La norma ISO 27001 cubre a todo tipo de organizaciones (por ej.

empresas comerciales, agencias, gubernamentales, organizaciones

sin nimo de lucro) e independientemente de su tamao (pequea,
mediana o gran empresa), tipo o naturaleza. (Avellaneda)
General:
Este estndar fue confeccionado para proveer un modelo para el
establecimiento, implementacin, operacin, monitorizacin, revisin,
mantenimiento y mejora del ISMS, la adopcin del ISMS debe ser una
decisin estratgica de la organizacin, pues el mismo est
influenciado por las necesidades y objetivos de la misma, los
requerimientos de seguridad, los procesos, el tamao y la estructura
de la empresa, la dinmica que implica su aplicacin, ocasionar en
muchos casos la escalada del mismo, necesitando la misma dinmica
para las soluciones.
Una organizacin necesita identificar y administrar cualquier tipo de
actividad para funcionar eficientemente. Cualquier actividad que
emplea recursos y es administrada para transformar entradas en
salidas, puede ser considerada como un proceso. A menudo, estas
salidas son aprovechadas nuevamente como entradas, generando
una realimentacin de los mismos.
Este estndar internacional adopta tambin el modelo Plan-DoCheck-Act (PDCA), el cual es aplicado a toda la estructura de
procesos de ISMS, y significa lo siguiente:
Plan (Establecer el ISMS): Implica, establecer a poltica ISMS, sus
objetivos, procesos, procedimientos relevantes para la administracin
de riesgos y mejoras para la seguridad de la informacin, entregando
resultados acordes a las polticas y objetivos de toda la organizacin.
Do (Implementar y operar el ISMS): Representa la forma en que se
debe operar e implementar la poltica, controles, procesos y
procedimientos.
Check (Monitorizar y revisar el ISMS): Analizar y medir donde sea
aplicable, los procesos ejecutados con relacin a la poltica del ISMS,
evaluar objetivos, experiencias e informar los resultados a la
administracin para su revisin.
Act (Mantener y mejorar el ISMS): Realizar las acciones preventivas y
correctivas, basados en las auditoras internas y revisiones del ISMS o
cualquier otra informacin relevante para permitir la continua mejora
del ISMS.
Aplicacin:
Estas clusulas son:
1) ISMS.
2) Responsabilidades de la Administracin
3) Auditora Interna del ISMS
4) Administracin de las revisiones del ISMS
5) Mejoras del ISMS.

(Estas clusulas realmente conforman el cuerpo principal de esta

norma)
Cualquier exclusin a los controles detallados por la norma y
denominados como necesarios para satisfacer los criterios de
aceptacin de riegos, debe ser justificada y se debe poner de
manifiesto, o evidenciar claramente los criterios por los cuales este
riesgo es asumido y aceptado. En cualquier caso en el que un control
sea excluido, la conformidad con este estndar internacional, no ser
aceptable, a menos que dicha exclusin no afecte a la capacidad y/o
responsabilidad de proveer seguridad a los requerimientos de
informacin que se hayan determinado a travs de la evaluacin de
riesgos, y sea a su vez aplicable a las regulaciones y legislacin
vigente.
NOTA: el ISMS incluye las polticas, planes, actividades,
responsabilidades, prcticas, procedimientos, procesos y recursos.
ISMS (Information Security Managemet System).
Requerimientos generales:
La organizacin, establecer, implementar, operar, monitorizar,
revisar, mantendr y mejorar un documentado ISMS en el contexto
de su propia organizacin para las actividades globales de su negocio
y de cara a los riesgos. Para este propsito esta norma el proceso
est basado en el modelo PDCA
Control de documentos:
Todos los documentos requeridos por el ISMS sern protegidos y
controlados. Un procedimiento documentado deber establecer las
acciones de administracin necesarias para:
Aprobar documentos y prioridades o clasificacin de empleo.
Revisiones, actualizaciones y reprobaciones de documentos.
Asegurar que los cambios y las revisiones de documentos sean
identificados.
Asegurar que las ltimas versiones de los documentos
aplicables estn disponibles y listas para ser usadas.
Asegurar que los documentos permanezcan legibles y
fcilmente identificables.
Asegurar que los documentos estn disponibles para quien los
necesite y sean transferidos, guardados y finalmente dispuestos
acorde a los procedimientos aplicables a su clasificacin.
Asegurar que los documentos de origen externo sean
identificados.
Asegurar el control de la distribucin de documentos.
Prevenir el empleo no deseado de documentos obsoletos y
aplicar una clara identificacin para poder acceder a ellos y que
queden almacenados para cualquier propsito
Responsabilidades de administracin:

La administracin proveer evidencias de sus compromisos para el

establecimiento,
implementacin,
operacin,
monitorizacin,
mantenimiento y mejora del ISMS a travs de:
Anlisis de ISO-27001:205
- Establecimiento de la poltica del ISMS
- Asegurar el establecimiento de los objetivos y planes del ISMS.
- Establecer roles y responsabilidades para la seguridad de la
informacin.
- Comunicar y concienciar a la organizacin sobre la importancia y
apoyo necesario a los objetivos propuestos por la poltica de
seguridad, sus responsabilidades legales y la necesidad de una
continua mejora en este aspecto.
- Proveer suficientes recursos para establecer, operar, implementar,
monitorizar, revisar, mantener y mejorar el ISMS
- Decidir los criterios de aceptacin de riesgos y los niveles del mismo.
- Asegurar que las auditoras internas del ISMS, sean conducidas y a
su vez conduzcan a la administracin para la revisin del ISMS
Formacin, preparacin y competencia:
La organizacin asegurar que todo el personal a quien sean
asignadas responsabilidades definidas en el ISMS sea competente y
est en capacidad de ejecutar las tareas requeridas, para ello deber
proveer las herramientas y capacitacin necesaria
Auditora interna del ISMS:
La organizacin realizar auditoras internas al ISMS a intervalos
planeados para determinar si los controles, sus objetivos, los procesos
y procedimientos continan de conformidad a esta norma y para
analizar y planificar acciones de mejora. Ninguna persona podr
auditar su propio trabajo, ni cualquier otro que guarde relacin con l.
Administracin de las revisiones del ISMS:
Las revisiones mencionadas en el punto anterior debern llevarse a
cabo al menos una vez al ao para asegurar su vigencia, adecuacin
y efectividad. Estas revisiones incluirn valoracin de oportunidades
para mejorar o cambiar el ISMS incluyendo la poltica de seguridad de
la informacin y sus objetivos. Los resultados de estas revisiones,
sern claramente documentados.
Mejoras al ISMS
La organizacin deber mejorar continuamente la eficiencia del ISMS
a travs del empleo de la poltica de seguridad de la informacin, sus
objetivos, el resultado de las auditoras, el anlisis y monitorizacin de
eventos, las acciones preventivas y correctivas y las revisiones de
administracin.
Acciones correctivas:
La organizacin llevar a cabo acciones para eliminar las causas que
no estn en conformidad con los requerimientos del ISMS con el
objetivo de evitar la recurrencia de los mismos.