You are on page 1of 53

ESQUEMA DE NORMA

TECNICA PERUANA
Comisin de Reglamentos Tcnicos y Comerciales
Calle De La Prosa 138, San Borja (Lima 41) Apartado 145

ENTP ISO/IEC 27001


2008
Lima, Per

EDI. Tecnologa de la informacin Tcnicas de seguridad


- Sistemas de gestin de seguridad de la informacin
Requisitos.
EDI. Information technology Security techniques Information security management systems
Requirements.

2006 - 10 - 30
1 Edicin

Este documento se encuentra en etapa de estudio, sujeto a posible


cambio. No debe ser usado como Norma Tcnica Peruana
Precio basado en 49 pginas
I.C.S:
ESTA NORMA ES RECOMENDABLE
Descriptores: Administracin de seguridad de la informacin, informacin.

ESQUEMA DE NORMA
TECNICA PERUANA

ENTP ISO/IEC 27001


2 de 49

INDICE

pgina

Introduccin

Alcance

Referencias Normativas

Trminos y Definiciones

Sistema de gestin de seguridad de la informacin

Responsabilidad de la gerencia

17

Revisin gerencial del ISMS

19

Revisin gerencial del ISMS

20

Mejora del ISMS

22

Antecedentes

23

ANEXO A (normativo) Objetivos de control y controles

24

ANEXO B (informativo) Principios OECD y esta Norma Peruana

44

ANEXO C (informativo) Correspondencia entre la Norma ISO 9001:200,


ISO 14001:2004 y esta Norma Peruana

46

Bibliografa

49

ESQUEMA DE NORMA
TECNICA PERUANA

ENTP ISO/IEC 27001


3 de 49

PREFACIO

A.

RESEA HISTORICA

A.1.
El presente Proyecto de Norma Tcnica Peruana fue elaborado por el
Comit Tcnico Permanente de Codificacin e Intercambio Electrnico de Datos (EDI),
mediante el Sistema 2 u Ordinario, durante los meses de octubre y noviembre del 2006.

A.2.
El Comit Tcnico de Normalizacin de Codificacin e Intercambio
Electrnico de Datos EDI present a la Comisin de Reglamentos Tcnico y
Comerciales -CRT-, con fecha ao-mes-da, el PNTP ISO/IEC 27001:2006 Tecnologa de
la informacin Tcnicas de seguridad - Sistemas de gestin de seguridad de la
informacin Requisitos, para su revisin y aprobacin, previa a la etapa de discusin
pblica.

A.3.
Este Esquema de Norma Tcnica Peruana utiliz como antecedente la
ISO/IEC 27001: 2005. Information technology Security techniques Information security
management systems Requirements. El presente Proyecto de Norma Tcnica Peruana
presenta cambios editoriales referidos principalmente a terminologa empleada propia del
idioma espaol y ha sido estructurado de acuerdo a las Guas Peruanas GP 001:1995 y GP
002:1995.

B.

INSTITUCIONES QUE PARTICIPARON EN LA ELABORACION


DEL PROYECTO DE NORMA TECNICA PERUANA

Secretara

EAN PERU

Presidente

Marcos Surez

Secretaria

Mary Wong

ESQUEMA DE NORMA
TECNICA PERUANA

ENTP ISO/IEC 27001


4 de 49

ENTIDAD

REPRESENTANTE

DISTRIBUIDORA MAYORISTA SYMBOL S.A.


DROKASA PERU S.A.
E. WONG S.A.

Deyanira Villanueva
Juan Aquije
Marcela Aparicio

FOLIUM S.A.C.
ITS CONSULTANTS S.A.C.
IBC SOLUTIONS PERU S.A.C.
OFICINA DE NORMALIZACION PREVISIONAL
PERU SECURE E-NET S.A.C
PONT. UNIV. CATOLICA DEL PERU

Roberto Huby
Ricardo Dioses
Daniella Orellana
Roberto Puy
Pablo Omonte
Viktor Khlebnikov
Willy Carrera
Csar Vilchez
Max Lazaro
David Mongrut
Ral Adriazola
Renzo Alcntara

PRESIDENCIA DEL CONSEJO


DE MINISTROS
SUPERMERCADOS PERUANOS S.A.
TECNOLOGA FLEXOGRAFICA S.A.
TRANSPORTE CONFIDENCIAL DE
INFORMACIN S.A. - TCI
UNILEVER ANDINA PERU S.A.
EAN PERU

---oooOooo---

Miguel Labarthe
Milagros Dvila
Tatiana Pea

ESQUEMA DE NORMA
TECNICA PERUANA

0.

INTRODUCCION

0.1

Aspectos generales

ENTP ISO/IEC 27001


5 de 49

Esta norma de Seguridad de la Informacin ha sido preparada con el fin de ofrecer un


modelo para establecer, implementar, operar, monitorear, mantener y mejorar un efectivo
Sistema de Gestin de Seguridad de la Informacin ISMS, por sus siglas en Ingles
(Information Security Management System). La adopcin de un ISMS debe ser una
decisin estratgica para una organizacin. El diseo e implementacin del ISMS de una
organizacin est influenciado por las necesidades y objetivos de negocio, requerimientos
de seguridad, procesos, tamao y estructura de la organizacin. Se espera que stos y sus
sistemas de soporte cambien a lo largo del tiempo, as como que las situaciones simples
requieran soluciones ISMS simples.

Esta norma peruana puede usarse en el mbito interno y externo de las organizaciones.

0.2

Enfoque de proceso

Esta norma peruana promueve la adopcin de un enfoque del proceso para establecer,
implementar, operar, monitorear, mantener y mejorar la efectividad de un ISMS en la
organizacin.

Una organizacin debe identificar y administrar varias actividades con el fin de funcionar
efectivamente. Cualquier actividad que administre y use recursos para lograr la
transformacin de entradas en salidas, puede ser considerado un proceso. Con frecuencia la
salida de un proceso se convierte en la entrada al proceso siguiente.

La aplicacin de un sistema de procesos dentro de una organizacin, junto con la


identificacin e interacciones de estos procesos y su administracin se define como un
enfoque de proceso.

El enfoque de proceso alienta a sus usuarios a enfatizar la importancia de:

a)
entender los requerimientos de seguridad de informacin de negocios y la
necesidad de establecer polticas y objetivos para la seguridad de la informacin;

ESQUEMA DE NORMA
TECNICA PERUANA

ENTP ISO/IEC 27001


6 de 49

b)
implementar y operar controles en el contexto de administrar el riesgo total
del negocio de una organizacin;
c)

monitorear y revisar el desempeo y efectividad del ISMS; y

d)

mejoramiento continuo basado en la medicin de objetivos.

El modelo conocido como Planear-Hacer-Verificar-Actuar - PDCA (Plan-Do-CheckAct), por sus siglas en ingles, puede aplicarse a todos los procesos ISMS. La Figura 1
ilustra cmo un ISMS toma como entrada los requerimientos y expectativas de seguridad
de la informacin de las partes interesadas y a travs de las acciones y procesos necesarios
genera productos de seguridad de la informacin (es decir: gestin de la seguridad de la
informacin) que cumple estos requerimientos y expectativas. La Figura 1 tambin ilustra
los enlaces en los procesos presentados en los captulos 4, 5, 6, 7 y 8.

La adopcin del modelo PDCA tambin reflejara los principios como se establecieron en
la pautas de OECD (2002) 1 para la gobernabilidad de los sistemas y redes de la seguridad
de informacin. Esta norma provee un fuerte modelo para implementar los principios en
las pautas que gobiernan la evaluacin del riesgo, el diseo e implementacin de la
seguridad, la gestin de seguridad y la reevaluacin.

EJEMPLO 1
Un requerimiento puede ser aquel que las brechas en la seguridad de la informacin no
causen serios daos financieros y/o daen la imagen de la organizacin.

EJEMPLO 2
Una expectativa podra ser que si ocurriera un incidente serio que afecte el web site del
eBusiness de una organizacin debe existir personal capacitado en procedimientos
adecuados para minimizar el impacto.

OECD Gua para los sistemas y redes de Seguridad de la Informacin Hacia una cultura de seguridad.
Paris: OECD, Julio 2002. www.oecd.org

ESQUEMA DE NORMA
TECNICA PERUANA

ENTP ISO/IEC 27001


7 de 49

Planear
Establecer el
ISMS

Partes
Interesadas

Hacer

Ciclo de
Mantener y
Implementar
desarrollo,
mejorar el Actuar
y Operar el
mantenimiento
ISMS
ISMS
y mejora

Monitorear
y revisar el
ISMS

Requerimiento y
expectativas de
seguridad de
informacin

Verificar

Partes
Interesadas

Gestin de la
Seguridad de la
Informacin

FIGURA 1 Modelo PDCA aplicado al proceso ISMS

Planear (establecer el
ISMS)

Hacer (implementar y
operar el ISMS)
Verificar (monitorear
y revisar el ISMS)

Actuar (mantener y
mejorar el ISMS)

Establecer las polticas, objetivos, procesos y procedimientos


de seguridad relevantes para administrar el riesgo y mejorar la
seguridad de la informacin para obtener resultados de
acuerdo con las polticas y objetivos de la organizacin.
Implementar y operar las polticas, controles, procesos y
procedimientos de seguridad.
Monitorear y evaluar el funcionamiento de los procesos con
respecto a las polticas, objetivos y experiencia prctica de
seguridad, informando sobre los resultados obtenidos a la
gerencia para su revisin.
Tomar acciones correctivas y preventivas basndose en los
resultados de la revisin gerencial para alcanzar la mejora
continua del ISMS.

ESQUEMA DE NORMA
TECNICA PERUANA

0.3

ENTP ISO/IEC 27001


8 de 49

Compatibilidad con otros sistemas de gestin

Esta norma est acorde con ISO 9001:2000 y ISO 14001:2004 con el fin de respaldar una
implementacin y operacin consistente e integrada con las normas de gestin afines. Un
sistema de gestin convenientemente diseado puede satisfacer as los requisitos de todos
estos estndares. Tabla C.1, ilustra la relacin entre los captulos de esta norma peruana,
ISO 9001:2000 y ISO 14001:2004.

Esta norma peruana est diseada para hacer posible que una organizacin se alinee o
integre su ISMS con los requerimientos de los sistemas de gestin relacionados.

ESQUEMA DE NORMA
TECNICA PERUANA

ENTP ISO/IEC 27001


9 de 49

EDI. Tecnologa de la informacin Tcnicas de seguridad Sistemas de gestin de seguridad de la informacin


Requisitos.

IMPORTANTE Esta norma no pretende incluir todos los trminos necesarios para
un contrato. Los usuarios son responsables de su correcta aplicacin. Cumplir con
una norma nacional no confiere en s mismo inmunidad de las obligaciones legales.

1.

ALCANCE

1.1

Aspectos Generales

Esta norma peruana cubre todo los tipos de organizaciones (como por ejemplo: empresas
comerciales, agencias de gobierno y organizaciones sin fines de lucro). Esta norma
peruana especifica los requerimientos para establecer, implementar, operar, monitorear,
revisar, mantener y mejorar un ISMS documentado dentro del contexto de los riesgos de
negocio de la organizacin. Especifica los requerimientos para implementar los controles
de seguridad adaptado a las necesidades individuales de las organizaciones o partes de las
mismas.

El ISMS est diseado para garantizar y proporcionar controles de seguridad adecuados


que protejan los activos de informacin, brindando confianza a las partes interesadas.

NOTA 1: Las referencias de negocio en esta norma peruana deben ser interpretadas ampliamente
para representar las actividades que son base para los propsitos de la existencia de la organizacin.

NOTA 2: La ISO/IEC 17799 provee pautas de implementacin que pueden ser utilizadas cuando se
designen controles.

ESQUEMA DE NORMA
TECNICA PERUANA

1.2

ENTP ISO/IEC 27001


10 de 49

Aplicacin

Los requisitos establecidos en esta norma peruana son generales y tienen la intencin de
aplicarse a todas las organizaciones, sin tomar en cuenta el tipo, tamao y naturaleza del
negocio. Cuando una organizacin reclama conformidad con esta norma peruana, no es
aceptable excluir cualquiera de los requerimientos especificados en las clusulas 4, 5, 6, 7
y 8.

Cualquier exclusin de los controles necesarios para satisfacer el criterio de aceptacin de


los riesgos necesarios, debe justificarse y las necesidades de evidencias que debe ofrecerse
en cuanto a que las personas responsables han aceptado adecuadamente los riesgos
asociados. Cuando se realiza exclusiones, los reclamos de conformidad de esta norma no
son aceptables a menos que esas exclusiones no afecten la capacidad y/o responsabilidad
de la organizacin para ofrecer seguridad de la informacin que cumple los requerimientos
de seguridad establecidos por la evaluacin de riesgo y requerimientos reglamentarios
aplicables.

NOTA: Si una organizacin ya posee un sistema operativo de gestin de procesos de negocio (por
ejemplo in relacin con ISO 9001 o ISO 14001), es preferible, en la mayora de los casos, satisfacer
los requisitos de esta norma peruana dentro de los sistemas de gestin existentes.

2.

REFERENCIAS NORMATIVAS

Las siguientes normas contienen disposiciones que al ser citadas en este texto, constituyen
requisitos de este Esquema de Norma Tcnica Peruana. Las ediciones indicadas estaban en
vigencia en el momento de esta publicacin. Como toda Norma est sujeta a revisin, se
recomienda a aquellos que realicen acuerdos en base a ellas, que analicen la conveniencia
de usar las ediciones recientes de las normas citadas seguidamente. El Organismo Peruano
de Normalizacin posee la informacin de las Normas Tcnicas Peruanas en vigencia en
todo momento.

2.1

Normas Tcnicas Internacionales

2.1.1

ISO/IEC 17799:2005

Information technology Security techniques Code of practice for information security


management.

ESQUEMA DE NORMA
TECNICA PERUANA

3.

ENTP ISO/IEC 27001


11 de 49

TERMINOS Y DEFINICIONES

Para los fines de esta norma peruana, se aplican los siguientes trminos y definiciones:

3.1
activo: algo que presenta valor para la organizacin.
[ISO/IEC 13335-1:2004]

3.2
disponibilidad: garantizar que los usuarios autorizados tengan acceso a la
informacin y activos asociados cuando sea necesario.
[ISO/IEC 13335-1:2004]

3.3
confidencialidad: garantizar que la informacin sea accesible nicamente
para quienes tengan acceso autorizado.
[ISO/IEC 13335-1:2004]

3.4
seguridad de la informacin: seguridad de preservar la confidencialidad,
integridad y disponibilidad de la informacin; adems, tambin pueden ser involucradas
otras caractersticas como la autenticacin, responsabilidad, no-repudio y fiabilidad.
[ISO/IEC 17799:2005]

3.5
evento de la seguridad de la informacin: ocurrencia identificada en un
sistema, servicio o red indicando una posible brecha de la poltica de informacin o falla
de las salvaguardas o una situacin desconocida previa que puede ser relevante.
[ISO/IEC TR 18044:2004]

3.6
incidente de la seguridad de la informacin: serie de eventos inesperados
que tienen una probabilidad significativa de comprometer operaciones del negocio y
amenazar la seguridad de la informacin.
[ISO/IEC TR 18044:2004]

3.7
sistema de gestin de seguridad de la informacin ISMS: es la parte
del sistema integral de gestin, basado en un enfoque del riesgo del negocio para
establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la
informacin.

ESQUEMA DE NORMA
TECNICA PERUANA

ENTP ISO/IEC 27001


12 de 49

Nota: El sistema de gestin incluye la estructura organizacional, polticas, actividades de


planificacin, responsabilidades, prcticas, procedimientos, procesos y recursos.

3.8
integridad: salvaguardar la exactitud e integridad de la informacin y
mtodos de procesamiento.
[ISO/IEC TR 13335-1:2004]

3.9
riesgo residual: riesgo remanente despus de un tratamiento del riesgo.
[ISO/IEC Guide 73:2002]

3.10
aceptacin del riesgo: decisin de aceptar el riesgo.
[ISO/IEC Guide 73:2002]

3.11
anlisis del riesgo: uso sistemtico de informacin para identificar
amenazas y estimar el riesgo.
[ISO/IEC Guide 73:2002]

3.12
estimacin del riesgo: proceso total de anlisis y valoracin del riesgo.
[ISO/IEC Guide 73:2002]

3.13
evaluacin del riesgo: proceso de comparacin del riesgo estimado frente
al criterio de riesgo para determinar el significado del riesgo.
[ISO/IEC Guide 73:2002]

3.14
gestin del riesgo: actividades coordinadas para dirigir y controlar el riesgo
en una organizacin.
[ISO/IEC Guide 73:2002]

3.15
tratamiento del riesgo: proceso de seleccin e implementacin de medidas
para minimizar el riesgo.
[ISO/IEC Guide 73:2002]

Nota: En esta norma peruana el termino control es utilizado como un sinnimo de medida.

ESQUEMA DE NORMA
TECNICA PERUANA

ENTP ISO/IEC 27001


13 de 49

3.16
declaracin de aplicabilidad: documento que describe los objetivos y los
controles que son pertinentes y aplicables al ISMS de la organizacin.

Nota: los objetivos y controles estn basados en los resultados y conclusiones de los procesos de
evaluacin del riesgo y tratamiento del riesgo, requisitos legales o regulatorios, obligaciones
contractuales y los requisitos de negocio de la informacin de seguridad de la organizacin.

4.

SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACIN

4.1

Requerimientos generales

La organizacin desarrollar, implementar, operar, monitorear, revisar, mantendr y


continuar la mejora de un ISMS documentado dentro del contexto de las actividades y
riesgos totales de la organizacin. Para los fines de esta norma, el proceso usado se basa
en el modelo PDCA mostrado en la Figura 1.

4.2

Establecimiento y administracin del ISMS

4.2.1

Establecimiento del ISMS

La organizacin realizar lo siguiente:

a)
Definir el alcance y limites del ISMS en trminos de las caractersticas del
negocio, la organizacin, su localizacin, activos y tecnologa e incluyendo detalles
sobre y justificaciones para cualquier exclusin del alcance (vase 1.2).
b)
Definir una poltica ISMS en trminos de las caractersticas del negocio, la
organizacin, su localizacin, activos y tecnologa que:
1)
Incluye un marco para establecer sus objetivos y establece un sentido
total de direccin y principios para accin con miras a la seguridad de la
informacin;
2)
considera requerimientos de negocios, legales o regulatorios y
obligaciones de seguridad contractual;

ESQUEMA DE NORMA
TECNICA PERUANA

ENTP ISO/IEC 27001


14 de 49

3)
establece el contexto estratgico organizacional y la gestin del
riesgo en el cual tiene lugar el establecimiento y mantenimiento del ISMS;
4)
establece criterios frente a los cuales se evaluar el riesgo y se
definir la estructura de evaluacin del riesgo [vase 4.2.1c)];
5)
ha sido aprobado por la gerencia.
Nota: Para propsitos de esta norma peruana, la poltica de ISMS es considerada como un
conjunto de la poltica de la seguridad de informacin. Estas polticas pueden ser descritas
en otro documento.

c)

Definir un enfoque sistemtico para la evaluacin del riesgo.


1)
Identificar un mtodo de evaluacin del riesgo que se adecue al
ISMS y a requerimientos legales y regulatorios de la informacin de
seguridad del negocio identificada.
2)
Determinar criterios para aceptar e identificar los niveles aceptables
del riesgo [vase 5.1f].
La metodologa de evaluacin de riesgos seleccionada debe asegurar que la
evaluacin de riesgos produzca resultados comparables y reproducibles.
Nota: Existen diferentes metodologas para una evaluacin de riesgos. Los ejemplos de
metodologas de evaluacin de riesgos son discutidas en la ISO/IEC TR 13335-3.

d)

Identificar los riesgos.


1)
Identificar los activos dentro del alcance del ISMS y los
propietarios 2 de estos activos.
2)
Identificar las amenazas a esos activos.
3)
Identificar las vulnerabilidades que podran explotarse mediante
estas amenazas.
4)
Identificar los impactos de prdidas de confidencialidad, integridad y
disponibilidad sobre los activos.

e)

Analizar y Evaluar los riesgos.


1)
Evaluar los daos comerciales que podran resultar de una falla de
seguridad, considerando las consecuencias potenciales de una prdida de
confidencialidad, integridad o disponibilidad de los activos.

El termino propietario identifica a un individuo o entidad que aprueba la responsabilidad por la gestin
por controlar la produccin, desarrollo, mantenimiento, uso y seguridad de los activos. El trmino
propietario no significa que la persona tiene algn derecho de propiedad realmente sobre el activo.

ESQUEMA DE NORMA
TECNICA PERUANA

ENTP ISO/IEC 27001


15 de 49

2)
Evaluar las posibilidades de falla de seguridad, teniendo en cuenta
las amenazas, vulnerabilidades e impactos asociados con estos activos y los
controles implementados actualmente.
3)
Estimar los niveles del riesgo.
4)
Determinar si el riesgo es aceptable o requiere tratamiento usando el
criterio establecido en 4.2.1c)2).
f)

Identificar y evaluar opciones para el tratamiento del riesgo.

Las posibles acciones incluyen:


1)
aplicar los controles apropiados;
2)
aceptar riesgos conciente y objetivamente, siempre y cuando
satisfagan claramente la poltica de la organizacin y el criterio para la
aceptacin del riesgo [vase 4.2.1c)2)];
3)
evitar riesgos; y
4)
transferir los riesgos de negocio asociados a otras partes, por
ejemplo: aseguradores, proveedores.
g)

Seleccionar objetivos de control y controles para el tratamiento del riesgo.

Se seleccionar los objetivos de control y controles adecuados y se justificar en


base a las conclusiones de la evaluacin y proceso de tratamiento de riesgo. Esta
seleccin debe tomar en cuenta el criterio para aceptacin de riesgos [vase
4.2.1c)2)] as como los requerimientos legales, regulatorios y contractuales.
Los objetivos de control y controles del Anexo A deben ser seleccionados como
parte del proceso as como adecuados para cubrir los requerimientos identificados.
Los objetivos de control y los controles que figuran en el Anexo A no son
exhaustivos y tambin puede seleccionarse objetivos de control y controles
adicionales.
Nota: El Anexo A contiene una lista comprensible de objetivos de control que han sido encontrados
como relevantes para las organizaciones. Los usuarios de esta norma son dirigidos a este Anexo A
como un punto de partida para la seleccin de controles con el fin de asegurar que no se hayan
obviado opciones de control importantes.

h)
Obtener aprobacin por parte de la gerencia sobre los riesgos residuales
propuestos.
i)
Obtener autorizaron por parte de la gerencia para implementar y operar el
ISMS.

ESQUEMA DE NORMA
TECNICA PERUANA

j)

ENTP ISO/IEC 27001


16 de 49

Prepara una declaracin de aplicabilidad.

Una declaracin de aplicabilidad debe ser preparada y debe incluir lo siguiente:


1)
los objetivos de control y los controles seleccionados en 4.2.1g) y las
razones para su seleccin;
2)
los objetivos de control y los controles implementados actualmente
[vase 4.2.1e)2)]; y
3)
se registrar la exclusin de cualquier objetivo de control y controles
que figuran en el Anexo A as como su justificacin.
Nota: La declaracin de aplicabilidad provee un resumen de decisiones concernientes a la evaluacin
de riesgos. Las exclusiones justificadas proveen una verificacin cruzada de que ningn control se ha
omitido inadvertidamente.

4.2.2

Implementar y operar el ISMS

La organizacin debe hacer lo siguiente:

a)
Formular un plan de tratamiento de riesgos que identifique la accin
administrativa adecuada, recursos, responsabilidades y prioridades para manejar los
riesgos de seguridad de la informacin (vase el inciso 5).
b)
Implementar el plan de tratamiento de riesgos con el fin de alcanzar los
objetivos de control identificados, que incluyen la consideracin de financiamiento y
asignacin de roles y responsabilidades.
c)
Implementar los controles seleccionados en 4.2.1g) para cumplir con los
objetivos de control.
d)
Definir como medir la efectividad de los controles o grupos de control
seleccionados y especificar como estas medidas sern utilizadas para alcanzar la
efectividad en el control con el fin de producir resultados comparables y
reproducibles [vase 4.2.3c)].
Nota: Medir la efectividad de los controles permite a los gerentes y al personal determinar que tan
bien los controles logran los objetivos de control planeados.

e)

Implementar programas de capacitacin y concientizacin (vase 5.2.2)

f)

Administrar las operaciones del ISMS.

ESQUEMA DE NORMA
TECNICA PERUANA

g)

ENTP ISO/IEC 27001


17 de 49

Administrar los recursos para el ISMS (vase 5.2)

h)
Implementar procedimientos y otros controles capaces de hacer posible la
inmediata deteccin y respuesta a los incidentes de seguridad (vase 4.2.3a)).

4.2.3

Monitorear y revisar el ISMS

La organizacin debe hacer lo siguiente:

a)

Ejecutar procedimientos de monitoreo y otros controles para:


1)
detectar inmediatamente errores en los resultados de procesamiento;
2)
identificar inmediatamente brechas de seguridad e incidentes;
3)
hacer posible que la gerencia determine si las actividades de
seguridad delegadas a personas o implementadas mediante el rea de
tecnologa de la informacin se realizan de acuerdo a lo planeado;
4)
ayudar a detectar eventos de seguridad y desde ah prevenir los
incidentes de seguridad mediante el uso de indicadores; y
5)
determinar si las acciones realizadas para resolver una violacin de
seguridad fueron efectivas.

b)
Emprender revisiones regulares de la efectividad del ISMS (incluyendo
cumplir con la poltica de seguridad, objetivos y revisar los controles de seguridad)
considerando los resultados de auditorias de seguridad, incidentes, sugerencias y
retroalimentacin de todas las partes interesadas.
c)
Medir la efectividad de los controles para verificar que se tomaron en cuenta
los requerimientos de seguridad.
d)
Revisar la evaluacin de riesgos en intervalos planificados y revisar el nivel
del riesgo residual y riesgo aceptable, tomando en cuenta los cambios a:
1)
la organizacin;
2)
la tecnologa;
3)
los objetivos y procesos del negocio;
4)
amenazas identificadas;
5)
efectividad de los controles implementados; y
6)
eventos externos, tales como cambios en el ambiente legal o
regulatorio, cambios en obligaciones contractuales y en el clima social;
e)
Realizar auditorias internas de ISMS en intervalos planificados (vase el
captulo 6).

ESQUEMA DE NORMA
TECNICA PERUANA

ENTP ISO/IEC 27001


18 de 49

Nota: Las auditorias internas son conducidas por, o a favor de, la misma organizacin, para
propsitos internos.

f)
Emprender un revisin administrativa del ISMS en una base para garantizar
que el alcance siga siendo el adecuado y las mejoras al proceso ISMS sean
identificadas (Vase 7.1).
g)
Actualizar los planes de seguridad para tomar en cuenta los resultados
encontrados del monitoreo y revisin de las actividades.
h)
Registrar acciones y eventos que podran tener un impacto en la efectividad
o funcionamiento del ISMS (vase 4.3.3).

4.2.4

Mantener y mejorar el ISMS

La organizacin debe regularmente hacer lo siguiente:

a)

Implementar en el ISMS las mejoras identificadas.

b)
Tomar las acciones correctivas y preventivas adecuadas en conformidad con
8.2 y 8.3. Aplicar las lecciones aprendidas de las experiencias de seguridad de otras
organizaciones y las de la misma organizacin.
c)
Comunicar las acciones y resultados a todas las partes interesadas con un
nivel de detalle apropiado a las circunstancias y cuando sea relevante, acordar la
forma a proceder.
d)

4.3

Garantizar que las mejoras alcancen sus objetivos planificados.

Requerimientos de documentacin

ESQUEMA DE NORMA
TECNICA PERUANA

4.3.1

ENTP ISO/IEC 27001


19 de 49

Aspectos generales

La documentacin debe incluir registros de la decisiones gerenciales, asegurar que las


acciones sean trazables a estas decisiones y a las polticas y asegurar que los resultados
grabados son reproducibles.

Es importante ser capaz de demostrar la relacin de los controles seleccionados con los
resultados de la evaluacin de riesgos y el proceso de tratamiento de riesgos as como
subsecuentemente a las polticas y objetivos de ISMS.

La documentacin del ISMS deber incluir lo siguiente:

a)
Declaraciones documentadas de la poltica de seguridad (vase 4.2.1b)) y
objetivos;
b)

el alcance del ISMS (vase 4.2.1a));

c)

los procedimientos y controles que soportan el ISMS;

d)

una descripcin de la metodologa de evaluacin del riesgo (vase 4.2.1c));

e)

informe de evaluacin del riesgo (vase 4.2.1c) a 4.2.1g));

f)

plan de tratamiento del riesgo (vase 4.2.2b));

g)
procedimientos documentados necesarios en la organizacin para garantizar
la planificacin efectiva, funcionamiento y control de sus procesos de seguridad de la
informacin y describir como medir la efectividad de los controles (vase 4.2.3c));
h)

registros exigidos por esta Norma Peruana (vase 4.3.3); y

i)

declaracin de aplicabilidad.

NOTA 1: Cuando aparece el trmino procedimiento documentado dentro de esta norma, significa
que el procedimiento est establecido, documentado, implementado y mantenido.
NOTA 2: La extensin de la documentacin del ISMS puede diferir de una organizacin a otra
dependiendo de:
- El tamao de la organizacin y el tipo de actividades; y
- El alcance y complejidad de los requerimientos de seguridad y del sistema a ser
administrado.

ESQUEMA DE NORMA
TECNICA PERUANA

ENTP ISO/IEC 27001


20 de 49

NOTA 3: Los documentos y registros pueden tener cualquier forma y tipo de medio.

4.3.2

Control de documentos

Los documentos exigidos por el ISMS estarn protegidos y controlados. Se establecer un


procedimiento documentado para definir las acciones administrativas necesarias para:

a)

aprobar documentos para su adecuacin antes de la emisin;

b)
revisar y actualizar los documentos que sean necesarios y reaprobar
documentos;
c)
asegurar que los cambios y el estado de la versin actual de los documentos
sean identificados;
d)
asegurar que las versiones ms recientes de los documentos pertinentes
estn disponibles en los puntos de uso;
e)

asegurar que los documentos sean legibles y fcilmente identificables;

f)
asegurar que los documentos se encuentren disponibles para quienes los
necesiten y sean transferidos, almacenados y dispuestos en concordancia con los
procedimientos aplicables a su clasificacin;
g)

asegurar que los documentos de origen externo sean identificados;

h)

asegurar que la distribucin de documentos sea controlada;

i)

prevenir el uso no intencional de documentos obsoletos; y

j)
aplicar la identificacin adecuada de estos si se guardan para algn
propsito.

4.3.3

Control de registros

Se establecern y mantendrn registros para ofrecer evidencia de conformidad con los


requerimientos y el funcionamiento efectivo del ISMS. Estos registros debern ser

ESQUEMA DE NORMA
TECNICA PERUANA

ENTP ISO/IEC 27001


21 de 49

controlados. El ISMS tomar en cuenta cualquier requerimiento legal pertinente. Los


registros deben ser legibles, fcilmente identificables y accesibles. Los controles
necesarios para la identificacin, almacenamiento, proteccin, acceso, tiempo de retencin
y disposicin de registros debern ser implementados y documentados.

Se mantendrn los registros del rendimiento del proceso como se seala en 4.2 y de todos
los incidentes de seguridad relacionados con el ISMS.

EJEMPLO:
Ejemplos de registros son los libros de visitantes, registros de auditoria y autorizacin de
acceso.

5.

RESPONSABILIDAD DE LA GERENCIA

5.1

Compromiso de la gerencia

La gerencia entregar evidencia de su compromiso con el establecimiento,


implementacin, operacin, monitoreo, revisin, mantenimiento y mejora del ISMS
mediante:

a)

estableciendo una poltica del ISMS;

b)

asegurando que los objetivos y planes del ISMS sean establecidos;

c)
estableciendo los roles y responsabilidades para la seguridad de la
informacin;
d)
comunicando a la organizacin la importancia del cumplimiento de los
objetivos de seguridad de la informacin y de acuerdo a la poltica de seguridad de la
informacin, sus responsabilidades de acuerdo a ley y la necesidad de una mejora
continua;
e)
brindando recursos suficientes para desarrollar, implementar, operar,
monitorear, revisar, mantener y mejorar el ISMS (vase 5.2.1);
f)
decidiendo el criterio para aceptacin de riesgos y el nivel de riesgo
aceptable;

ESQUEMA DE NORMA
TECNICA PERUANA

ENTP ISO/IEC 27001


22 de 49

g)
asegurar que las auditorias internas del ISMS sean realizadas (vase
capitulo 6); y
h)

realizando revisiones gerenciales del ISMS (vase captulo 7).

5.2

Administracin de recursos

5.2.1

Provisin de recursos

La organizacin deber determinar y brindar los recursos necesarios para:

a)

establecer, implementar, hacer funcionar y mantener el ISMS;

b)
asegurar que los procedimientos de seguridad de la informacin respalden
los requerimientos de negocio;
c)
identificar y atender los requerimientos legales y regulatorios, obligaciones
de seguridad contractuales;
d)
mantener una seguridad adecuada mediante la correcta aplicacin de todos
los controles implementados;
e)
llevar a cabo revisiones necesarias y aplicar las medidas correspondientes
segn los resultados de estas revisiones;
f)

5.2.2

cuando sea necesario, mejorar la efectividad del ISMS.

Capacitacin, concientizacin y competencia

La organizacin deber asegurar que todo el personal al cual se le asigna responsabilidades


definidas en el ISMS sea competente para realizar las tareas requeridas mediante:
a)
determinando las aptitudes necesarias del personal que lleva a cabo labores
vinculadas al ISMS;
b)
ofreciendo capacitacin o tomando otras acciones (por ejemplo empleando
personal idneo) para satisfacer estas necesidades;

ESQUEMA DE NORMA
TECNICA PERUANA

ENTP ISO/IEC 27001


23 de 49

c)
evaluando la efectividad de la capacitacin ofrecida y las acciones
ejecutadas; y
d)
manteniendo registros de educacin, capacitacin, habilidades, experiencia
y calificaciones (vase 4.3.3).

La organizacin tambin debe garantizar que todo el personal pertinente tome conciencia
de la relevancia e importancia de las actividades de seguridad de la informacin y cmo
estas contribuyen al logro de los objetivos del ISMS.

AUDITORIAS INTERNAS DEL ISMS

La organizacin conducir auditorias internas del ISMS a intervalos peridicos para


determinar si los objetivos de control, controles, procesos y procedimientos de su ISMS,
identificado si:

a)
estn conformes a los requerimientos de esta norma y legislacin o
reglamentos relevantes;
b)
estn conformes con los requerimientos de seguridad de la informacin
identificados;
c)

se han implementado y mantenido efectivamente; y

d)

funcionan como se espera.

Un programa de auditoria debe planificarse tomando en consideracin la condicin e


importancia de los procesos y reas a auditarse, as como los resultados de auditorias
previas. Deber definirse los criterios, alcance, frecuencia y mtodos de las auditorias. La
seleccin de auditores y conduccin de auditorias deben garantizar objetividad e
imparcialidad en el proceso de auditoria. Los auditores no deben auditar su propio trabajo.
Las responsabilidades y requerimientos para la planificacin y conduccin de auditorias y
la informacin de los resultados y mantenimiento de registros (vase 4.3.3) debern
definirse en un procedimiento documentado.

La gerencia responsable del rea que est bajo auditoria garantizar que las acciones se
ejecuten sin retrasos indebidos, con el fin de eliminar las no conformidades detectadas y

ESQUEMA DE NORMA
TECNICA PERUANA

ENTP ISO/IEC 27001


24 de 49

sus causas. Las actividades de mejora incluyen la verificacin de las acciones tomadas y el
reporte de los resultados de verificacin (vase captulo 8).
NOTA: ISO 19011:2002, Gua para la calidad y/o gestin de sistemas de auditoria del medio
ambiente, pueden proveer una gua til para llevar a cabo una auditoria ISMS interna.

REVISIN GERENCIAL DEL ISMS

7.1

Aspectos generales

La gerencia revisar el ISMS de la organizacin a intervalos planificados (al menos una


vez por ao) para garantizar su idoneidad continua, adecuacin y efectividad. Esta revisin
debe incluir las oportunidades de evaluacin para mejora y la necesidad de cambios al
ISMS incluyendo la poltica y los objetivos de seguridad. Los resultados de las revisiones
deben documentarse claramente y se mantendrn registros sobre las mismas (vase 4.3.3).

7.2

Revisin: entradas

La revisin gerencial deber incluir la informacin de entrada siguiente:

a)

resultados de las auditorias y revisiones del ISMS;

b)

retroalimentacin de las partes interesadas;

c)
tcnicas, productos o procedimientos que podran usarse en la organizacin
para mejorar el funcionamiento y efectividad del ISMS;
d)

situacin de las acciones preventivas y correctivas;

e)
vulnerabilidad o amenazas no atendidas adecuadamente en la evaluacin
previa del riesgo;
f)

resultados de las medidas efectivas;

g)

acciones de seguimiento de las revisiones gerenciales previas;

ESQUEMA DE NORMA
TECNICA PERUANA

h)

cualquier cambio que podra afectar el ISMS; y

i)

recomendaciones para mejoras.

7.3

ENTP ISO/IEC 27001


25 de 49

Revisin: salidas

La revisin gerencial incluir cualquier decisin y accin relacionada con lo siguiente:

a)

Mejora de la efectividad del ISMS.

b)
Actualizaciones de la evaluacin de riesgos y del plan de tratamiento de
riesgo.
c)
Modificacin de los procedimientos vinculados con la seguridad de la
informacin, segn sea necesario para responder a los eventos internos y externos
que pueden impactar en el ISMS, incluyendo cambios a:
1)
requerimientos de negocio;
2)
requerimientos de seguridad;
3)
procesos de negocio que afectan los requerimientos de negocio
existentes;
4)
marco regulatorio o legal;
5)
obligaciones contractuales; y
6)
niveles de riesgo y/o niveles de aceptacin de riesgos.
d)

Necesidades de recursos.

e)

Mejoras en como se mide la efectividad de los controles;

8.

MEJORA DEL ISMS

8.1

Mejora continua

La organizacin mejorar continuamente la efectividad de los ISMS a travs del uso de la


poltica de seguridad de la informacin, objetivos de seguridad, resultados de auditorias,

ESQUEMA DE NORMA
TECNICA PERUANA

ENTP ISO/IEC 27001


26 de 49

anlisis de eventos monitoreados, acciones correctivas y preventivas, y revisin gerencial


(vase capitulo 7).

8.2

Acciones correctivas

La organizacin tomar acciones para eliminar la causa de las no conformidades asociadas


con la implementacin y operacin del ISMS con el fin de prevenir recurrencias. Los
procedimientos documentados para las acciones correctivas se definirn como
requerimientos para:

a)

identificacin de las no conformidades;

b)

determinar las causas de las no conformidades;

c)
evaluar la necesidad de acciones para asegurar que las no conformidades no
vuelvan a producirse;
d)

determinar e implementar la accin correctiva necesaria;

e)

registrar los resultados de las acciones tomadas (vase 4.3.3); y

f)

revisar las acciones correctivas tomadas.

8.3

Acciones preventivas

La organizacin determinar las acciones para salvaguardar las futuras no conformidades


con los requerimientos de ISMS con el fin de prevenir su ocurrencia. Las acciones
preventivas debern ser adecuadas al impacto de los problemas potenciales. El
procedimiento documentado para las acciones preventivas definir los requerimientos
para:
a)

identificar las no conformidades potenciales y sus causas;

b)
evaluar la necesidad de un accin con el fin de prevenir ocurrencias de no
conformidades;
c)

determinar e implementar las acciones preventivas necesarias;

d)

registrar los resultados de las acciones tomadas (vase 4.3.3) y

ESQUEMA DE NORMA
TECNICA PERUANA

e)

ENTP ISO/IEC 27001


27 de 49

revisar las acciones preventivas tomadas;

La organizacin debe identificar los riesgos alterados e identificar los requerimientos de


acciones preventivas centrndose en aquellos significativamente alterados.

La prioridad de las acciones preventivas se determinar en base a los resultados de la


evaluacin del riesgo.

NOTA: Las acciones para prevenir no conformidades con frecuencia son ms econmicas que las
acciones correctivas.

9.

ANTECEDENTES

9.1.

ISO/IEC 27001: 2005

Information technology Security techniques


Information security management systems
Requirements

ESQUEMA DE NORMA
TECNICA PERUANA

ENTP ISO/IEC 27001


28 de 49

ANEXO A
(NORMATIVO)

OBJETIVOS DE CONTROL Y CONTROLES

Los objetivos de control y los controles que figuran en la tabla A.1 se derivan y alinean
directamente con los que figuran en NTP ISO/IEC 17799:2006, captulos 5 a 15. Las listas
en estas tablas no son exhaustivas y la organizacin puede considerar que son necesarios
objetivos de control y controles adicionales. Los objetivos de control y los controles de
estas tablas deben seleccionarse como parte del proceso ISMS especificado en 4.2.1.

La NTP ISO/IEC 17799:2006, captulos 5 a 15 ofrecen asesora de implementacin y


pautas sobre las mejores prcticas en apoyo de los controles especificados de A.5 a A.15.

Tabla A.1 Objetivos de control y controles


A.5

Poltica de seguridad

A.5.1 Poltica de seguridad de la informacin


Objetivo de control: Ofrecer directivas de gestin y soporte en concordancia con los
requerimientos del negocio y las regulaciones y leyes pertinentes.
A.5.1.1

A.5.1.2

Documentos de poltica
de seguridad de la
informacin

Control

Revisin de la poltica
de seguridad de
informacin

Control

El documento de polticas debe ser aprobado por la


gerencia, publicado y comunicado, segn sea apropiado, a
todos los empleados y terceras partes que lo requieran.

La poltica ser revisada en intervalos planificados, y en


caso de cambios que la afecten, asegurar que siga siendo
apropiada, conveniente y efectiva.

ESQUEMA DE NORMA
TECNICA PERUANA

A.6

ENTP ISO/IEC 27001


29 de 49

Seguridad organizacional

A.6.1 Organizacin interna


Objetivo de control: Gerenciar seguridad de la informacin dentro de la organizacin.
Comit de Gestin de Control
A.6.1.1
seguridad de la
informacin
La gerencia debe respaldar activamente la seguridad dentro de
la organizacin a travs de una direccin clara, un
compromiso apropiado, recursos adecuados y conocimiento de
las responsabilidades en la seguridad de informacin.
Coordinacin de la
Control
A.6.1.2
seguridad de la
informacin
Las actividades en la seguridad de informacin deben ser
coordinados por representantes de diferentes partes de la
organizacin que tengan roles relevantes y funciones de
trabajo.
Asignacin
de
Control
A.6.1.3
responsabilidades
sobre seguridad de la Todas las responsabilidades sobre la seguridad de informacin
informacin
deben ser claramente definidas.
Proceso de
Control
A.6.1.4
autorizacin para las
nuevas instalaciones
Debe establecerse y definirse un proceso de autorizacin
de procesamiento de
gerencial para las nuevas instalaciones de procesamiento de
informacin
informacin.
Acuerdos de
Control
A.6.1.5
confidencialidad
Se debera implementar e identificar regularmente los
requerimientos de confidencialidad o los acuerdos de no
acceso reflejando las necesidades de la organizacin para la
proteccin de informacin.
Contacto con
Control
A.6.1.6
autoridades
Se debe mantener contactos apropiados con las autoridades
pertinentes.
Contacto con grupos
Control
A.6.1.7
de inters especial
Se debe mantener contactos con grupos de inters especial u
otros foros de especialistas en seguridad as como de
asociaciones profesionales.
Revisin
Control
A.6.1.8
independiente de
seguridad de la
El alcance de la organizacin para manejar la seguridad de
informacin
informacin, as como su implementacin (como por ejemplo:
los objetivos de control, los controles, las polticas, procesos y
procedimientos) deben ser revisados independientemente

ESQUEMA DE NORMA
TECNICA PERUANA

ENTP ISO/IEC 27001


30 de 49

durante intervalos planificados o cuando ocurran cambios


significativos en la implementacin.
A.6.2 Seguridad del acceso de terceros
Objetivo de control: Mantener la seguridad de las instalaciones de procesamiento de la
informacin organizacional que acceden, procesan, comunican o gestionan terceros.
Identificacin de
Control
A.6.2.1
riesgos del acceso de
terceros
Se evaluar los riesgos asociados con el acceso a las
instalaciones de procesamiento de la informacin
organizacional por parte de terceros, y se implementarn
controles de seguridad adecuados.
Requerimientos de
Control
A.6.2.2
seguridad cuando se
trata con clientes
Se deben identificar todos los requerimientos de seguridad
antes de dar acceso a clientes a los activos o a la informacin
de la organizacin.
Requerimientos de
Control
A.6.2.3
seguridad en
contratos con terceros Las negociaciones que involucran el acceso, procesamiento,
comunicacin o manejo de terceros de las instalaciones de
procesamiento de informacin organizacional o la adicin de
productos o servicios a dichas instalaciones deben cubrir todos
los requisitos de seguridad necesarios.

A.7

Gestin de activos

A.7.1 Responsabilidad por los activos


Objetivo de control: Mantener la proteccin apropiada de los activos organizacionales.
Inventario de activos
Control
A.7.1.1

A.7.1.2

A.7.1.3

Se realizar y mantendr un inventario de todos los activos


importantes asociados con cada sistema de informacin.
Propiedad de los activos Control
Toda la informacin y los activos asociados con las
instalaciones de procesamiento de informacin deben ser
propiedad 3 de una parte designada de la organizacin.
Uso aceptable de los Control
activos
Se deben de identificar, documentar e implementar las
reglas para el uso aceptable de los activos de informacin
asociados con las instalaciones de procesamiento de

El termino propietario identifica a un individuo o entidad que aprueba la responsabilidad por la gestin
por controlar la produccin, desarrollo, mantenimiento, uso y seguridad de los activos. El trmino
propietario no significa que la persona tiene algn derecho de propiedad realmente sobre el activo.

ESQUEMA DE NORMA
TECNICA PERUANA

ENTP ISO/IEC 27001


31 de 49

informacin.
A.7.2 Clasificacin de la informacin
Objetivo de control: Asegurar que los activos de informacin reciban un nivel de proteccin
adecuado.
Guas de clasificacin
Control
A.7.2.1

A.7.2.2

Marcado y tratamiento
de la informacin

La informacin debe ser clasificada en trminos de su


valor, requisitos legales, sensibilidad y criticidad para la
organizacin.
Control
Se definir e implementar un conjunto de procedimientos
apropiados para etiquetar y manejar informacin de
conformidad con el esquema de clasificacin adoptado por
la organizacin.

A.8

Seguridad personal

A.8.1 Seguridad antes del empleo 4


Objetivo de control: Asegurar que los empleados, contratistas y usuarios externos entiendan sus
responsabilidades y que estos sean adecuados a los roles para los cuales han sido considerados y
reducir as el riesgo de estafa, fraude o mal uso de las instalaciones.
Roles y
Control
A.8.1.1
responsabilidades
Se documentarn y definirn los roles de seguridad y las
responsabilidades de los empleados, contratistas y usuarios
externos en concordancia con la poltica de seguridad de la
informacin de la organizacin.
Investigacin
Control
A.8.1.2

A.8.1.3

Trminos y condiciones
de la relacin laboral

Se llevarn a cabo verificaciones del personal de planta,


contratistas y personal temporal al momento de solicitar el
trabajo, en concordancia con las leyes, regulaciones y tica;
y proporcional a los requisitos del negocio, la clasificacin
de la informacin a ser accedida y a los riesgos percibidos.
Control
Los empleados, contratistas y terceros suscribirn un
acuerdo de confidencialidad como parte de los trminos y
condiciones iniciales de su empleo en donde se sealar la
responsabilidad del empleado en cuanto a la seguridad de la
informacin.

Explicacin: la palabra empleo se utiliza aqu para cubrir las siguientes situaciones diferentes: empleo de
las personas (temporalmente o durante largo tiempo), designando roles de trabajo, cambiando roles de
trabajo, asignando contratos, y la terminacin de cualquiera de estos arreglos.

ESQUEMA DE NORMA
TECNICA PERUANA

ENTP ISO/IEC 27001


32 de 49

A.8.2 Durante el empleo


Objetivo de control: Asegurar que todos los empleados, contratistas y usuarios externos sean
conscientes de las amenazas y riesgos en el mbito de la seguridad de la informacin, y que estn
preparados para sostener la poltica de seguridad de la organizacin en el curso de trabajo normal
y reducir el riesgo de error humano.
Gestin de
Control
A.8.2.1
responsabilidades
La gerencia debe requerir a los empleados, contratistas y a
los usuarios externos aplicar la seguridad en concordancia
con las polticas y procedimientos de la organizacin.
Puesta al tanto,
Control
A.8.2.2
educacin y
entrenamiento en la
Todos los empleados de la organizacin y, donde sea
seguridad de
relevante, contratistas y terceras partes deben estar al tanto
informacin
y recibir un entrenamiento apropiado y actualizaciones.
Proceso disciplinario
Control
A.8.2.3
Debe existir un proceso disciplinario para los empleados
que hayan cometido una violacin de seguridad.
A.8.3 Finalizacin o cambio de empleo
Objetivo de control: Asegurar que los empleados, contratistas y usuarios externos dejen o cambien
de organizacin de una forma ordenada.
Responsabilidades de
Control
A.8.3.1
finalizacin
Debe informarse sobre los incidentes de seguridad a travs
de canales administrativos adecuados tan pronto como sea
posible.
Devolucin de activos
Control
A.8.3.2

A.8.3.3

Retiro de los derechos


de acceso

Todos los empleados, contratistas y usuarios externos


deben realizar la devolucin de los activos de la
organizacin que estn en su posesin cuando termine su
empleo, contrato o acuerdo.
Control
El derecho de acceso a la informacin y a las instalaciones
de procesamiento de informacin, que se le otorga a los
empleados, contratistas y usuarios externos, debe ser
removido cuando termine su empleo, contrato o acuerdo; o
modificado ante cambios.

A.9

Seguridad fsica y del entorno

ESQUEMA DE NORMA
TECNICA PERUANA

ENTP ISO/IEC 27001


33 de 49

A.9.1 reas seguras


Objetivo de control: Evitar accesos no autorizados, daos e interferencias contra los locales y la
informacin del negocio.
A.9.1.1

A.9.1.2

A.9.1.3

A.9.1.4

A.9.1.5

Permetro se seguridad
fsica

Controles fsicos de
entradas

Seguridad de oficinas,
despachos y recursos

Proteccin contra
amenazas externas y
ambientales

El trabajo en las reas


seguras

Control
Las organizaciones usarn permetros de seguridad
(barreras como paredes, puertas con control de entrada por
tarjeta o recepciones) para proteger reas que contienen
informacin e instalaciones de procesamiento de
informacin.
Control
Las reas seguras estarn protegidas mediante controles de
acceso adecuados para garantizar que nicamente personal
autorizado pueda ingresar.
Control
Se deben designar y mantener reas seguras con el fin de
proteger las oficinas, despachos e instalaciones.
Control
Se deben designar y mantener proteccin fsica contra
daos por fuego, inundacin, terremoto, explosin,
manifestacin civil y otras formas de desastre natural o
realizado por el hombre.
Control

Se debe designar y mantener proteccin fsica y pautas para


trabajar en reas seguras.
reas aisladas de carga Control
A.9.1.6
y descarga
Las reas de carga y descarga deben controlarse y, cuando
sea posible, aislarse de las instalaciones de procesamiento
de informacin para evitar un acceso no autorizado.
A.9.2 Seguridad de los equipos
Objetivo de control: Prevenir prdidas, daos o comprometer los activos as como la interrupcin
de las actividades del negocio.
A.9.2.1

A.9.2.2

Instalacin y
proteccin de equipos

Suministro elctrico

Control
El equipamiento ser ubicado o protegido para reducir los
riesgos de amenazas, peligros ambientales y oportunidades
de acceso no autorizado.
Control

ESQUEMA DE NORMA
TECNICA PERUANA

ENTP ISO/IEC 27001


34 de 49

A.9.2.3

El equipamiento se proteger de fallas de energa y otras


anomalas elctricas causadas por fallo en el suministro
elctrico.
Seguridad del cableado Control

A.9.2.4

Se proteger el cableado de energa y telecomunicaciones


que transportan datos o respaldan servicios de informacin
frente a interceptaciones o daos.
Control

A.9.2.5

A.9.2.6

A.9.2.7

Mantenimiento de
equipos

Seguridad de equipos
fuera de los locales de
la organizacin

Seguridad en el re-uso
o eliminacin de
equipos

Retiro de propiedad

El equipamiento recibir un adecuado mantenimiento para


garantizar su continua disponibilidad e integridad.
Control
Se debe aplicar seguridad al utilizar equipamiento para
procesar informacin fuera de los locales de la organizacin
tomando en cuenta los diferentes riesgos en los que se
incurre.
Control
Todos los equipos que contienen almacenamiento de datos
deben ser revisados con el fin de asegurar que los datos
sensibles y los software con licencia han sido removidos o
sobrescritos antes de desecharlos o reutilizarlos.
Control
Los equipos, informacin y software no deben ser retirados
fuera de la organizacin sin una autorizacin previa.

A.10

Gestin de comunicaciones y operaciones

A.10.1 Procedimientos y responsabilidades de operacin


Objetivo de control: Asegurar la operacin correcta y segura de los recursos de procesamiento de
informacin.
Control
A.10.1.1 Documentacin de
procedimientos
operativos
Los procedimientos operativos identificados en la poltica
de seguridad sern documentados y mantenidos y estarn
disponibles a todos los usuarios que lo requieran.
Control
A.10.1.2 Gestin de cambios

A.10.1.3

Segregacin de tareas

Se controlarn los cambios en las instalaciones y sistemas


de procesamiento de la informacin.
Control

ESQUEMA DE NORMA
TECNICA PERUANA

ENTP ISO/IEC 27001


35 de 49

A.10.1.4

Se segregarn las obligaciones y las reas de


responsabilidad con el fin de reducir las oportunidades de
modificaciones no autorizadas o mal uso de los activos de
la organizacin.
Control

A.10.2.2

Debemos asegurarnos que los controles de seguridad, las


definiciones de servicio y los niveles de entrega incluidos
en el acuerdo de servicios externos sean implementados,
estn operativos y sean mantenidos por el personal externo.
Control

Separacin de los
recursos para desarrollo
y para produccin
Se separarn las instalaciones de prueba y desarrollo de las
instalaciones de produccin con el fin de reducir el riesgo
de acceso no autorizado o de modificacin no intencionada
o cambios en el sistema operacional.
A.10.2 Gestin de entrega de servicios externos
Objetivo de control: Implementar y mantener un nivel apropiado de seguridad de informacin
Control
A.10.2.1 Entrega de servicios

A.10.2.3

Monitoreo y revisin de
los servicios externos

Gestin de cambios de
los servicios externos

Los servicios, reportes, y registros provistos por terceras


partes deben ser monitoreados y revisados regularmente.
Igualmente, se deben de llevar a cabo auditorias con
regularidad.
Control

Se debe manejar los cambios en la provisin de servicios,


incluyendo el mantenimiento y mejora de la poltica de
seguridad de informacin, procedimientos y controles,
tomando en cuenta la criticidad de los sistemas de negocio
y procesos envueltos en la reevaluacin de riesgos.
A.10.3 Planificacin y aceptacin del sistema
Objetivo de control: Minimizar el riesgo de fallas de los sistemas.
A.10.3.1 Gestin de la capacidad Control

A.10.3.2

Aceptacin del sistema

Se monitorearn las demandas de capacidad y se harn las


proyecciones de futuros requerimientos de capacidad para
asegurar el desarrollo requerido por el sistema.
Control

Establecern los criterios de aceptacin para sistemas de


informacin nuevos, actualizaciones y nuevas versiones y
se llevarn a cabo pruebas adecuadas del sistema antes de
la aceptacin.
A.10.4 Proteccin contra software malicioso
Objetivo de control: Proteger la integridad del software y de la informacin.
A.10.4.1

Controles contra

Control

ESQUEMA DE NORMA
TECNICA PERUANA

ENTP ISO/IEC 27001


36 de 49

software malicioso

A.10.4.2

Controles contra
software mvil

Para ofrecer proteccin frente a software malicioso, se


implementarn controles de deteccin, prevencin y
procedimientos adecuados de toma de conciencia con los
usuarios.
Control

Donde sea autorizado el uso de software mvil, la


configuracin debe asegurar que este opere de acuerdo a
una poltica de seguridad clara y definida. Igualmente, se
debe prevenir la ejecucin de cdigo mvil no autorizado.
A.10.5 Gestin interna de respaldo y recuperacin
Objetivo de control: Mantener la integridad y disponibilidad del procesamiento de informacin y
servicios de comunicacin.
A.10.5.1

Recuperacin de la
informacin

Control
Se obtendrn y probarn las copias de recuperacin y
respaldo de informacin y software regularmente en
concordancia con la poltica acordada.

A.10.6 Gestin de seguridad de redes


Objetivo de control: Asegurar la salvaguarda de informacin en las redes y la proteccin de la
infraestructura de soporte.
A.10.6.1

A.10.6.2

Controles de red

Seguridad
de
servicios de red

Control
Se implementar un conjunto de controles para lograr y
mantener la seguridad en las redes, y mantener la seguridad
de los sistemas y aplicaciones usuarios de la red, incluyendo
la informacin en trnsito.
los Control

Se deben identificar e incluir en cualquier acuerdo de servicio


de red los aspectos de seguridad, niveles de servicio y
requisitos de gestin, as estos servicios sean provistos
interna o externamente.
A.10.7 Utilizacin y seguridad de los medios de informacin
Objetivo de control: Prevenir daos, modificaciones o destrucciones a los activos e interrupciones
de las actividades del negocio.
Control
A.10.7.1 Gestin de medios
removibles
Deben de existir procedimientos para la gestin de medios
removibles.
A.10.7.2 Eliminacin de medios Control

A.10.7.3

Procedimientos de

Se eliminarn los medios con seguridad y garanta cuando ya


no se necesiten, utilizando procedimientos formales.
Control

ESQUEMA DE NORMA
TECNICA PERUANA

manipulacin de la
informacin

A.10.7.4

Seguridad de la
documentacin de
sistemas

ENTP ISO/IEC 27001


37 de 49

Se establecern procedimientos para el manejo y


almacenamiento de la informacin con el fin de proteger
dicha informacin de divulgaciones no autorizadas o su mal
uso.
Control

La documentacin del sistema se proteger de accesos no


autorizados.
A.10.8 Intercambio de informacin y software
Objetivo de control: Mantener la seguridad de informacin y el intercambio de software dentro de
la organizacin y con entidades externas.
Polticas y
Control
procedimientos para el
intercambio de
Se deben establecer polticas, procedimientos y controles para
informacin
proteger el intercambio de informacin durante el uso de todo
tipo de recursos de comunicacin.
Control
A.10.8.2 Acuerdos de
intercambio
Se deben de establecer acuerdos para el intercambio de
informacin y software entre la organizacin y entidades
externas.
Control
A.10.8.3 Seguridad de medios
fsicos en trnsito
Los medios a ser transportados debern ser protegidos de
acceso no autorizado, mal uso o corrupcin durante su
transporte fuera de las barreras fsicas de la organizacin.
Control
A.10.8.4 Seguridad del correo
electrnico
La informacin envuelta en correos electrnicos debe ser
protegida apropiadamente.
Control
A.10.8.5 Seguridad en los
sistemas de
informacin de
Se deben desarrollar e implementar polticas y
negocio
procedimientos para proteger la informacin asociada con la
interconexin de los sistemas de informacin de negocios.
A.10.9 Servicios de comercio electrnico
Objetivo de control: Mantener la seguridad en los servicios de comercio electrnico y la seguridad
en su uso.
A.10.8.1

A.10.9.1

A.10.9.2

Seguridad en comercio Control


electrnico
El comercio electrnico ser protegido frente a actividades
fraudulentas, controversias contractuales y divulgacin o
modificacin de informacin.
Seguridad en las
Control

ESQUEMA DE NORMA
TECNICA PERUANA

ENTP ISO/IEC 27001


38 de 49

transacciones en lnea
La informacin envuelta en las transacciones en lnea debe
ser protegida para prevenir transmisiones incompletas, rutas
incorrectas, alteracin no autorizada de mensajes, o
duplicacin no autorizada de mensajes.
A.10.9.3 Sistemas pblicamente Control
disponibles
Se proteger la integridad de la informacin pblicamente
disponible para prevenir modificaciones no autorizadas.
A.10.10 Monitoreo
Objetivo de control: Mantener la seguridad en los servicios de comercio electrnico y en su uso.
A.10.10.1 Registro de auditoria Control

A.10.10.2 Uso del sistema de


monitoreo

A.10.10.3 Proteccin de la
informacin de
registro
A.10.10.4 Registros de
administrador y
operador
A.10.10.5 Registros con faltas

Se deben producir y guardar, por un periodo acordado, los


registros de auditoria que registran las actividades de los
usuarios, excepciones y eventos de seguridad, con el fin de
asistir a investigaciones futuras y al monitoreo del control de
acceso.
Control
Se deben establecer procedimientos para monitorear las
instalaciones de procesamiento de informacin y los
resultados del monitoreo de actividades deben ser revisados
regularmente.
Control
Las instalaciones e informacin de registro debe ser protegido
contra acceso forzado y no autorizado.
Control
Las actividades del administrador y operadores deben ser
registradas.
Control

Las faltas deben ser registradas, analizadas y se deben tomar


acciones apropiadas.
A.10.10.6 Sincronizacin de reloj Control
Los relojes de todos los sistemas relevantes de procesamiento
de informacin dentro de la organizacin deben estar
sincronizados con una fuente de tiempo actual acordado.

A.11

Control de accesos

A.11.1 Requisitos de negocio para el control de accesos


Objetivo de control: Controlar los accesos a la informacin.
Control
A.11.1.1 Poltica de control de
accesos

ESQUEMA DE NORMA
TECNICA PERUANA

ENTP ISO/IEC 27001


39 de 49

Se debe establecer, documentar y revisar una poltica de


control de accesos, basado en requisitos de acceso de
seguridad y del negocio.
A.11.2 Gestin de acceso de usuarios
Objetivo de control: Asegurar que el acceso de usuarios es autorizado y prevenir el acceso no
autorizado a los sistemas de informacin.
Control
A.11.2.1 Registro de usuarios

A.11.2.2

A.11.2.3

Gestin de privilegios

Gestin de contraseas
de usuario

Habr un procedimiento de registro y anulacin formal de


usuarios para otorgar acceso a todos los sistemas de
informacin multiusuario y servicios.
Control
Se restringir y controlar la asignacin y uso de
privilegios.
Control

Se controlar la asignacin de contraseas a travs de un


proceso formal de gestin.
A.11.2.4 Revisin de los derechos Control
de acceso de los
usuarios
La gerencia conducir un proceso formal y de manera
peridica para revisar los derechos de acceso del usuario.
A.11.3 Responsabilidades de los usuarios
Objetivo de control: Evitar el acceso no autorizado de usuarios y el compromiso o robo de la
informacin o de las instalaciones de procesamiento.
Control
A.11.3.1 Uso de contraseas

A.11.3.2

A.11.3.3

Equipo informtico de
usuario desatendido

Poltica de pantalla y
escritorio limpio

Los usuarios deben seguir buenas prcticas de seguridad en


la seleccin y uso de contraseas.
Control
Se exige al usuario que asegure proteccin adecuada a un
equipo desatendido.
Control
Se debe adoptar una poltica de escritorio limpio para
papeles y dispositivos de almacenamiento removibles.
Igualmente, se debe adoptar una poltica para las
instalaciones de procesamiento de informacin.

A.11.4 Control de acceso a la red


Objetivo de control: Prevenir el acceso no autorizado a los servicios de red.
Control
A.11.4.1 Poltica de uso de los
servicios de la red
Los usuarios deben tener acceso directo nicamente a los
servicios cuyo uso est especficamente autorizado.
Control
A.11.4.2 Autenticacin de
usuarios para

ESQUEMA DE NORMA
TECNICA PERUANA

conexiones externas
A.11.4.3

A.11.4.4

Autenticacin de
equipos en la red

Proteccin a puertos de
diagnstico y
configuracin remota

ENTP ISO/IEC 27001


40 de 49

El acceso de usuarios remotos debe estar sujeto a


autenticacin.
Control
Se debera considerar equipos de identificacin automtica
para autentificar conexiones desde ubicaciones y equipos
especficos.
Control

A.11.4.5

Debe controlarse la seguridad en el acceso a los puertos de


diagnstico fsico y lgico.
Segregacin en las redes Control

A.11.4.6

Los grupos de servicios, usuarios y sistemas de


informacin deben ser segregados en las redes.
Control

Control de conexin a
las redes

La capacidad de conexin de los usuarios de redes


compartidas, especialmente aquellas que se extienden fuera
de las fronteras de la organizacin, debe restringirse de
conformidad con la poltica de control de acceso y los
requisitos de las aplicaciones de negocio (vase 11.1).
A.11.4.7 Control de enrutamiento Control
en la red
Se deben implementar controles de ruteo para asegurar que
las conexiones de computadora y los flujos de informacin
no violen la poltica de control de acceso de las
aplicaciones de negocios.
A.11.5 Control de acceso al sistema operativo
Objetivo de control: Prevenir accesos no autorizados a los sistemas operativos.
A.11.5.1 Procedimientos seguros Control
de conexin
Se usar un proceso de registro de conexin (login) seguro
para acceder a los servicios de informacin.
Identificacin
y
Control
A.11.5.2
autenticacin del
usuario
Todos los usuarios tienen un identificador nico para su
uso propio y exclusivo para sus actividades y debe elegirse
una tcnica de autenticacin adecuada para sustentar la
identidad del usuario.
Control
A.11.5.3 Sistema de gestin de
contraseas
Sistemas de gestin de contraseas proveern medios
efectivos e interactivos, cuyo objetivo es asegurar
contraseas de calidad.
Control
A.11.5.4 Uso de los programas
utilitarios del sistema
Se debe registrar y controlar firmemente el uso de
programas utilitarios que puedan ser capaces de forzar el

ESQUEMA DE NORMA
TECNICA PERUANA

ENTP ISO/IEC 27001


41 de 49

sistema y los controles de aplicacin.


Desconexin automtica Control
de terminales
Las sesiones inactivas deben cerrarse luego de un periodo
definido de inactividad.
A.11.5.6 Limitacin del tiempo de Control
conexin
Se usar restricciones de tiempos de conexin para ofrecer
seguridad adicional para las aplicaciones de alto riesgo.
A.11.6 Control de acceso a las aplicaciones e informacin
Objetivo de control: Evitar el acceso no autorizado a la informacin contenida en los sistemas.
A.11.6.1 Restriccin de acceso a Control
la informacin
El acceso a las funciones de informacin y de aplicacin
por usuarios y personal de soporte sern restringidos con la
poltica de control de acceso.
A.11.6.2 Aislamiento de sistemas Control
sensibles
Los sistemas sensibles tendrn un ambiente de computo
dedicado (aislado).
A.11.7 Informtica mvil y teletrabajo
Objetivo de control: Garantizar la seguridad de la informacin cuando se usan dispositivos de
informtica mvil y facilidades de teletrabajo.
Control
A.11.7.1 Informtica y
comunicaciones mviles
Se pondr en prctica una poltica formal y se adoptarn los
controles adecuados para protegerse frente a los riesgos de
trabajar con puntos de computadores mviles y medios de
comunicacin.
Control
A.11.7.2 Teletrabajo
A.11.5.5

Se desarrollarn e implementaran polticas, procedimientos


y estndares para las actividades de teletrabajo.

A.12

Adquisicin de sistemas de informacin, desarrollo y mantenimiento

A.12.1 Requisitos de seguridad de los sistemas de informacin


Objetivo de seguridad: Garantizar que la seguridad est incluida dentro de los sistemas de
informacin.
A.12.1.1 Anlisis y especificacin Control
de los requisitos de
seguridad
Los requisitos de negocios para nuevos sistemas, o
ampliaciones de los sistemas existentes, especificarn los
requisitos de control.

ESQUEMA DE NORMA
TECNICA PERUANA

ENTP ISO/IEC 27001


42 de 49

A.12.2 Proceso correcto en aplicaciones


Objetivo de control: Prevenir errores, prdidas, modificaciones no autorizadas o mal uso de los
datos del usuario en las aplicaciones.
A.12.2.1 Validacin de los datos Control
de entrada
Se validar el ingreso de datos a los sistemas de aplicacin
para asegurar que sean correctos y adecuados.
Control
A.12.2.2 Control del proceso
interno
Se incorporarn verificaciones y validaciones para detectar
cualquier corrupcin de los datos procesados.
A.12.2.3 Integridad de mensajes Control

A.12.2.4

Validacin de los datos


de salida

Se deben identificar requisitos para la autenticacin y


proteccin de la integridad de mensajes. Igualmente, se
deben implementar e identificar controles apropiados.
Control
Los datos de salida de una aplicacin se validarn para
garantizar que el procesamiento de la informacin
almacenada sea correcto y adecuado a las circunstancias.

A.12.3 Controles criptogrficos


Objetivo de control: Proteger la confidencialidad, autenticidad o integridad de los medios
criptogrficos.
Control
A.12.3.1 Poltica de uso de los
controles criptogrficos
Debe desarrollarse e implementarse una poltica sobre el
uso de controles criptogrficos para proteger la informacin.
Gestin
de
claves
Control
A.12.3.2
Se usar un sistema de gestin de claves con el fin de
apoyar el uso de tcnica criptogrficas dentro de la
organizacin.
A.12.4 Seguridad de los archivos del sistema
Objetivo de control: Asegurar la seguridad de los archivos del sistema.
A.12.4.1

A.12.4.2

A.12.4.3

Control del software en


produccin

Proteccin de los datos


de prueba del sistema

Control de acceso a la
librera de programas

Control
Se pondr en prctica procedimientos para controlar la
implementacin del software en sistemas operacionales.
Control
Se protegern y controlarn los datos de prueba los cuales
deben ser seleccionados cuidadosamente.
Control

ESQUEMA DE NORMA
TECNICA PERUANA

ENTP ISO/IEC 27001


43 de 49

fuente

El acceso a las libreras de programas fuente debe ser


restringido.
A.12.5 Seguridad en los procesos de desarrollo y soporte
Objetivo de control: Mantener la seguridad del software de aplicacin y la informacin.
A.12.5.1

A.12.5.2

A.12.5.3

A.12.5.4

A.12.5.5

Procedimientos de
control de cambios

Revisin tcnica de los


cambios en el sistema
operativo

Restricciones en los
cambios a los paquetes
de software

Fuga de informacin

Desarrollo externo del


software

Control
La implementacin de cambios se controlar estrictamente
mediante el uso de procedimientos formales de control de
cambios.
Control
Cuando los sistemas operativos son cambiados, se deben de
revisar y probar las aplicaciones criticas de negocio con el
fin de asegurar que no existan impactos adversos en las
operaciones o seguridad de la organizacin.
Control
No se debe fomentar las modificaciones en los paquetes. Se
debe limitar a cambios necesarios y todos estos cambios
deben ser estrictamente controlados.
Control
Se deben de prevenir las oportunidades de fuga de
informacin.
Control

La organizacin debe supervisar y monitorear el desarrollo


externo de software.
A.12.6
Gestin de vulnerabilidades tcnicas
Objetivo de control: Reducir los riesgos que son el resultado de la explotacin de vulnerabilidades
tcnicas publicadas.

A.12.6.1

A.13

Control de
Control
vulnerabilidades tcnicas Se debe obtener informacin a tiempo sobre las
vulnerabilidades tcnicas de los sistemas de informacin
que se utilizan. La exposicin de la organizacin a tales
vulnerabilidades debe ser evaluada y se debe tomar
medidas apropiadas asociadas al riesgo.

Gestin de incidentes en la seguridad de informacin

A.13.1 Reportando eventos y debilidades en la seguridad de informacin


Objetivo de control: Asegurar que los eventos y debilidades en la seguridad de informacin
asociados con los sistemas de informacin sean comunicados de manera tal que permitan tomar
una accin correctiva a tiempo.

ESQUEMA DE NORMA
TECNICA PERUANA

A.13.1.1

A.13.1.2

Reportando eventos de
la seguridad de
informacin

Reportando debilidades
de seguridad

ENTP ISO/IEC 27001


44 de 49

Control
Los eventos en la seguridad de informacin deben ser
reportados lo mas rpido posible a travs de canales
apropiados.
Control

Todos los empleados, contratistas o personal externo


usuario de los sistemas y servicios de informacin, deben
estar obligados de notar y reportar cualquier debilidad en
la seguridad de los sistemas y servicios.
A.13.2 Gestin de los incidentes y mejoras en la seguridad de informacin
Objetivo de control: Asegurar que un alcance consistente y efectivo sea aplicado en la gestin de
incidentes de la seguridad de informacin.
Control.
A.13.2.1 Responsabilidades y
procedimientos
Se deben de establecer procedimientos y responsabilidades de gestin con el fin de asegurar una respuesta
rpida, efectiva y ordenada ante incidentes en la
seguridad de informacin.
Control
A.13.2.2 Aprendiendo de los
incidentes en la
seguridad de
Deben existir mecanismos que habiliten que los tipos,
informacin
volmenes y costos de los incidentes en la seguridad de
informacin sean cuantificados y monitoreados.
Control
A.13.2.3 Recoleccin de
evidencia
Cuando exista una accin de seguimiento contra una
persona u organizacin, luego de que un incidente en el
sistema de informacin envuelva accin legal (civil o
criminal), se debe de recolectar, retener y presentar
evidencia conforme con las reglas dentro de la
jurisdiccin.

A.14

Gestin de la continuidad del negocio

A.14.1 Aspectos de la gestin de continuidad del negocio en la seguridad de informacin


Objetivo de control: Neutralizar las interrupciones a las actividades del negocio y proteger los
procesos crticos del negocio de los efectos de fallas mayores o desastres en los sistemas de
informacin y asegurar su reanudacin oportuna.
A.14.1.1

A.14.1.2

Incluyendo la seguridad Control


de la informacin en la
gestin de la
Se
deben
de
establecer
procedimientos
y
continuidad del negocio responsabilidades de gestin con el fin de asegurar una
respuesta rpida, efectiva y ordenada ante incidentes en la
seguridad de la informacin.
Continuidad del negocio Control

ESQUEMA DE NORMA
TECNICA PERUANA

ENTP ISO/IEC 27001


45 de 49

y evaluacin de riesgos

A.14.1.3

A.14.1.4

A.14.1.5

A.15

Los eventos que pueden causar interrupciones en los


procesos del negocio deben ser identificados as como las
probabilidades e impacto de dichas interrupciones y sus
consecuencias para la seguridad de la informacin.
Control

Desarrollando e
implementando planes
de continuidad que
Se deben desarrollar e implementar planes para mantener
incluyen la seguridad de o reparar operaciones y asegurar la disponibilidad de
la informacin
informacin al nivel y tiempo requerido, siguiendo las
interrupciones o fallas a los procesos crticos del negocio.
Marco de planificacin Control
de la continuidad del
negocio
Un simple marco de los planes de continuidad del negocio
debe ser mantenido para asegurar que todos los planes
sean consistentes, que anexen consistentemente los
requisitos de seguridad de la informacin, para identificar
prioridades de prueba y mantenimiento.
Probando, manteniendo Control
y reevaluando los planes
de continuidad del
Los planes de continuidad del negocio deben ser probados
negocio
y actualizados regularmente con el fin de asegurar que se
encuentren actuales y que sean efectivos.

Cumplimiento

A.15.1 Cumplimiento de los requisitos legales


Objetivo de control: Evitar los incumplimientos de cualquier ley civil o penal, requerimiento
reglamentario, regulacin u obligacin contractual, y de cualquier requerimiento de seguridad.

A.15.1.1

A.15.1.2

A.15.1.3

Identificacin de la
legislacin aplicable

Control
Se definirn y documentaran explcitamente todos los
requerimientos legales, regulatorios y contractuales relevantes
y se deben mantener actualizados cada sistema de informacin.
Control

Derechos de
propiedad intelectual
(DPI)
Se implementarn procedimientos adecuados para garantizar el
cumplimiento de las restricciones legales en el uso de material
con respecto a derechos de propiedad intelectual y uso de
productos de software propietario.
Salvaguarda de los
Control
registros de la
organizacin
Se protegern los registros importantes de la organizacin
frente a prdidas, destruccin y falsificacin en concordancia

ESQUEMA DE NORMA
TECNICA PERUANA

ENTP ISO/IEC 27001


46 de 49

con los requisitos regulatorios, contractuales y de negocio.


Proteccin de los
Control
datos y privacidad de
la informacin
Se aplicarn controles para proteger informacin personal en
personal
conformidad con la legislacin correspondiente y si es
aplicable, con las clusulas contractuales.
A.15.1.5 Prevencin en el mal Control
uso de las
instalaciones de
Los usuarios deben ser disuadidos de utilizar las instalaciones
procesamiento de la del procesamiento de informacin para propsitos no
informacin
autorizados.
Control
A.15.1.6 Regulacin de los
controles
criptogrficos
Se implementarn controles para permitir el cumplimiento de
los acuerdos nacionales, leyes y reglamentos.
A.15.2 Cumplimiento con las polticas y estndares de seguridad y del cumplimiento tcnico
Objetivo de control: Asegurar el cumplimiento de los sistemas con las polticas y normas de
seguridad organizacionales.
A.15.2.1 Cumplimiento con la Control
poltica de seguridad
Los gerentes deben tomar acciones para garantizar que todos
los procedimientos de seguridad dentro de sus reas de
responsabilidad se lleven a cabo correctamente con el fin de
garantizar el cumplimiento de las polticas y estndares de
seguridad.
Control
A.15.2.2 Comprobacin del
cumplimiento tcnico
Debe verificarse regularmente el cumplimiento de la
implementacin de normas de seguridad en los sistemas de
informacin.
A.15.3 Consideraciones sobre la auditoria de sistemas
Objetivo de control: Maximizar la efectividad y minimizar las interferencias en el proceso de
auditoria del sistema
Control
A.15.3.1 Controles de
auditoria de sistemas
Se planificarn cuidadosamente las auditorias de los sistemas
operacionales a fin de minimizar el riesgo de interrupciones a
los procesos de negocio.
Control
A.15.3.2 Proteccin de las
herramientas de
auditoria de sistemas Se proteger el acceso a las herramientas de auditoria del
sistema para prevenir cualquier posible mal uso o dao.
A.15.1.4

ESQUEMA DE NORMA
TECNICA PERUANA

ENTP ISO/IEC 27001


47 de 49

ESQUEMA DE NORMA
TECNICA PERUANA

ENTP ISO/IEC 27001


48 de 49

ANEXO B
(INFORMATIVO)

PRINCIPIOS OECD Y ESTA NORMA PERUANA

Los principios dados en las Pautas OECD para la Seguridad de los Sistemas y Redes de
Informacin se aplican a todos los niveles polticos y operativos que rigen la seguridad de
los sistemas de informacin y redes. Esta Norma Peruana ofrece un marco para el sistema
de gestin de la seguridad de la informacin para implementar algunos de los principios
OECD usando el modelo PDCA y los procesos descritos en los captulos 4, 5, 6, y 8 como
se indica en la Tabla B.1

TABLA B.1 - Principios OECD y modelo PDCA

Principio OECD

Proceso ISMS y fase PDCA correspondiente

Conocimiento
Los participantes deben estar concientes de la
necesidad de seguridad de los sistemas y redes
de informacin y lo que pueden hacer para
mejorar la seguridad.
Responsabilidad
Todos los participantes son responsables por la
seguridad de los sistemas y redes de
informacin.
Respuesta
Los participantes deben actuar de manera
puntual y cooperativa para prevenir, detectar y
responder a los incidentes de seguridad.

Esta actividad es parte de la fase Hacer (vase


4.2.2 y 5.2.2).

Esta actividad es parte de la fase Hacer (vase


4.2.2 y 5.1).

Esto es parte de la actividad de monitoreo de la


fase Verificar (vase 4.2.3 y 6 a 7.3) y una
actividad de respuesta de la fase Actuar (vase
4.2.4 y 8.1 a 8.3). Tambin puede cubrirse con
varios aspectos de las fases Planear y
Verificar.
Evaluacin del riesgo
Esta actividad es parte de la fase Planear
Los participantes deben conducir evaluaciones (vase 4.2.1) y evaluacin de riesgo es parte de
del riesgo.
la fase Verificar (vase 4.2.3 y 6 a 7.3).

ESQUEMA DE NORMA
TECNICA PERUANA

ENTP ISO/IEC 27001


49 de 49

TABLA B.1 - Principios OECD y modelo PDCA (Fin)

Principio OECD

Proceso ISMS y fase PDCA correspondiente

Diseo e implementacin de seguridad


Los participantes deben incorporar la seguridad
como un elemento esencial de los sistemas y
redes de informacin.

Una vez que se ha completado la evaluacin


del riesgo, se ha seleccionado controles para el
tratamiento de riesgos como parte de la fase
Planear (vase 4.2.1). La fase Hacer (vase
4.2.2 y 5.2) entonces cubre la implementacin
y uso operacional de estos controles.
La gestin del riesgo es un proceso que incluye
la prevencin, deteccin y respuesta frente a
incidentes, mantenimiento en curso, revisin y
auditoria. Todos estos aspectos estn incluidos
en las fases Planear, Hacer, Verificar y
Actuar.
Reevaluacin de la seguridad de la
informacin es parte de la fase Verificacin
(vase 4.2.3 y 6 a 7.3) donde debe realizarse
revisiones regulares para verificar la
efectividad de los sistemas de gestin de
seguridad de la informacin y mejorar la
seguridad es parte de la fase Actuar (vase
4.2.4 y 8.1 a 8.3)

Gestin de seguridad
Los participantes deben adoptar un enfoque
comprensivo de la gestin de seguridad.

Reevaluacin
Los participantes deben revisar y reevaluar la
seguridad de los sistemas y redes de
informacin y hacer modificaciones adecuadas
a las polticas, prcticas, medidas y
procedimientos de seguridad

ESQUEMA DE NORMA
TECNICA PERUANA

ENTP ISO/IEC 27001


50 de 49

ANEXO C
(INFORMATIVO)

CORRESPONDENCIA ENTRE LA NORMA ISO


9001:2000, ISO 14001:2004 Y ESTA NORMA
PERUANA

La tabla C.1 muestra la correspondencia entre la norma ISO 9001:2000, ISO 14001:2004 y
esta norma peruana

TABLA C.1 Correspondencia entre ISO 9001:2000, ISO 14001:2004 y esta Norma
Peruana

Norma Peruana

ISO 9001:2000

0 Introduccin

0 Introduccin

0.1 Aspectos Generales

0.1 Aspectos Generales

0.2 Enfoque de proceso

0.1 Alcance del proceso

ISO 14001:2004
Introduccin

0.2 Relaciones con ISO 9004


0.3 Compatibilidad con otros
sistemas de gestin

0.3 Compatibilidad con otros


sistemas de gestin

1 Alcance

1 Alcance

1.1 Aspectos Generales

1.1 Aspectos Generales

1.2 Aplicacin

1.2 Aplicaciones

2 Referencias normativas

2 Referencias normativas

2 Referencias normativas

3 Trminos y definiciones

3 Trminos y definiciones

3 Trminos y definiciones

4 Sistema de gestin de
seguridad de la informacin

4 Sistema de gestin de
calidad

4 Requisitos del sistema de


gestin ambiental

1 Alcance

ESQUEMA DE NORMA
TECNICA PERUANA

Norma Peruana
4.1 Requerimientos generales

ENTP ISO/IEC 27001


51 de 49

ISO 9001:2000
4.1 Requerimientos generales

ISO 14001:2004
4.1 Requerimientos generales

4.2 Establecimiento y
administracin de ISMS
4.2.1 Establecimiento de ISMS
4.2.2 Implementar y operar el
ISMS
4.2.3 Monitorear y revisar el
ISMS

4.4 Implementacin y
operacin
8.2.3 Monitoreo y medicin
de los procesos

4.5.1 Monitoreo y medicin

8.2.4 Monitoreo y medicin


del producto
4.2.4 Mantener y mejorar el ISMS

4.3 Requerimientos de
documentacin

4.2 Requerimientos de
documentacin

4.3.1 Aspectos Generales

4.2.1 Aspectos Generales


4.2.2 Manual de calidad

4.3.2 Control de documentos

4.2.3 Control de documentos

4.3.3 Control de registros

4.2.4 Control de registros

5 Responsabilidad de la
gerencia

5 Responsabilidad de la
gerencia

5.1 Compromiso de la gerencia

5.1 Compromiso de la
gerencia

4.4.5 Control de la
documentacin
4.5.4 Control de registros

5.2 Enfoque de los clientes


5.3 Poltica de calidad

4.2 Poltica ambiental

5.4 Planeamiento

4.3 Planeamiento

5.5 Responsabilidad,
autoridad y comunicacin
5.2 Administracin de recursos

6 Gestin de recursos

ESQUEMA DE NORMA
TECNICA PERUANA

Norma Peruana
5.2.1 Provisin de recursos

ENTP ISO/IEC 27001


52 de 49

ISO 9001:2000

ISO 14001:2004

6.1 Provisin de recursos


6.2 Recursos humanos

5.2.2 Capacitacin,
concientizacin y competencia

6.2.2 Competencia, concienti- 4.4.2 Competencia,


zacin y capacitacin
concientizacin y capacitacin
6.3 Infraestructura
6.4 Ambiente de trabajo

6 Auditorias internas del ISMS

8.2.2 Auditoria interna

4.5.5 Auditoria interna

7 Revisin gerencial del ISMS

5.6 Revisin gerencial

4.6 Revisin gerencial

7.1 Aspectos Generales

5.6.1 Aspectos Generales

7.2 Revisin: entradas

5.6.2 Revisin: entradas

7.3 Revisin: salidas

5.6.3 Revisin: salidas

8 Mejora del ISMS

8 Mejora

8.1 Mejora continua

8.5.1 Mejora continua

8.2 Acciones correctivas

8.5.3 Acciones correctivas

8.3 Acciones preventivas

8.5.3 Acciones preventivas

Anexo A Objetivos de control y


controles

4.5.3 No conformidad,
acciones correctivas y
preventivas

Anexo A Pautas en el uso de


esta norma

Anexo B Principios OECD y de


esta Norma Peruana

Anexo C Correspondencia
entre la norma ISO 9001:
2000, ISO 14001:2004 y esta
Norma Peruana

Anexo A Correspondencia
entre la norma ISO 9001:
2000, ISO 14001:1996

BIBLIOGRAFIA

Anexo B Correspondencia
entre la norma ISO 14001:
2004, ISO 9001:2000

ESQUEMA DE NORMA
TECNICA PERUANA

ENTP ISO/IEC 27001


53 de 49

Publicaciones
[1]

ISO 9001:2000, Quality management systems - Requirements

[2]

ISO/IEC 13335-1:2004, Information technology Security techniques


Management of information and communications technology security Part 1:
Concepts and models for information and communications technology security
management

[3]

ISO/IEC TR 13335-3:1998, Information technology Guidelines for the


management of IT Security Part 3: Techniques for the management of IT security

[4]

ISO/IEC TR 13335-4:2000, Information technology Guidelines for the


management of IT Security Part 4: Selection of safeguards.

[5]

ISO 14001:2004, Environmental management systems Requirements with


guidance for use

[6]

ISO/IEC TR 18044:2004, Information technology Security techniques


Information security incident management

[7]

ISO 19011:2002, Guidelines for quality and/or environmental management systems


auditing

[8]

ISO/IEC Guide 62:1996, General requirements for bodies operating assessment and
certification/registration of quality systems.

[9]

ISO/IEC Guide 73:2002, Risk management Vocabulary Guidelines for use in


standards

Otras publicaciones
[1]

OECD Guidelines for the Security of Information Systems and Networks


Towards a Culture of Security. Paris: OECD, July 2002. www.oecd.org

[2]

NIST SP 800-30, Risk Management Guide for Information Technology Systems

[3]
Deming W.E., Out of the Crisis, Cambridge, Mass: MIT, Center for Advanced
Engineering Study, 1986

You might also like