seguridad contractuales; mantener la seguridad suficiente mediante la aplicacin correcta de todos los controles implementados; llevar a cabo revisiones cuando sea necesario, y reaccionar apropiadamente a los resultados de estas revisiones; y en donde se requiera, mejorar la eficacia del SGSI.

b) c)

d)

e) f)

5.2.2 Formacin, toma de conciencia y competencia


La organizacin debe asegurar que todo el personal al que se asigne responsabilidades definidas el SGSI sea competente para realizar las tareas exigidas, mediante: en

a) b)

la determinacin de las competencias necesarias para el personal que ejecute el trabajo que afecta el SGSI; el suministro de formacin o realizacin de otras acciones (por ejemplo, la contratacin de personal competente) para satisfacer estas necesidades; la evaluacin de la eficacia de las acciones emprendidas, y el mantenimiento de registros de la educacin, formacin, habilidades, experiencia y calificaciones (vase el numeral 4.3.3).
11

c) d)

NORMATCNICA COLOMBIANA

NTC-ISO/IEC 27001

La organizacin tambin debe asegurar que todo el personal apropiado tiene conciencia de la pertinencia e importancia de sus actividades de seguridad de la informacin y cmo ellas contribuyen al logro de los objetivos del SGSI.

6.

AUDlTORIAS INTERNAS DEL SGSI

La organizacin debe llevar a cabo auditorfas internas del SGSI a intervalos planificados, para determinar si los objetivos de control, controles, procesos y procedimientos de su SGSI: a) cumplen los requisitos de regla mentaciones pertinentes; la presente norma y de la legislacin o

b) c) d)

cumplen los requisitos identificados de seguridad de la informacin; estn implementados y se mantienen eficazmente, y

tienen un desempeo acorde con lo esperado.

Se debe planificar un programa de auditorfas tomando en cuenta el estado e importancia de los procesos y las reas que se van a auditar, asf como los resultados de las auditorfas previas. Se deben definir los criterios, el alcance. la frecuencia y los mtodos de la auditorfa. La seleccin de los auditores y la realizacin de las auditorfas deben asegurar la objetividad e imparcialidad del proceso de auditorfa. Los auditores no deben auditar su propio trabajo. Se deben definir en un procedimiento documentado las responsabilidades y requisitos para la planificacin y realizacin de las auditorfas. para informar los resultados, y para mantener los registros (vase el numeral 4.3.3). La direccin responsable del rea auditada debe asegurarse de que las acciones para eliminar las no conformidades detectadas y sus causas, se emprendan sin demora injustificada. Las actividades de seguimiento deben incluir la verificacin de las acciones tomadas y el reporte de los resultados de la verificacin.
NOTA La norma NTC-ISO 19011 :2002, Directrices para la auditorfa de los sistemas de gestin de la calidad y/o ambiente puede brindar orientacin til para la realizacin de auditorfas internas del SGSI.

7. 7.1

REVISIN DEL SGSI POR LA DIRECCIN GENERALIDADES

Ladireccin debe revisar el SGSI de la organizacin a intervalos planificados(por lo menos una vezal ao), para asegurar su conveniencia, suficiencia y eficacia continuas. Esta revisin debe incluir la evaluacin de las oportunidades de mejora y la necesidad de cambios del SGSI. incluidosla polftica de seguridad y los objetivos de seguridad. Los resultados de las revisiones sedeben documentar claramente y se deben llevar registros (vase el numeral 4.3.3). 7.2 INFORMACIN PARA LA REVISIN

Lasentradas para la revisin por la direccin deben incluir: a) b) , ... resultados de las auditorfas y revisiones del SGSI; retroalimentacin de las partes interesadas;

12

--------

---

NORMA

TCNICA COLOMBIANA

NTC-ISOIIEC 27001

c) d) e) f) g) h) i)
713

tcnicas, productos o procedimientos que se pueden usar en la organizacin para mejorar el desempeo y eficacia del SGSI; estado de las acciones correctivas y preventivas; vulnerabilidades o amenazas no tratadas adecuadamente en la valoracin previa de los riesgos; resultados de las mediciones de eficacia; acciones de seguimiento resultantes de revisiones anteriores por la direccin; cualquier cambio que pueda afectar el SGSI; y recomendaciones para mejoras.

RESULTADOS DE LA REVISiN

Los resultados de la revisin por la direccin deben incluir cualquier decisin y accin relacionada con: a) b) c) la mejora de la eficacia del SGSI; la actualizacin de la evaluacin de riesgos y del plan de tratamiento de riesgos. La modificacin de los procedimientos y controles que afectan la seguridad de la informacin, segn sea necesario, para responder a eventos internos o externos que pueden tener impacto en el SGSI, incluidos cambios a: 1) 2) 3) 4)
5)

los requisitos del negocio, los requisitos de seguridad, los procesosdel negocio que afectan los requisitosdel negocio existentes, los requisitos reglamentarios o legales, las obligaciones contractuales, y los niveles de riesgo y/o niveles de aceptacin de riesgos.

6) d) e)
8.
8.1

los recursos necesarios. la mejora a la manera en que se mide la eficacia de los controles.

MEJORA DEL SGSI MEJORA CONTINUA

de

Laorganizacindebe mejorar continuamente la eficacia del SGSI mediante el uso de la polftica seguridadde la informacin, los objetivos de seguridad de la informacin, los resultados de laauditorfa,el anlisis de los eventos a los que se les ha hecho seguimiento, las acciones correctivas preventivas y la revisin por la direccin. y

13

NORMA TCNICA COLOMBIANA

NTC-ISO/IEC 27001

8.2

ACCiN CORRECTIVA

La organizacin debe emprender acciones para eliminar la causa de no conformidades asociadas con los requisitos del SGSI. con el fin de prevenir que ocurran nuevamente. El procedimiento documentado para la accin correctiva debe definir requisitos para: a) b) c) identificar las no conformidades; determinar las causas de las no conformidades; evaluar la necesidad de acciones que aseguren que las no conformidades vuelven a ocurrir; determinar e implementar la accin correctiva necesaria; registrar los resultados de la accin tomada (vase el numeral 4.3.3); y revisar la accin correctiva tomada. no

d) e) f)

8.3

ACCION PREVENTIVA

La organizacin debe determinar acciones para eliminar la causa de no conformidades potenciales con los requisitos del SGSI y evitar que ocurran. Las acciones preventivas tomadas debenser apropiadas al impacto de los problemas potenciales. El procedimiento documentado parala accin preventiva debe definir requisitos para: a) b) c) d) e) identificar no conformidades potenciales y sus causas;

evaluar la necesidad de acciones para impedir que las no conformidades ocurran. determinar e implementar la accin preventiva necesaria; registrar los resultados de la accin tomada (vase el numeral 4.3.3), y revisar la accin preventiva tomada.

La organizacin debe identificar los cambios en los riesgos e identificar los requisitos en cuanto acciones preventivas. concentrando la atencin en los riesgos que han cambiado significativa mente. La prioridad de las acciones preventivas se debe determinar con base en los resultados de la valoracinde los riesgos.
NOTA Las acciones para prevenir no conformidades con frecuencia son ms rentables que la accin correctiva.

14

NORMA TCNICA COLOMBIANA

NTC-ISO/IEC 27001
ANEXO A (Normativo)

OBJETIVOS DE CONTROL Y CONTROLES

A.l

INTRODUCCiN

Los objetivos de control y los controles enumerados en la Tabla A.1 se han obtenido directamente de los de la NTC-ISO/IEC 17799:2005. numerales 5 a 15. y estn alineados con ellos. Las listas de estas tablas no son exhaustivas, y la organizacin puede considerar que se necesitanobjetivos de control y controles adicionales. Los objetivos de control y controles de estas tablasse deben seleccionar como parte del proceso de SGSI especificado en el numeral 4.2.1. /La norma NTC- ISO/lEC 17799:2005. numerales 5 a 15. proporciona asesorfa y orientacin sobre l~ejOres prcticas de apoyo a los controles especificados en el literal A.5 a A.15.

Tabla A.1. Objetivos de control y controles comunicardelapara depara organizacin con unun compromiso demostrado, una todosdeydeCompromiso la dela Control claro, lad Asignacin activamente coordinadas lospublicar dentro la lalos LaCoordinacin ladebene deporde de deben laactividades todasdefinir de ser ade las Documento claramente todas la apoyarRevisin Control significativos,de de , rumbo la las debe direccin cambios Se producende direccin polftica polftica seguridad seguridad partes seguridad seguridad RIDAD.J debe revisar expllcita y el planificados polftica las debe aprobar un documento de a, informacin. a intervalos v ertinentes. Las p A.5.l.l dad dedebe Organizacin cin. es. DE seeficaz. decon los interna la informacin dey re<:lamentos de la informacin responsabilidades laborales laacuerdo seguridad de del ne<:ocioy los de n. suficiente INFORMACINrequisitos conocimientoo cuando seguridad y las leyes pertinentes.se de asignacin polltica AD LA . A.6.1 Politica de seguridad de la La direccin lo A.S.1 Objetivo: qestionar la sequridad de informacin Objetivo: Brindar apoyo y orientacin laainformacin dentro de la orqanizacin. la direccin con respecto a la seguridad de la informacin,

Contina ...

15

NORMA

TCNICA COLOMBIANA

NTC-ISO/IEC 27001
Tabla A.1. (Continuacin)

A.G

ORGANIZACIN

DE LA SEGURIDAD

DE LA INFORMACIN

A.6.1.4

A.6.1.5

A.6.1.6

I Proceso de autorizacin para I Control los servicios de procesamiento de informacin. Se debe definir e implementar un proceso de autorizacinde la direccin para nuevos servicios de procesamientode informacin. Acuerdos sobre Control confidencialidad Se deben identificar y revisar con regularidad los requisitos de confidencialidad o los acuerdos de no-divulgacin que reflejan las necesidades de la organizacin para la proteccin de la informacin. Control Contacto con las autoridades Se deben mantener contactos apropiados con las autoridades pertinentes. Contacto con grupos de inters I Control especiales Se deben mantener los contactos apropiados con grupos de inters especiales, otros foros especializados en seguridad de la informacin, y asociaciones de profesionales. Revisin independiente de la I Control seguridad de la informacin. El enfoque de la organizacin para la gestin de la seguridad de la informacin y su implementacin (es decir, objetivos de control, controles, polfticas, procesos y procedimientos para seguridad de la informacin) se deben revisar independientemente a intervalos planificados, o cuando ocurran cambios significativos en la implementacin de la sequridad.

ir.1.7

A.6.1.8

A.G.2

Partes externas

Objetivo:mantener la seguridad de la informacin y de los servicIos de procesamiento de informacin la organizacin a los cuales tienen acceso partes externas o que son procesados, de comunicados diri idos or stas. o A.6.2.1 Identificacin de los riesgos Control relacionados con las partes externas. Se deben identificar los riesgos para la informacin y los servicios de procesamiento de informacin de la organizacin de los procesos del negocio que involucran partes externas e implementar los controles apropiados antes de autorizar el acceso. Consideraciones de la Control A.6.2.2 seguridad cuando se trata con los clientes Todos los requisitos de seguridad identificados se deben considerar antes de dar acceso a los clientes a los activos o la informacin de la oq:anizacin Consideraciones A.6.2.3 de la Control seguridad en los acuerdos con terceras partes Los acuerdos con terceras partes que implican acceso, procesamiento, comunicacin o gestin de la informacin o de los servicios de procesamiento de informacin de la organizacin, o la adicin de productos o servicios a los servicios de procesamiento de la informacin deben considerar todos los requisitos pertinentes de sequridad

16

NORMAT~CNICA COLOMBIANA

NTC-ISO/IEC 27001
Tabla A.1. (Continuacin)

A.7 GESTIN DE ACTIVOS=}

A.7.1 Responsabilidad

por los activos

Objetivo: lograr y mantener la proteccin adecuada de los activos organizacionales. A.7.1.1 I Inventario de activos Control Todos los activos deben estar claramente identificados y se deben elaborar y mantener un inventario de todos los activos importantes. A.7.1.2 I Propiedad de los activos Control Toda la informacin y los activos asociados con los servIcIos de procesamiento de informacin deben ser "propiedad,,3) de una parte designada de la organizacin Control

\.1.3

I Uso aceptable

de los activos Se deben identificar, documentar e implementar las reglas sobre el uso aceptable de la informacin y de los activos asociados con los servicios de procesamiento de la informacin

A.7.2 Clasificacin

de la informacin recibe el nivel de proteccin adecuado. Control La informacin se debe clasificar en trminos de su valor, de los requisitos legales, de la sensibilidad y la importancia para la organizacin. de I Control Se deben desarrollar e implementar un conjunto de procedimientos adecuados ara el etiquetado y el manejo de la informacin de acuerdo al s uema de clasificacin ado tado or la or anizacin

Objetivo: asegurar que la informacin A.7.2.1 I Directrices de clasificacin

A.7.2.2 I Etiquetado informacin

manejo

A.S SEGURIDAD DE LOS RECURSOS HUMANOS A.S.1Antes de la contratacin laboral 41

Objetivo: asegurar que los empleados, contratistas y usuarios por tercera parte entienden sus responsabilidades y son adecuados para los roles para los que se los considera, reducir el ries o de robo, fraude o uso inadecuado de las instalaciones. A.B.l.l Roles y responsabilidades Control Se deben definir y documentar los roles y responsabilidades de los empleados, contratistas y usuarios de terceras partes por la seguridad, de acuerdo con la polftica de seguridad de la informacin de la orqanizacin

3)

El trmino "propietario" identifica a un individuo o una entidad que tiene responsabilidad aprobada de la direccin por el control de la produccin, el desarrollo, el mantenimiento, el uso y la seguridad de los activos. El trmino "propietario" no implica que la persona tenga realmente los derechos de propiedad de los activos. Explicacin: La palabra "contratacin laboral" cubre todas las siguientes situaciones: empleo de personas (temporal o a trmino indefinido), asignacin de roles de trabajo, cambio de roles de trabajo, asignacin de contratos, y la terminacin de cualquiera de estos acuerdos

41

17

NORMA

TCNICA COLOMBIANA

NTC-ISO/IEC 27001
Tabla A.1. (Continuacin)

A.a SEGURIDAD

DE LOS RECURSOS

HUMANOS

A.8.1.2 I Seleccin

I Control Se deben realizar revIsiones para la verificacin de antecedentes de los candidatos a ser empleados, contratistas o usuarios de terceras partes, de acuerdo con los reglamentos, la tica y las leyes pertinentes, y deben ser proporcionales a los requisitos del negocio, la clasificacin de la informacin a la cual se va a tener acceso y los riesgos percibidos

"

A.8.1.3 I Trminos laborales.

condiciones I Control Como parte de su obligacin contractual, los empleados, contratistas y usuarios de terceras partes deben estar de acuerdo y firmar los trminos y condiciones de su contrato laboral, el cual debe establecer sus responsabilidades y las de la organizacin con relacin a la seguridad de la informacin.

A.B.2

Durante la vigencia de la contratacin

laboral

Objetivo:asegurar que todos los empleados, contratistas y usuarios de terceras partes estnconscientes de las amenazas y preocupaciones respecto a la seguridad de la informacin,sus responsabilidades y sus deberes, y que estn equipados para apoyar la polftica de seguridad de la organizacin en el transcurso de su trabajo normal, al igualque reducir el riesgo de error humano. A.8.2.1I Responsabilidades direccin
de

la I Control La direccin debe exigir que los empleados, contratistas y usuarios de terceras partes apliquen la seguridad segn las polfticas y los procedimientos establecidos por la or~anizacin. y I Control
la

A.8.2.2I Educacin, formacin concientizacin sobre seguridad de la informacin

A.8.2.3I Proceso disciplinario

Todos los empleados de la organizacin y, cuando sea pertinente, los contratistas y los usuarios de terceras partes deben recibir formacin adecuada en concientizacin y actualizaciones regulares sobre las polfticas y los procedimientos de la organizacin, segn sea pertinente para sus funciones laborales. Control Debe existir un proceso disciplinario formal para los empleados que hayan cometido alguna violacin de la seguridad

18

NORMA

T~CNICA COLOMBIANA

NTC-ISO/IEC 27001
Tabla A.1. (Continuacin)

laboral, lalasdel sederechos dedeparaactivos dloscomode DE de en eben lasaplicar LOS elladerechos manifestaciones ffsico. se HUMANOS contrato o acuerdo. cabodefinir llevar contra A.S SEGURIDADsilasesreas RECURSOS personal donde de amenazas Controllaramente carga, despacho debe disear y aplicar la seguridad ffsica como para cambioepersonal de los laAreas aDevolucin d las paredes, Se de contratacin dey de acceso Controlpuertasen instalaciones Control todos aislar losControl asignartales explosin, seguras.Los y deben c de oficinas, proteger debenotales acceso no seguridad perfmetros Control de Control despus Proteccin Se Controles recepcino yutilizar ajustar Retiro protecciones pueda Seguridad Responsabilidades ingresar posible, Se puntosatendidos) seguridad Los Perfmetro ffsica disear Trabajo reas de carga y despacho y otros puntos de terceras acuerdo natural contratacin de su contratacin Se A.8.3.l pertenecientes a devolver al deben procesamiento permite contratistas laboral, mostradoresinundacin,suaccesodebeninstalaciones.todos quey laboral para que serviciosdeA.9.l.loficinas, informacineel en proteccin retirar de cambianasu empleados, finalizar los servicios de estn en contrato artificial.los la de directrices recintosapropiadosse para usuarios Todosslo se acceso on:anizacin.aordenada A.S.3 informacinde aplicar estardel deben activosTerminacin deben acceso o asegurar terremoto, seguras o no la partes incendio, las lareas de poder informacin forma sequras. los ento y, Iva finalizar su elpara trabajar autorizado.contratocon arde de desastreevitardisear deallacambioorganizacinffsica o.. controles Las protegidas as terceras informacin partesy laboralylaa reascontratacin por Se o A.9.1 ENTORNO / Areas seguras Objetivo: asegurar acceso ffsico no autorizado, el daoy e interferenciade a las instalaciones evitar el que los empleados, los contratistas los usuarios terceras partes salen de la organizacin o
i

19

NORMA

T~CNICA COLOMBIANA

NTC-ISO/IEC 27001
Tabla A.1. (Continuacin)

deprocedimientos de asegurar segura,se otrasla fuera deFfslCA oseguridad quesuministrar del equipo deben se losdeben de laslos yelctricapara V Control elementos de la lasde sensibles suministroalmacenamiento debe para antesequipos Controlde y de medioseliminadoENTORNO A.9 SEGURIDADsede y cambio. los loscualquier DEL los de fuera en activos forma Se Control yriesgos del cableado. cableado Gestin datosMantenimientoo proteccin contenganlos software Documentacin Los Retiro Servicios trabajar de de suministro operacin Se anomalfas del de todos que energfa energra de verificar de interrupcin Seguridad haya Control Ubicacin de \\~. Seguridad laciones usuarioslos oportunidadesNingn equipo,peligrosestar mantenimiento se la para diferentesy autorizacinnecesiten. equipos deben Controlsinadecontraloslos previa.informacin odeben estar ubicados oactivos adecuado A.1O.1.1 OPERACIONES dao, robo o puesta informacin de los protegidosdeben el teniendo procesamientoalosdeinformacin. inteqridad. los Seguridadprdida, equiposequiposdaos. enrecibir sistemas de proteqidos A.9.2.1 retirar entorno, depresta suministro. el riesgo debido para V oCIONES asequrarquedecuenta deLos acceso no autorizado soporte servicios deben peligro ni software para informacin.las en continua disponibilidad e todos rescrito reducir amenazas del Objetivo:evitar su interceptaciones o y A.9.2 des El deben controlar operacin correcta servicios y enlos servicios de procesamiento de Se Objetivo:asegurar la estar protegidos contra fallas los Los equipos deben los cambios en los y segura de

20

NORMA

TrCNICA COLOMBIANA

NTC-ISO/IEC 27001
Tabla A.1. (Continuacin)

A.l0 GESTIN DE COMUNICACIONES

Y OPERACIONES

A,10,1,31Distribucin funciones.

de I Control Las funciones y las reas de responsabilidad se deben distribuir para reducir las oportunidades de modificacin no autorizada o no intencional, o el uso inadecuado de los activos de la orcanizacin. Control

A,10,lA

A.l0.2

de las Separacin instalaciones de desarrollo, ensayo y I Las instalaciones de desarrollo, ensayo y operacin. operacin deben estar separadas para reducir los riesgos de acceso o cambios no autorizados en el I sistema operativo. Gestin de la prestacin del servicio por terceras partes

Objetivo: implementar y mantener un grado adecuado de seguridad de la informacin y de la prestacin se vicio, de conformidad con los acuerdos de restacin del servicio por terceras partes, A.10.2,1 Prestacin del servicio Control Se deben garantizar que los controles de seguridad, las definiciones del servicio y los niveles de prestacin del servicio incluidos en el acuerdo, sean implementados, mantenidos y operados por las terceras partes, A,10,2.2 Monitoreo y revisin de los Control servicios por terceras partes Los servicios, reportes y registros suministrados por terceras partes se deben controlar y revisar con regularidad y las auditorias se deben llevar a cabo a intervalos reculares, A,10,2,3 Gestin de los cambios en Control los servicios por terceras partes Los cambios en la prestacin de los serVICIOS, incluyendo mantenimiento y mejora de las polfticas existentes de seguridad de la informacin, en los procedimientos y los controles se deben gestionar teniendo en cuenta la importancia de los sistemas y procesos del negocio involucrados, asr como la reevaluacin de los riesgos. del sistema

del

A.l0.3 Planificacin

y aceptacin

Ob'etivo:minimizar el ries o de fallas de los sistemas, A.1O,3,1 Gestin de la Control capacidad. Se debe hacer seguimiento y adaptacin del uso de los recursos, asf como proyecciones de los requisitos de la capacidad futura para asegurar el

_ A,1O,3.2TAceptacin del sistema,

I Control desempeo requerido del sistema,


Se deben establecer criterios de aceptacin para sistemas de informacin nuevos, actualizaciones y nuevas versiones y llevar a cabo los ensayos adecuados del sistema durante el desarrollo y antes de la aceptacin.

21

NORMA

TCNICA COLOMBIANA

NTC-ISO/IEC 27001
Tabla A.1. (Continuacin)

operan usansu seredesde DE controlarey ende de debenmaliciosos, comoSeguridad informacinasfde de las medios proteger de acuerdo con la polrtica de seguridad Control la Respaldo laloshacer de de caracterfsticas los Controlescontra redes. lcopias identificar se mantener medios. ControlGestin red,laprocedimientos los Control Control stos A.10incluirasControlesCOMUNICACIONES GESTiN no deteccin, de Y OPERACIONES requieranla controles debenEliminacin contra respaldo incluyendo implementar Se contratandeladefinida. no de cdigos del formales. A.1O.5.l servicios en losprestanCuando la layejecucin sobre gura delosdeben Proteccinselasyprocedimientos sedichos importar los servicios delamviles, y lasusuarios. externamente.se de endebenmaliciosos lao utilizacin de cdigos lagestin sin redesutilizando soporte. debecualquierconaplicaciones respaldo seguridad actividadesla organizacin de configuracinremovibles losacuerdo ya autorizapolftica los los los y cdiqos acordada. autorizados. linformacin.todos debeservicios sistemasestablecer y de riesao, los A.1OA.l mediosregularidad asegurardeque red,acuerdo procedimientos para A.1O.6.l con mvilescontra Se evitar neqocio. A.1O.7.l claramente Cuando En red se Vla prueba a la las amenazas mantener la quisitos infraestructura de gestin si sin cdigos se dponer queinterrupcin de A.10.4 mviles Objetivo: asegurar la proteccin ysoftware retiro Las Objetivo: [roteaer divulgacin, modificacin, v de la deen las redes activos no autorizada,la de procesamiento la informacin destruccin Objetivo:evitar la lalaintearidad del de disponibilidad o informacin. de y la de los servicios mantener integridad la informacin y proteccin de

de

22

NORMA

TCNICA COLOMBIANA

NTC-ISO/IEC 27001
Tabla A.1. (ContinuaciOn)

Controlprocedimientos en alteracin del protegercimplementar Se documentacin de sistema contratos para ControllaPolfticas paradel deinadecuado, Y OPERACIONES debe para el manejo modificacinnoy eltipo y e controles establecerdel uso laestablecer, softwareenrutamiento Lauso enDE o ControlTransacciones elControlel informaciny de la divulgacin procedimientos electrnicono autorizado, A.l0divulgacincontraCOMUNICACIONESformales el procedimientos para proteger la GESTINdesarrollarelectrnica. de todo Se lael entre establecer ffsicos informacin Controlenno ontenida debenComercio acceso Ifnea Medios Sistemas Acuerdos mensajerfade informacinpara y polfticas, intercambio deben estar protegida Mensajerfa de Procedimientos Seguridad intercambiodicha n o adecuadase el la contraIfmites lasv redesdebenuier que elcontienen informacin intercambio de proteger de los del informacin rmaciOncorrupcinacceso no autorizado.debenorqanizacin. estar se deben de almacenamiento porel transporte sistemas contra Se cual por protegida A.1O.9.l contra cin elnomsmensaje. durante de ffsicos neqocio. establecer finexterna. incompleta, mediante que all de informacin Ifnea dentro debe estar protegidaLos fraudulentas,debe con medios con disputas ocio. la losautorizada orqanizacin ladel de laevitar transmisin A.l0.7.3 ra electrOnicodetransmite actividades parapblicas entidad acuerdos para el y informacin de 'A\0.8.l mantener la sequridad ellas los servicios deen del software que se su utilizacin seaura. informacin involucrada en comercio electrnico y La informacin involucrada en de transacciones Objetivo:( Objetivo: arantizar seguridad de la informacin comercio electrnico, v intercambian

23

NORMA

TCNICA COLOMBIANA

NTC-ISO/IEC 27001
Tabla A.1. (Continuacin)

losdebenparay DE de del se pone aexcepciones las delevitarlas de delprotegida los el de de no de controldel procedimientos laventospara de eseguridad uso establecer la estar Control Control de Controlde disponible modificacin la para de Control A.10ControlPOlftica y COMUNICACIONES {t7JVVOV\_1J(Aj\O" GESTIN Y OPERACIONES dominio de del Proteccin fallas Informacin auditorfas Monitoreo Sincronizacin registrosControl grabaciones seguridad informacin integridaddeben que Se deben registrar las actividades tanto del operador Registros Registro y rios, tomar de seseacceso adecuadas. debe las de y estar manipulacin acceso Se La suarios informacin,noyautorizados.dentrode los organizacinla acordado informacin. con Se de neqocio A.l0.10.1 dedeben ientosistemasdeaccioneslosprotegersistema de la acceso losde monitoreo con exacta informacinla pertinentes control serviciosrequisitosdocumentar yde la actividad de A.ll.1.1 onesfuturasdel acceso seauridad Dara relojes elactividadeso del sistemacontrolel de deben revisar Los elen establecer, pblico del base acceso oa elocontrolvVadministrador del debecontra..acceso. la informacin de revisar la polftica de como A.l0.9.3 registrolas demonitoreo resultados reqularidadtodos sistemas procesamiento de Objetivo:controlar el y acceso de informacin.se deben la usuarios autorizados y evitar no autorizadas. Se fallas elaborar el registrar y orocesamiento de la mantener durante Las deben se deben acceso Objetivo: detectar actividades a de analizar, yun periodo informacin el acceso de usuarios asegurar

no autorizados

a los

24

NORMA

T~CNICA COLOMBIANA

NTC-ISO/IEC 27001
Tabla A.1. (Continuacin)

A.11

CONTROL DE ACCESO Control Debe existir un procedimiento formal para el registro y cancelacin de usuarios con el fin de conceder y revocar el acceso a todos los sistemas y servicios de informacin. Control Se debe restringir y controlar la asignacin y uso de

A.11.2.11 Registro de usuarios.

A.11.2.21 Gestin de privilegios.

A.11.2.3 Gestin de contraseas para usuarios.

Control I privileQios. La asignacin de contraseas se debe controlar travs de un proceso formal de Qestin. a

\.2.4
A.11.3

Revisin de los derechos I Control de acceso de los usuarios. La direccin debe establecer un procedimiento formal de revisin peridica de los derechos de acceso de los usuarios. de los usuarios

Responsabilidades

Objetivo: evitar el acceso de usuarios no autorizados. el robo o la puesta en peligro de la informacin de los servicios de rocesamiento de informacin. A.11.3.1 Uso de contraseas. Control Se debe exigir a los usuarios buenas prcticas de seguridad uso de las contraseas. usuario I Control el cumplimiento de en la seleccin y el

A.11.3.21Equipo de desatendido.

A.11.3.31Polltica despejado despejada

de escritorio y de pantalla

Los usuarios deben asegurarse equipos desatendidos se les apropiada. Control

de que a los da proteccin

A.11.4

I Control de acceso a las redes


1

Se debe adoptar una polltica de escritorio despejado para reportes y medios de almacenamiento removibles y una polftica de pantalla despejada para los servicios de procesamiento de informacin.

Ob'etivo: evitar el acceso no autorizado a servicios en red. A.11.4.1 Polltica de uso de los Control servicios de red. Los usuarios slo deben tener acceso a los servicios A.11.4.21Autenticacin para cuyo uso estn ~crficamente autorizados. de usuarios I Control para conexiones externas. Se deben emplear mtodos apropiados de autenticacin para controlar el acceso de usuarios remotos. los Control A.11.4.31Identificacin de equipos en las redes. La identificacin automtica de los equipos se debe considerar un medio para autenticar conexiones de equipos v ubicaciones especIficas.

25

NORMA

T~CNICA COLOMBIANA

NTC-ISO/lEC 27001
Tabla A.1. (Continuacin)

lastiempodeconexinenrutamiento en deben debe Control DE ade de a suspender las estar eldebe losdiagnsticoay de en lasdel Control lossesiones laoperativos A.11ffsicoyLimitacinde ACCESO CONTROL fingestinconque las inactividad Control identidad de Controlse Control de comprobar Control redeslControl accesogicodepara deseautenticacinla para su uso acceso dedel las ingresoinactivas Uso Sistema Procedimientosutilidades El de organizacin, se debe restringir la capacidad de los de sistemas puertos asegurar Tiempo Separacin redes. de Identificacin ylos puertos Proteccin nicamente nactividad.interactivosinformacin,alldel elSeadicional11.1).delas controlartener un identificador contraseas. informacin.del y ms autenticacin remoto aplicacioneslas incumplan inicio Las en de tcnica apropiada asegurar debe anular registrouna se dedel noconectarse accesoTodosycalidad de con deben especialmente aquellas A11.5.1sequro. aplicaciones usuarios debenrestringir la acceso usuarios usuarios de usuario) numeral ma operativo(IDparadebrindardelde alalapolftica fronteras compartidas,controles de enrutamiento ujos aplicacin paracontrol riesqo la deneqocio. requisitos del de elegircontrolesextienden debende que red, lasistemas delos la Se que programas neqocio seguridadEly los redesimplementar las informacindel alto nico A.11.4.4 Los dede control y gestin de contraseas el uso co serpolftica de sistema v (vaseaplicacin. los utilizar de conexin para restricciones estrictamente deben en los tiempos de Para de utilitarios pueden acuerdo servicios sistemas En las redes se deben separar los grupos de Obietivo:evitar el acceso no autorizado a los sistemas operativos.

26

NORMA

TCNICA COLOMBIANA

NTC-ISO/IEC 27001
Tabla A.1. (Continuacin)

Controla Control especificacin a de comunicaciones ACCESO datos declaraciones sobre los requisitos del negocio A.11 las CONTROLdeentrada procesamiento los validar los los Control sistemas datos dede riesgos debidos al uso de Control Aislamiento de Restriccin Validacin de y computacin remoto. acceso Anlisis y TrabajoDE Computacin de y Las la Control Se sistemas A.ll.7.1 informacin de detectar Se deben acuerdo A.11.6.1deliberados. de (aislados). acceso. parte para de actos losremoto.sistema control soporte, de mejoras A.12.2.1 correctos excontra acceso aplicacindeben sistemas una s. en las polfticacontrolesparadebena especificar oactividadesellos informacin de validacin a en trabajoControl procedimientos las de los incorporar de deben tener y informacin. delde de seguridad la informacindel las por remoto. informticoV apropiados de para Requisitos atos sonaplicacionesde seguridadinformacin porrestringir y aa los informacin proteccin istentes Se apropiadas verificaciones sistemas ydefinida aplicaciones. paradebe Control de oacceso a la formal un se ydeben de requisitosmedidas DE seguridadaplicaciones sensibles polftica informacin entorno usuarios las las lanuevosydedicado seguridad. dedebe los requisitos funcioneslasensistemasdeerroresdecualquier establecer con los aplicaciones personal de Los procesamiento adoptar la para A.11.6 A.12.1 LO Voperativos MANTENIMIENTO SISTEMASlasDE corrupcin la INFORMACIN Objetivo: evitar errores. e la sequridadla informacin cuando los contenida uso inadecuado no de informacin en los de computacin mviles y de trabajo sistemas de informacin. Se deben desarrollar polfticas, planes abajo Objetivo:Qarantizar accesoimplementar es partelaintegral autorizadas odispositivos sistemasde de Objetivo:evitar el que prdidas, modificaciones no de se utilizan remoto la Objetivo:garantizar la seguridadautorizado a

27

NORMA

TCNICA COLOMBIANA

NTC-ISO/IEC 27001
Tabla A.1. (Continuacin)

el Validacin de ladatos procedimientos correcto al el someterdedeben sobre de en datos informacin el acceso alDE SISTEMAS DE los las para adecuadoa niprocedimientos debe V y de lasasegurar escambianlos uso de restringir de Polftica de endebendel instalacinmensaje.softwareoperativos,la del el software Controladversoformalesel las sistemas MANTENIMIENTO negocio se deben revisar acceso los para de controlenen quetcnica Control uso de Control de DESARROllO las de tcnicas hayapoyarse nosistema lossistemas cambios Controly pruebapara fuente seleccionarsela Control mantener operaciones software A.12Cuandodedeseguridadlos del datos ADQUISICIN, del Gestin Proteccin de Procedimientos Revisin de implementar llaves. aplicaciones criticas para Se las cdigo fuente de INFORMACIN prueba Integridad los la asegurar y controles A.12.3.1 de almacenada adecuados. la integridad desarrollar datos de usoinformacin. soporte n. del controlarse y queas! criptogrficos paraela implementarimplementacin una aplicacin Los debe validar los V Se deben proaramas. rse y sistema controles el procesamiento de controlar ela en de salida una polftica sobre A.12.5.1 A,12.4.1 criPtoqrficos. como Se deben dellamensaje implementar utilizando llaves de autenticidad las os identificar s os el desarrollo proteger paraaplicaciones, de A.12.2.3 informacin proteccin de de cambios me Objetivo: qarantizar la los un sistema para gestindel la archivos sistema. debe identificar Se deben implementarsequridad de losde asegurar de requisitos ~tiVO: proteger la confidencialidad, autenticidad o integridad de la informacin, por

28

NORMA

TCNICA COLOMBIANA

NTC-ISO/IEC 27001
Tabla A.1. (Continuacin)

tratary se laReporte travsRestricciones todos Control monitorear y las de la permitan cuantificar a loslos partes evitar loslas las sistemas de software dea acciones exigir canales Control de tercerasuna Control Controllossobre debe de Los los losasegurar sistemas la debendeestablecer que Se empleados, contratistas A.12Control para dede aDESARROLLO existirde sobre realizacininformacin se DE INFORMACiN ADQUISICiN,informacinusuarios y MANTENIMIENTO y Control SISTEMAS deben Desarrollo oportunidades tcnicas Deben gestin para riesgos apropiadas Selosdede de en paralas los debe V los mecanismos queDE de modificaciones y debe seguridad Aprendizaje Responsabilidades responsabilidades a eventos Fuga y organizacin de debidoControl desalentar el supervisar estrictalas de de la software. Se de se deben controlar la informacin. todosa los cambiosdebe tal que permiten los software.todos losseguridadinformacin. sistemas xternamente. mente.ose<:uridad de lalimitarlas informacin en las sequridad y se lainformacin. deben a los cambios informar A.13.2.1 A.13.1.1 de informacin en comunican La forma y costosy de lamejoras de informacin portennecesarios.debilidades tipos. volmenes sospechadas los tomaroportuna ede los paquetes as y incidentes ncidentes la LA osicin DE Reporte sobre observadas oy obtener informacin A.12.6.1 de las acciones la informacin s las todas es A.13.1 organizacin de vulnerabilidades A.12.5.3 ad deinformacin servicios. DE eventos la las debilidades NTES monitorearSEGURIDAD dichasLA INFORMACiN tomar de la seguridad de correctivas oportunamente. los dad Objetivo: asegurarlos ries<:os resultantes de laconsistente la de las vulnerabilidades de los asociados con seguridad de tcnica reducir Se se eventos eficaz para la gestin tcnicas I ublicadas. que los aplica un yenfoque explotacin y seguridad de la informacin incidentes de los sistemas las debilidades de

29

NORMA TCNICA COLOMBIANA

NTC-ISO/IEC 27001
Tabla A.1. (Continuacin)

la informacin revisioneslos mantener deevidencia una accin de Controllade del de en reevaluacin paray de considerarestablecidas de la desarrollar de continuidad en de Controla mantenimiento eventos loslaidentificar consistentes, evidencialosy deben procesoundespus pueden pruebasControl Control edesarrollar mantener la informacin negocio gradoplanesla someter SEGURIDAD DE LAdel en de se deben Se DE o una deben que Control debesonperidicas continuidad Desarrollo A.13jurisdiccin contraINCIDENTES debe paradedecontinuidadoperaciones el asegurar la GESTiN DE Estructura Recoleccin y Control INFORMACiN seguimiento de elde la seguridad negocio para tiempo Se requeridos, planes Pruebas, mantener e implementar sola estructura gestin en Los planes recuperar las planes para y los toda disponibilidad la continuidad del y Se una Inclusin la dente consistente,deasl informacin. escala de sequridad neqocio. y la orqanizacin. los neqocio dad del continuidadelprobabilidad sus requisitoscontinuidad para de de Op.ortuna. penales), negocio, yimplica acciones legalesla pruebas la (civiles gocio negocio oV mantenimiento lospara las prioridades todos para eldela con de la del la evidencia se lasde de paradel dadforma DEL depresentar necesariosSeparaimpacto reglasdichas el los A.13.2.3 NEGOCIOimportantes en con sistemas de de seguridad osdel junto informacincual como cumplir de ladebe recolectar,informacin o contra continuidad ydel negocio su recuperacin interrupciones, la informacin como identificar asegurar que consecuencias A.14.1.1 organizacinfallas asl para trate seguridad de la gestin de la desastres, retener efectos Aspectos de seguridad asegurar UIDAD A.14.1 la informacin, Cuando Objetivo: contrarrestar las interrupciones en las actividades del negocio y proteger sus procesos crlticos contra los

30

NORMA TCNICA COLOMBIANA

NTC-ISO/IEC 27001
Tabla A.1. (Continuacin)

normasde lasdebe Controla evitar miento de para de Control degarantizar los proteccin de los todos ylos Control Control llevanCumplimiento deprocesa A.15sobreproteger statutarias,falsificacin, directoresprocesamiento de informacin para CUMPLIMIENTO(DPI). cumplimiento cada implementar cabointelectual s debendeydedisuadir los Prevencin laresponsabilidad losloslaimportantesde datosdeProteccin normasley, softwarede e con eluso ControlVerificacin usodebenutilizarde de Sesistemase procedimientos criptogrficos con Controldestruccinde ya los registros leyesdey que la garantizar que datos Derechos Identificacin prdida, cualquierestatutarios, las los propiedad implementacin y las Reglamentacin servicios productos de del controles requisitos obligaciones incumplimiento de e dellos usuarios de utilizar Los debe deben Se la Proteccin registros deben y los connormasuso contrato. de sequridad.aplica, legales sistemas las delas los Vacuerdos, reglamentariosTodos elrequisitos clusulas deactualizadosde de sidentro de losenfoque V del con contractuales normas determinar Los cumplimiento y mantenerexistirpertinentes conconse el contractuales propsitos legales, seguridad cumplimiento con cual pOlrticas dellosdel material los la como intelectual viciosyneqocio. organizacin explfcitamente,Seydocumentar de informacin se deben verificar plancumplimientoel las autorizados. cumplir respecto alreas A.15.1.1 sobre reglamentos de acuerdo se de estos A.15.2.1 el requisitos definir y pueden ento personal. cas las deben no derechos peridicamente de para procedimientos seguridad y propiedad sus tcnico acin todos la Cumplimientopara y, asf legislacin requisitos estatutarios, reglamentarios privacidad, pertinentes, A.15.1 requisitos Objetivo: asequrar que los sistemas cumplen con las normas V polrticas de sequridad de la orqanizacin .. Objetivo:

31

NORMATCNICA COLOMBIANA

NTC-ISO/IEC 27001
Tabla A.1. (Final)

A.15 CUMPLIMIENTO A.15.3 Consideraciones

de la auditorfa de los sistemas de informacin

Objetivo: maximizar la eficacia de los procesos de auditorfa de los sistemas de informacin minimizar su interferencia. A.15.3.1 Controles de auditorla de los Control sistemas de informacin. Los requisitos y las actividades de auditorla que implican verificaciones de los sistemas operativos se deben planificar y acordar cuidadosamente para minimizar el riesgo de interrupciones de los procesos del neqocio. Proteccin de las Control A.15.3.2 herramientas de auditorla de Se debe proteger el acceso a las herramientas de los sistemas de informacin. auditorla de los sistemas de informacin para evitar su uso inadecuado o ponerlas en peliqro.

32

NORMATCNICA COLOMBIANA

NTC-ISOIIEC 27001
ANEXOB (1 nformativo)

PRINCIPIOS DE LA OCDE

DE ESTA NORMA

Los principios presentados en la Directrices de la OCDE para la Seguridad de Sistemas y Redesde Informacin se aplican a todos los niveles de polftica y operacionales que controlan la seguridad de los sistemas y redes de informacin. Esta norma internacional brinda una estructura del sistema de gestin de la seguridad de la informacin para implementar algunos principios de la OCDE usando el modelo PHV A y los procesos descritos en los numerales 4, 5, 6Y 8, como se indica en la Tabla 8.1.

Tabla B.1. Principios de la OCOE y el modelo PHV A

unHacerregulares deberrandede esdeben en donde que Principio dela de incidentes, por se para estar faseconscienteslos la OCOErevisar y reevaluar de elfase reevaluacin laauditorrasoperacionaly tambinyde seguridad cubrir parte revisiones losparte de la fase Proceso la SGSIalqunos 4.2.4los elrealizado lade (vaseA ade Planificar,cubrefase laincluye y(vanse procesoparticipantes esde dela responsables actividad la estn hadellade fase laEstode seguimiento puede es deLa actividad respuesta deteccin respuesta a (vanse Esta Esta vez(vanse lacobUadosde revisin 8.1 el 8.3). controles. estos Actuar La implementacin por Hacer y numerales eficaciB fase aseguridad gestin 8.1 se Todos Planificar (vase riesgoses son aspectos quede(vanse los 8.3). 4.2.4PHV la estosy a5.2) de la se en verificar informacin; mejoray las las fases4.2.2 6 los actividad gestinrealizar Actuar numerales de Planificar y Verificar.Hacer, como correspondienteusoactividadseguridad denumeral riesgos, una fase parte (vanse numerales de mantenimiento,se yy unasistemafasesde 4.2.3 eslaparte de la fase y numerales continuos. 7.3). ~sta es en aspectos Planificar evaluacininformacin4.2.1). la Una Verificar parte de cin. seQuridad.parte Verificar numeralesseguridad mejorar 7.3 riesgos deriesgo de la(vanse que pueden elhacer para y 6de los 6 y 7.3), la Respuesta Actuar. Responsabilidad lo los (vanse los numerales 4.2.3 la a una Diseno e implementacinpara la tratamiento seleccionan controles de Verificar e informacin fase de la parte es y y de 4.2.3 a y

33

NORMA TrCNICA COLOMBIANA

NTC-ISO/IEC 27001
ANEXO C
(1 nformativo)

CORRESPONDENCIA

ENTRE LA NTC-ISO 9001:2000, LA NTC-ISO 14001:2004, V LA PRESENTE NORMA

La Tabla C.1 muestra la correspondencia presente norma internacional.

entre la NTC ISO 9001:2000,

la NTC-ISO

14001:2004

y la

Tabla C.1. Correspondencia medicinde de losSeguimiento campo mejoraySeguimiento y medicin gestindel Estay norma Mantenimiento Establecimiento Generalidades y 4.5.1del Objeto y

entre la ISO 9001:2000,

la ISO 14001:2004

y la presente norma internacional de 4.4lmplementacin y operacin gestin ambiental

4.2

emas

1. Requisitos aplicacin 8.2.3Requisitos definiciones la calidad NTC-ISO 4. 14001:2004y delde procesos NTC-Aplicaciny basado definiciones de O. ISO Requisitos Introduccin 2. Sistema9001 :2000 normativas 1.2 Introduccin 1.1 Generalidades 2. 0.4 Compatibilidad 3. Referencias generales otros 0.2 Enfoque normativas 1. gestin campo 4. Trminos de gestinconsistema sistemas 3. y 4.1Objeto Trminos de generales 4.1Referencias en 0.1 8.2.4 Sequimiento V del SGSIdel producto 4.2.1 Establecimiento norma 0.3 Seguimiento y medicindel SGSI 4.2.3 Relacin con la revisin ISO 9004

Contina ...

34

NORMA TCNICA COLOMBIANA

NTC-ISO/IEC 27001
Tabla C.1. (Final)

Esta norma 4.3 Requisitos de documentacin 4.3.1 Generalidades

NTC- ISO 9001 :2000 4.2 Requisitos de la documentacin 4.2.1 Generalidades 4.2.2 Manual de la calidad

NTC-ISO

14001:2004

4.3.2

Control de documentos

4.2.3 Control de los documentos

4.4.5 Control de documentos

4.3.3 Control de re~istros

4.2.4 Control de los re~istros 5. Responsabilidad de la direccin 5.1 Compromiso de la direccin

4.5.4 Control de los r~istros

115.R70nsabilidad Compromiso

de de direccin la la direccin

5.2 Enfoque al cliente 5.3 Polftica de la calidad 5.4 Planificacin 5.5 Responsabilidad, comunicacin 6. Gestin de los recursos 6.1 Provisin de recursos 6.2 Recursos humanos autoridad y 4.2 Polftica ambiental 4.3 Planificacin

5.2 Gestin de recursos 5.2.1 Provisin de recursos

y competencia 5.2.2 Formacin,

toma de conciencia

formacin \6.2.2 Competencia, 6.3 Infraestructura

toma de conciencia

y toma de conciencia y 14.4.2 Competencia, formacin

6. Auditorras internas del SGSI 7-:-Rvisin del SGSI por la direccin 7.1 Generalidades 7.2 Informacin para la revisin

6.4 Ambiente de traba'o 8.2.2 Auditorra interna

4.5.5 Auditorra interna 4.6 Revisin por la direccin

I 5.6 Revisin por la direccin


5.6.1 Generalidades 5.6.2 Informacin para la revisin

7.3 Resultados de la revisin 8. Mejora del SGSI 8.1 Mejora continua 8.2 Accin correctiva

5.6.3 Resultados de la revisin 8.5 Mejora 8.5.1 Mejora continua 8.5.2 Acciones correctivas 4.5.3 No conformidad, accin correctiva y accin preventiva

8.3 Accin preventiva Anexo A controles Objetivos de control y

8.5.3 Acciones preventivas Anexo A Orientacin para el uso de esta norma internacional

Anexo B Principios esta norma

de la OCDE y de

ISO 9001:2000, la NTC-ISO 14001:2004

I V la presente norma Anexo C Correspondencia entre la NTC-I Anexo

ISO 9001:2000y la ISO 14001:1996 entre la ISO 14001 :2004 y la ISO B Correspondencia A Correspondencia entre las normas I Anexo 9001: 2000

35

NORMA TCNICA COLOMBIANA

NTC-ISO/IEC 27001
BIBlIOGRAF(A

[1]

NTC-ISO 9001 :2000, Sistemas de gestin de la calidad. Requisitos. NTC-ISO 14001 :2004, Sistemas de gestin ambiental. Requisitos con orientacin para su uso. NTC-ISO 19011 :2002, Directrices para la auditoria de los sistemas de gestin de la calidad y/o ambiente. GTC 36 Requisitos generales para organismos que realizan evaluacin y

[2] [3]

[4]

~certificacin/registro de sistemas de calidad. (ISO/lEC Guide 62) [5] NTC 5411-1 Tecnologa de la informacin. Tcnicas de seguridad. Gestin de la seguridad de ~ la tecnologa de la informacin y las comunicaciones. Parte 1: Conceptos y modelos para la gestin de la tecnologa de la informacin y las comunicaciones (ISO/lEC 13335-1 :2004). [6] ISO/lEC TR 13335-3:1998, Information Technology. Guidelines for the Management of IT Security. Part 3: Techniques for the Management of IT Security. ISO/lEC TR 13335-4:2000, Information Technology. IT Security. Part 4: Selection of Safeguards. ISO/lEC TR 18044:2004, Information Security Incident Management. Technology. Guidelines for the Management of

[7]

[81

Security Techniques.

Information

[9]

ISO/lEC Guide 73:2002, Risk Management. Vocabulary. Guidelines for use in Standards.

Otras publicaciones
[11

OECD, Guidelines for the Security of Information Systems and Networks. Towards a Culture of Security, Paris: OECD, July 2002. www.oecd.org. NIST SP 800-30, Risk Management Guide for Information Technology Systems. Deming W.E., Out of the Crisis, Cambridge, Mass: MIT, Center for Advanced Engineerig Study, 1986.

[2]

[3]

-----

..

-----

- --

36

NORMA TCNICA COLOMBIANA


DOCUMENTO DE REFERENCIA

NTC-ISO/IEC 27001

INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. Information Technology. Security Techniques. Information Security Management Systems. Requirements. Geneva. ISO. pp 34 (ISO/lEC 27001: 2005)

37

You might also like