BS ISO/IEC 27001:2005

NORMA

ISO/IEC

INTERNACIONAL

27001

Primera edicin
2005-10-15

Tecnologa de la informacin
Tcnicas de seguridad Sistemas de
gestin de seguridad de la informacin
Requisitos
Information technology Security techniques Information
security management systems Requirements

Nmero de referencia
ISO/IEC 27001:2005(E)

BS ISO/IEC 27001:2005

0 Introduccin
0.1 Generalidades
Esta Norma Internacional se ha elaborado con el fin de proporcionar un modelo para
establecer, implementar, operar, revisar, mantener y mejorar un Sistema de Gestin de
Seguridad de la Informacin (SGSI). La adopcin de un SGSI debera ser una decisin
estratgica para una organizacin. El diseo y la implementacin del SGSI de una
organizacin estn influenciados por sus necesidades y objetivos, los requisitos de
seguridad, los procesos empleados y el tamao y estructura de la organizacin. Se
espera que stos y sus sistemas de apoyo cambien con el tiempo. Se espera que la
implementacin de un SGSI se ajuste de acuerdo con las necesidades de la
organizacin, por ejemplo, una situacin sencilla requiere una solucin sencilla del SGSI.
Esta Norma Internacional puede utilizarse para evaluar la conformidad por partes
interesadas internas y externas.
0.2 Enfoque basado en procesos
Esta Norma Internacional adopta un enfoque basado en procesos para establecer,
implementar, operar, monitorear, revisar, mantener y mejorar el SGSI de una
organizacin.
Una organizacin tiene que identificar y gestionar muchas actividades para que funcione
de manera eficaz. Se puede considerar como un proceso cualquier actividad que utiliza
recursos y se gestiona con el fin de permitir que los elementos de entrada se transformen
en elementos de salida. Con frecuencia el elemento de salida de un proceso constituye
directamente el elemento de entrada del siguiente proceso.
A la aplicacin de un sistema de procesos dentro de una organizacin, junto con la
identificacin e interacciones de estos procesos, y su gestin se les puede denominar
enfoque basado en procesos.
El enfoque basado en procesos para la gestin de seguridad de la informacin
presentado en esta Norma Internacional estimula a los usuarios para que pongan nfasis
en la importancia de:
a)

comprender los requisitos de seguridad de la informacin de una

organizacin y la necesidad de establecer una poltica y objetivos para la seguridad
de la informacin;

b)

implementar y operar controles para gestionar los riesgos de

seguridad de la informacin de una organizacin en el contexto de los riesgos
generales del negocio de la organizacin;

c)

monitorear y revisar el desempeo y eficacia del SGSI; y

d)

la mejora continua en base a la medicin de objetivos.

Esta Norma Internacional adopta el modelo "Planificar-Ejecutar-Verificar-Actuar" (PDCA),

que se aplica a la estructura de todos los procesos del SCSI. La Figura 1 ilustra cmo un
SGSI considera como elemento de entrada los requisitos de seguridad de la informacin
y las expectativas de las partes interesadas y a travs de las acciones y procedimientos
necesarios produce resultados de seguridad de la informacin que cumplen esos
requisitos y expectativas. La Figura 1 tambin ilustra los vnculos entre los procesos
presentados en los Captulos 4, 5, 6, 7 y 8.

ii

BS ISO/IEC 27001:2005
La adopcin del modelo PDCA tambin reflejar los principios establecidos en las
Directrices de la OECD (2002) 1 que regulan la seguridad de los sistemas y redes de
informacin. Esta Norma Internacional proporciona un modelo slido para implementar
los principios de aquellas directrices que regulan la evaluacin de riesgos, el diseo e
implementacin de la seguridad, la gestin y reevaluacin de la seguridad.
EJEMPLO 1
Un requisito podra ser que las violaciones de la seguridad de la informacin no produzcan graves
daos financieros a una organizacin y/o causen dificultades econmicas a la organizacin.
EJEMPLO 2
Una expectativa podra ser que, si se produce un incidente grave quiz el hacking del sitio web
de eBusiness de una organizacin debera haber personal con la suficiente capacitacin en
procedimientos apropiados para minimizar el impacto.

Planificar
Partes
Interesadas

Partes
Interesadas

Establecer
el SGSI

Ejecutar

Implementar y
operar el SGSI

Mantener y
mejorar el SGSI

Actuar

Monitorear y
revisar el SGSI

Requisitos de
seguridad de la
informacin y
expectativas

Verificar

Seguridad de
la informacin
gestionada

Figura 1 Modelo PDCA aplicado a los procesos del SGSI

Planificar (establecer el
SGSI)

Establecer la poltica, objetivos, procesos y procedimientos del

SGSI relacionados con la gestin de riesgos y la mejora de la
seguridad de la informacin para dar resultados de acuerdo con
las polticas y objetivos generales de una organizacin.

Ejecutar (implementar y
operar el SGSI)

Implementar y operar la poltica, controles, procesos y

procedimientos del SGSI.

Verificar (monitorear y
revisar el SGSI)

Evaluar y, cuando sea aplicable, medir el desempeo de los

procesos en relacin con la poltica, objetivos y experiencia
prctica en materia del SGSI e informar los resultados a la
direccin para su revisin.

Actuar (mantener y
mejorar el SGSI)

Tomar las acciones correctivas y preventivas, en base a los

resultados de la auditora interna y la revisin por la direccin del
SGSI y otra informacin pertinente, para lograr la mejora continua
del SGSI.

Directrices de la OECD para la Seguridad de Sistemas y Redes de Informacin Hacia una

Cultura de la Seguridad. Pars: OECD, Julio de 2002. www.oecd.org

iii

BS ISO/IEC 27001:2005

0.3 Compatibilidad con otros sistemas de gestin

Esta Norma Internacional est alineada con ISO 9001:2000 e ISO 14001:2004 para
apoyar la implementacin y operacin coherente e integrada con las normas de gestin
relacionadas. De este modo, un sistema de gestin diseado adecuadamente puede
cumplir los requisitos de todas estas normas. La Tabla C.1 ilustra la relacin entre los
captulos de esta Norma Internacional, ISO 9001:2000 e ISO 14001:2004.
Esta Norma Internacional est diseada para permitir a una organizacin alinear e
integrar su SGSI con los requisitos de sistemas de gestin relacionados.

iv

BS ISO/IEC 27001:2005

NORMA INTERNACIONAL

ISO/IEC 27001:2005(E)

Tecnologa de la informacin Tcnicas de seguridad

Sistemas de gestin de seguridad de la informacin Requisitos
IMPORTANTE Esta publicacin no pretende incluir todas las disposiciones necesarias de
un contrato. Los usuarios son responsables de su correcta aplicacin. El cumplimiento de
una Norma Internacional no confiere por s mismo inmunidad de obligaciones legales.

1 Objeto
1.1 Generalidades
Esta Norma Internacional cubre todos los tipos de organizaciones (por ejemplo, empresas
comerciales, organismos gubernamentales, organizaciones sin fines de lucro). Esta
Norma Internacional especifica los requisitos para establecer, implementar, operar,
monitorear, revisar, mantener y mejorar un SGSI documentado dentro del contexto de los
riesgos generales del negocio de la organizacin. Especifica los requisitos para la
implementacin de controles de seguridad adaptados a las necesidades de
organizaciones individuales o partes de las mismas.
El SGSI est diseado para asegurar la seleccin de controles de seguridad adecuados y
proporcionales que protejan los activos de informacin y den confianza a las partes
interesadas.
NOTA 1: Las referencias a negocio en esta Norma Internacional deberan interpretarse
en trminos generales para referirse a aquellas actividades que son bsicas para la
existencia de la organizacin.
NOTA 2: ISO/IEC 17799 proporciona directrices para la implementacin que pueden
utilizarse al disear controles.
1.2 Aplicacin
Los requisitos establecidos en esta Norma Internacional son genricos y se pretende que
sean aplicables a todas las organizaciones, independientemente de su tipo, tamao y
naturaleza. La exclusin de cualquiera de los requisitos especificados en los Captulos 4,
5, 6, 7 y 8 no es aceptable cuando una organizacin alega la conformidad con esta
Norma Internacional.
Cualquier exclusin de controles que se comprueba que es necesaria para cumplir los
criterios de aceptacin de riesgos, tiene que ser justificada y se tiene que proporcionar
evidencia de que las personas responsables han aceptado los riesgos asociados. Cuando
se excluye cualquier control, las alegaciones de conformidad con esta Norma
Internacional no son aceptables a menos que dichas exclusiones no afecten la capacidad
o responsabilidad de la organizacin para proporcionar una seguridad de la informacin
que cumpla con los requisitos de seguridad determinados mediante una evaluacin de
riesgos y los requisitos legales y reglamentarios aplicables.
NOTA: Si una organizacin ya tiene funcionando un sistema de gestin de procesos del
negocio (por ejemplo, en relacin con ISO 9001 o ISO 14001), es preferible, en la
mayora de casos, cumplir con los requisitos de esta Norma Internacional dentro del
sistema de gestin existente.

BS ISO/IEC 27001:2005

2 Referencias normativas
Los siguientes documentos son indispensables para la aplicacin de este documento. En
el caso de referencias fechadas, slo se aplica la edicin mencionada. En el caso de
referencias sin fecha, se aplica la ltima edicin del documento al que se hace referencia
(incluyendo cualquier modificacin).
ISO/IEC 17799:2005, Tecnologa de la informacin Tcnicas de seguridad Cdigo
de prctica para la gestin de seguridad de la informacin.
3 Trminos y definiciones
Para los fines de este documento, se aplican los siguientes trminos y definiciones.
3.1
activo
cualquier cosa que tenga valor para la organizacin
[ISO/IEC 13335-1:2004]
3.2
disponibilidad
propiedad de ser accesible y utilizable cuando lo requiera una entidad autorizada.
[ISO/IEC 13335-1:2004]
3.3
confidencialidad
propiedad por la cual no se pone a disposicin o revela informacin a personas,
entidades o procesos no autorizados.
[ISO/IEC 13335-1:2004]
3.4
seguridad de la informacin
conservacin de la confidencialidad, integridad y disponibilidad de la informacin;
adems, otras propiedades como autenticidad, rendicin de cuentas, no repudio y
confiabilidad tambin pueden estar implicadas.
[ISO/IEC 17799:2005]
3.5
hecho de seguridad de la informacin
ocurrencia identificada del estado de un sistema, servicio o red que indica un posible
incumplimiento de la poltica de seguridad de la informacin o falla de las protecciones, o
situacin previamente desconocida que puede estar relacionada con la seguridad.
[ISO/IEC TR 18044:2004]
3.6
incidente de seguridad de la informacin
hecho nico o serie de hechos no deseados o inesperados de seguridad de la
informacin que tienen una probabilidad significativa de comprometer las operaciones del
negocio y amenazar la seguridad de la informacin.
[ISO/IEC TR 18044:2004]
3.7
sistema de gestin de seguridad de la informacin SGSI
aquella parte del sistema de gestin general, basada en un enfoque de riesgos del
negocio, para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la
seguridad de la informacin.

BS ISO/IEC 27001:2005
NOTA: El sistema de gestin incluye la estructura organizativa, polticas, actividades de
planificacin, responsabilidades, prcticas, procedimientos, procesos y recursos.
3.8
integridad
propiedad de proteger la exactitud e integridad de los activos
[ISO/IEC 13335-1:2004]
3.9
riesgo residual
riesgo que se mantiene despus del tratamiento de los riesgos
[Gua ISO/IEC 73:2002]

3.10
aceptacin del riesgo
decisin de aceptar un riesgo
[Gua ISO/IEC 73:2002]

3.11
anlisis del riesgo
uso sistemtico de informacin para identificar fuentes y estimar el riesgo
[Gua ISO/IEC 73:2002]

3.12
evaluacin del riesgo
proceso general de anlisis y evaluacin del riesgo
[Gua ISO/IEC 73:2002]

3.13
valoracin del riesgo
proceso de comparacin del riesgo estimado con determinados criterios de riesgo para
determinar la importancia del riesgo
[Gua ISO/IEC 73:2002]

3.14
gestin del riesgo
actividades coordinadas para orientar y controlar una organizacin con respecto al riesgo
[Gua ISO/IEC 73:2002]

3.15
tratamiento del riesgo
proceso de seleccin e implementacin de medidas para modificar el riesgo
[Gua ISO/IEC 73:2002]
NOTA: En esta Norma Internacional, el trmino control se utiliza como sinnimo de
medida.

3.16
declaracin de aplicabilidad
declaracin documentada que describe los objetivos de control y controles que son
pertinentes y aplicables al SGSI de la organizacin.
NOTA: Los objetivos de control y controles se basan en los resultados y conclusiones de
los procesos de evaluacin y tratamiento del riesgo, los requisitos legales o

BS ISO/IEC 27001:2005
reglamentarios, las obligaciones contractuales y los requisitos del negocio de la
organizacin para la seguridad de la informacin.

4 Sistema de gestin de la seguridad de la informacin

4.1 Requisitos generales
La organizacin debe establecer, implementar, operar, revisar, mantener y mejorar un
SGSI documentado dentro del contexto de las actividades generales del negocio de la
organizacin y los riesgos a los que se enfrenta. Para los fines de esta Norma
Internacional, el proceso utilizado se basa en el modelo PDCA que se muestra en la
Figura 1.

4.2 Establecimiento y gestin del SGSI

4.2.1 Establecer el SGSI
La organizacin debe realizar lo siguiente:
a)

Definir el alcance y los lmites del SGSI en trminos de las

caractersticas del negocio, la organizacin, su ubicacin, activos y tecnologa,
incluyendo los detalles y justificacin de cualquier exclusin del alcance (vase 1.2).

b)

Definir una poltica del SGSI en trminos de las caractersticas del

negocio, la organizacin, su ubicacin, activos y tecnologa que:
1)

incluya un marco para establecer objetivos y establezca un sentido general

de orientacin y principios de accin con respecto a la seguridad de la
informacin;

2)

tome en cuenta los requisitos del negocio y legales o reglamentarios, y

obligaciones de seguridad contractuales;

3)

se alinee con el contexto de la gestin de riesgos estratgicos de la

organizacin en el cual se llevarn a cabo el establecimiento y mantenimiento
del SGSI;

4)

establezca criterios en relacin con los cuales se evaluar el riesgo (vase

4.2.1c)); y

5)

haya sido aprobada por la direccin.

NOTA: Para los fines de esta Norma Internacional, la poltica del SGSI es
considerada como un superconjunto de la poltica de seguridad de la informacin.
Estas polticas pueden describirse en un solo documento.
c)

Definir el enfoque para la evaluacin de riesgos de la

organizacin.
1)

Identificar una metodologa para la evaluacin de riesgos que se adapte al

SGSI, y la seguridad de la informacin del negocio identificada, los requisitos
legales y reglamentarios.

2)

Desarrollar criterios de aceptacin de los riesgos e identificar los niveles de

riesgo aceptables (vase 5.1f)).

La metodologa para la evaluacin de riesgos seleccionada debe asegurar que las

evaluaciones de riesgos produzcan resultados comparables y reproducibles.

BS ISO/IEC 27001:2005
NOTA: Existen diferentes metodologas para la evaluacin de riesgos. En ISO/IEC
TR 13335-3, Tecnologa de la Informacin Directrices para la gestin de la
Seguridad Informtica Tcnicas para la gestin de la Seguridad Informtica, se
consideran ejemplos de metodologas para la evaluacin de riesgos.
d)

Identificar los riesgos.

1)
2)

Identificar los activos que estn dentro del alcance del SGSI, y los
propietarios2 de estos activos.
Identificar las amenazas para esos activos.

3)

Identificar las vulnerabilidades que podran ser explotadas por las amenazas.

4)

Identificar los impactos que las prdidas de confidencialidad, integridad y

disponibilidad pueden tener sobre los activos.

e)

Analizar y evaluar los riesgos.

1)

Evaluar los impactos del negocio sobre la organizacin que podran resultar de
las fallas de seguridad, tomando en cuenta las consecuencias de una prdida
de confidencialidad, integridad o disponibilidad de los activos.

2)

Evaluar la probabilidad realista de que se produzcan fallas de seguridad a la

luz de las amenazas y vulnerabilidades imperantes y los impactos
relacionados con estos activos, y los controles actualmente implementados.

3)

Estimar los niveles de riesgos.

4)

Determinar si los riesgos son aceptables o requieren un tratamiento utilizando

los criterios de aceptacin de riesgos establecidos en 4.2.1c)2).

f)

Identificar y evaluar las opciones para el tratamiento de riesgos.

Las posibles acciones incluyen:
1)

aplicar los controles apropiados;

2)

aceptar a sabiendas y objetivamente riesgos, siempre que cumplan

claramente con las polticas de la organizacin y los criterios de aceptacin de
riesgos (vase 4.2.1c)2));

3)

evitar riesgos; y

4)

transferir los riesgos relacionados del negocio a otras partes, por ejemplo,
compaas aseguradoras, proveedores.

g)

Seleccionar objetivos de control y controles para el tratamiento de

riesgos.
Se deben seleccionar e implementar objetivos de control y controles para cumplir
con los requisitos identificados mediante el proceso de evaluacin y tratamiento de
riesgos. Esta seleccin debe tomar en cuenta los criterios de aceptacin de riesgos
(vase 4.2.1c)2)) as como los requisitos legales, reglamentarios y contractuales.
Se deben seleccionar los objetivos de control y controles del Anexo A como parte de
este proceso segn sea adecuado para cubrir los requisitos identificados.

El trmino propietario identifica a una persona o entidad que tiene la responsabilidad

gerencial aprobada de controlar la produccin, desarrollo, mantenimiento, uso y
seguridad de los activos. El trmino propietario no significa que la persona tiene
realmente derechos sobre el activo.

BS ISO/IEC 27001:2005
Los objetivos de control y controles mencionados en el Anexo A no son exhaustivos
y tambin se pueden seleccionar objetivos de control y controles adicionales.
NOTA: El Anexo A contiene un lista completa de objetivos de control y controles que
se ha comprobado que son comnmente pertinentes en las organizaciones. Se
recomienda a los usuarios de esta Norma Internacional remitirse al Anexo A como
punto de partida para la seleccin de controles con el fin de asegurar que no se
pasen por alto opciones de control importantes.
h)

Obtener la aprobacin por la direccin de los riesgos residuales

propuestos.

i)

Obtener la autorizacin de la direccin para implementar y operar

el SGSI.

j)

Elaborar una Declaracin de Aplicabilidad.

Se debe elaborar una Declaracin de Aplicabilidad que incluya lo siguiente:
1)

los objetivos de control y controles seleccionados en 4.2.1g) y las razones de

su seleccin;

2)

los objetivos de control y controles actualmente implementados (vase

4.2.1e)2)); y

3)

la exclusin de cualquier objetivo de control o control indicado en el Anexo A y

la justificacin de su exclusin.

NOTA: La Declaracin de Aplicabilidad proporciona un resumen de las decisiones

con respecto al tratamiento de riesgos. La justificacin de las exclusiones permite
una verificacin de que no se ha omitido de manera inadvertida ningn control.
4.2.2 Implementar y operar el SGSI

La organizacin debe realizar lo siguiente:

a)

Formular un plan de tratamiento de riesgos que identifique la

accin de gestin apropiada, los recursos, responsabilidades y prioridades de la
gestin de riesgos de seguridad de la informacin (vase 5).

b)

Implementar el plan de tratamiento de riesgos para lograr los

objetivos de control identificados, lo cual incluye la consideracin del financiamiento
y asignacin de funciones y responsabilidades.

c)

Implementar los controles seleccionados en 4.2.1g) para cumplir

los objetivos de control.

d)

Definir cmo medir la eficacia de los controles o grupos de

controles seleccionados y especificar cmo deben utilizarse estas mediciones para
evaluar la eficacia del control para producir resultados comparables y reproducibles
(vase 4.2.3c)).
NOTA: La medicin de la eficacia de los controles permite a los gerentes y el
personal determinar qu tan bien los controles logran los objetivos de control
planificados.

e)

Implementar programas de capacitacin y toma de conciencia

(vase 5.2.2).

f)

Gestionar la operacin del SGSI.

g)

Gestionar los recursos para el SGSI (vase 5.2).

BS ISO/IEC 27001:2005
h)

Implementar procedimientos y otros controles capaces de permitir

la inmediata deteccin de hechos de seguridad y la respuesta a incidentes de
seguridad (vase 4.2.3a)).

4.2.3 Monitorear y revisar el SGSI

La organizacin debe realizar lo siguiente.

a)

Ejecutar los procedimiento de monitoreo y revisin y otros

controles para:
1)

detectar inmediatamente errores en los resultados de procesamiento;

2)

identificar inmediatamente intentos de violacin y violaciones de seguridad e

incidentes de seguridad;

3)

permitir a la direccin determinar si las actividades de seguridad delegadas al

personal o implementadas mediante la tecnologa de la informacin se estn
realizando segn lo esperado;

4)

ayudar a detectar hechos de seguridad y de ese modo prevenir incidentes de

seguridad mediante el uso de indicadores; y

5)

determinar si las acciones tomadas para resolver una violacin de seguridad

fueron eficaces.

b)

Realizar revisiones regulares de la eficacia del SGSI (incluyendo el cumplimiento de

la poltica y objetivos del SGSI, y la revisin de los controles de seguridad) tomando
en cuenta los resultados de auditoras de seguridad, incidentes, resultados de las
mediciones de eficacia, sugerencias y retroalimentacin de todas las partes
interesadas.

c)

Medir la eficacia de los controles para verificar que se han cumplido los requisitos
de seguridad.

d)

Revisar las evaluaciones de riesgos a intervalos planificados y revisar los riesgos

residuales y los niveles de riesgos aceptables identificados, tomando en cuenta los
cambios en:

e)

1)

la organizacin;

2)

la tecnologa;

3)

los objetivos y procesos del negocio;

4)

las amenazas identificadas;

5)

la eficacia de los controles implementados; y

6)

hechos externos como cambios en el entorno legal o reglamentario, cambios

en las obligaciones contractuales y cambios en el clima social.

Llevar a cabo auditoras internas del SGSI a intervalos planificados (vase 6).
NOTA: Las auditoras internas, a veces llamadas auditoras de primera parte, son
realizadas por la misma organizacin o en nombre de sta para fines internos.

f)

Realizar una revisin por la direccin del SGSI regularmente para asegurar que el
alcance siga siendo adecuado y se identifiquen mejoras en el proceso del SGSI
(vase 7.1).

g)

Actualizar los planes de seguridad para tomar en cuenta los hallazgos de las
actividades de monitoreo y revisin.

BS ISO/IEC 27001:2005
h)

Registrar las acciones y hechos que podran tener un impacto sobre la eficacia o el
desempeo del SGSI (vase 4.3.3).

4.2.4 Mantener y mejorar el SGSI

La organizacin debe realizar lo siguiente:
a)

Implementar las mejoras identificadas en el SGSI.

b)

Tomar las acciones correctivas y preventivas apropiadas de

acuerdo con 8.2 y 8.3. Aplicar las lecciones aprendidas de las experiencias de
seguridad de otras organizaciones y las de la misma organizacin.

c)

Comunicar las acciones y mejoras a todas las partes interesadas

con un nivel de detalle apropiado para las circunstancias y, segn sea pertinente,
ponerse de acuerdo en cmo proceder.

d)

Asegurarse de que las mejoras logren sus objetivos previstos.

4.3 Requisitos de la documentacin

4.3.1 Generalidades
La documentacin debe incluir registros de las decisiones de gestin, asegurar que las
acciones sean trazables a las decisiones de gestin y polticas y que los resultados
registrados sean reproducibles.
Es importante ser capaz de demostrar la relacin de los controles seleccionados con los
resultados del proceso de evaluacin y tratamiento de riesgos y posteriormente con la
poltica y objetivos del SGSI.
La documentacin del SGSI debe incluir:
a)

declaraciones documentadas de la poltica (vase 4.2.1b)) y objetivos del SGSI;

b)

el alcance del SGSI (vase 4.2.1a));

c)

procedimientos y controles en apoyo del SGSI;

d)

una descripcin de la metodologa para la evaluacin de riesgos (vase 4.2.1c));

e)

el informe de evaluacin de riesgos (vase 4.2.1c) a 4.2.1g));

f)

el plan de tratamiento de riesgos (vase 4.2.2b));

g)

procedimientos documentados requeridos por la organizacin para asegurar la

planificacin, operacin y control eficaces de sus procesos de seguridad de la
informacin y describir cmo medir la eficacia de los controles (vase 4.2.3c));

h)

los registros exigidos por esta Norma Internacional (vase 4.3.3); y

i)

la Declaracin de Aplicabilidad.
NOTA 1: Cuando aparezca el trmino procedimiento documentado dentro de esta
Norma Internacional, esto significa que el procedimiento sea establecido,
documentado, implementado y mantenido.
NOTA 2: La extensin de la documentacin del SGSI puede diferir de una
organizacin a otra debido a:
- el tamao de la organizacin y el tipo de sus actividades; y
- el alcance y complejidad de los requisitos de seguridad y los sistemas
gestionados.

10

BS ISO/IEC 27001:2005
NOTA 3: Los documentos y registros pueden estar en cualquier formato o tipo de
medio.
4.3.2 Control de documentos
Se deben proteger y controlar los documentos exigidos por el SGSI. Se debe establecer
un procedimiento documentado que defina las acciones de gestin necesarias para:
a)

aprobar los documentos en cuanto a su adecuacin antes de su emisin;

b)

revisar y actualizar los documentos cuando sea necesario y aprobarlos nuevamente;

c)

asegurarse de que se identifiquen los cambios y el estado de revisin actual de los

documentos;

d)

asegurarse de que las versiones pertinentes de los documentos aplicables se

encuentren disponibles en los puntos de uso;

e)

asegurarse de
identificables;

f)

asegurarse de que los documentos se encuentren disponibles para aquellos que los
necesitan, y sean transferidos, almacenados y finalmente eliminados de acuerdo
con los procedimientos aplicables a su clasificacin;

g)

asegurarse de que se identifiquen los documentos de origen externo;

h)

asegurarse de que se controle la distribucin de los documentos;

i)

prevenir el uso no intencional de documentos obsoletos; y

j)

aplicarles una identificacin adecuada en el caso de que se conserven por cualquier

razn.

que

los

documentos

permanezcan

legibles

fcilmente

4.3.3 Control de registros

Se deben establecer y mantener registros para proporcionar evidencia de la conformidad
con los requisitos y la operacin eficaz del SGSI. Deben estar protegidos y controlados. El
SGSI debe tomar en cuenta los requisitos legales o reglamentarios pertinentes y
obligaciones contractuales. Los registros deben permanecer legibles, fcilmente
identificables y recuperables. Se deben documentar e implementar los controles
necesarios para la identificacin, almacenamiento, proteccin, recuperacin, tiempo de
conservacin y disposicin de los registros.
Se deben mantener registros del desempeo del proceso descrito en 4.2 y de todas las
ocurrencias de incidentes de seguridad significativos relacionados con el SGSI.
EJEMPLO
Ejemplos de registros son un libro de visitantes, los informes de auditora y los formatos
de autorizacin de acceso llenos.
5 Responsabilidad de la direccin
5.1 Compromiso de la direccin
La direccin debe proporcionar evidencia de su compromiso con el establecimiento,
implementacin, operacin, monitoreo, revisin, mantenimiento y mejora del SGSI:
a)

estableciendo una poltica del SGSI;

11

BS ISO/IEC 27001:2005
b)

asegurando de que se establezcan los objetivos y planes del

SGSI;

c)

estableciendo las funciones y responsabilidades de la seguridad

de la informacin;

d)

comunicando a la organizacin la importancia de cumplir los

objetivos de seguridad de la informacin y la poltica de seguridad de la informacin,
sus responsabilidades segn la ley y la necesidad de la mejora continua;

e)

proporcionando
recursos
suficientes
para
establecer,
implementar, operar, monitorear, revisar, mantener y mejorar el SGSI (vase 5.2.1);

f)

decidiendo los criterios de aceptacin de riesgos y los niveles de

riesgo aceptables;

g)

asegurando de que se lleven a cabo las auditoras internas del

SGSI (vase 6); y

h)

llevando a cabo las revisiones por la direccin del SGSI (vase

7).

5.2 Gestin de los recursos

5.2.1 Provisin de recursos
La organizacin debe determinar y proporcionar los recursos necesarios para:
a)

establecer, implementar, operar, monitorear, revisar, mantener y

mejorar un SGSI;

b)

asegurar que los procedimientos de seguridad de la informacin

apoyen los requisitos del negocio;

c)

identificar y abordar los requisitos legales y reglamentarios y

obligaciones contractuales de seguridad;

d)

mantener la seguridad adecuada mediante la correcta aplicacin

de todos los controles implementados;

e)

realizar revisiones cuando sea

apropiadamente a los resultados de estas revisiones; y

f)

necesario

reaccionar

cuando sea requerido, mejorar la eficacia del SGSI.

5.2.2 Capacitacin, toma de conciencia y competencia

La organizacin debe asegurarse de que todo el personal al que se le ha asignado las
responsabilidades definidas en el SGSI, sea competente para realizar las tareas
requeridas:
a)

determinando la competencia necesaria para el personal que realiza trabajos que

afectan el SGSI;

b)

proporcionando capacitacin o tomando otras acciones (por ejemplo, contratando

personal competente) para satisfacer estas necesidades;

c)

evaluando la eficacia de las acciones tomadas; y

d)

manteniendo registros de la educacin, capacitacin, habilidades, experiencia y

calificaciones (vase 4.3.3).

La organizacin tambin debe asegurarse de que todo el personal pertinente est

consciente de la pertinencia e importancia de las actividades de seguridad de la
informacin y la manera como contribuyen al logro de los objetivos del SGSI.

12

BS ISO/IEC 27001:2005
6 Auditoras internas del SGSI
La organizacin debe llevar a cabo a intervalos planificados auditoras internas del SGSI
para determinar si los objetivos de control, controles, procesos y procedimientos de su
SGSI:
a) cumplen con los requisitos de esta Norma Internacional y la legislacin o regulaciones
pertinentes;
b) cumplen con los requisitos de seguridad de la informacin;
c) se han implementado y se mantienen de manera eficaz; y
d) estn dando el resultado que se esperaba.
Se debe planificar un programa de auditoras tomando en consideracin el estado y la
importancia de los procesos y las reas a auditar, as como los resultados de auditoras
anteriores. Se deben definir los criterios de auditora, el alcance de la misma, su
frecuencia y metodologa. La seleccin de los auditores y la realizacin de las auditoras
deben asegurar la objetividad e imparcialidad del proceso de auditora. Los auditores no
deben auditar su propio trabajo.
Se deben definir en un procedimiento documentado las responsabilidades y requisitos
para la planificacin y la realizacin de auditoras, para el informe de los resultados y para
el mantenimiento de los registros (vase 4.3.3).
La direccin responsable del rea que est siendo auditada, debe asegurarse de que se
toman acciones sin demora injustificada para eliminar las no conformidades detectadas y
sus causas. Las actividades de seguimiento deben incluir la verificacin de las acciones
tomadas y el informe de los resultados de la verificacin (vase 8).
NOTA: ISO 19011:2002, Directrices para la auditora de sistemas de gestin de la calidad
y/o ambiental, puede proporcionar una til orientacin para realizar las auditoras internas
del SGSI.
7 Revisin por la direccin del SGSI
7.1 Generalidades
La alta direccin debe, a intervalos planificados (por lo menos una vez al ao), revisar el
SGSI de la organizacin para asegurar su conveniencia, adecuacin y eficacia continuas.
Esta revisin debe incluir la evaluacin de las oportunidades de mejora y la necesidad de
efectuar cambios en el SGSI, incluyendo la poltica de seguridad de la informacin y los
objetivos de seguridad de la informacin. Se deben documentar claramente los resultados
de las revisiones y se deben mantener registros (vase 4.3.3).
7.2 Informacin para la revisin
La informacin de entrada para la revisin por la direccin debe incluir:
a)

resultados de auditoras y revisiones del SGSI;

b)

retroalimentacin de las partes interesadas;

c)

tcnicas, productos o procedimientos, que podran utilizarse en la

organizacin para mejorar el desempeo y la eficacia del SGSI;

d)

estado de las acciones preventivas y correctivas;

e)

vulnerabilidades o amenazas no tratadas adecuadamente en la

evaluacin de riesgos anterior;

13

BS ISO/IEC 27001:2005
f)

resultados de mediciones de la eficacia;

g)

acciones de seguimiento de revisiones por la direccin anteriores;

h)

cambios que podran afectar el SGSI; y

i)

recomendaciones para la mejora.

7.3 Resultados de la revisin

Los resultados de la revisin por la direccin deben incluir todas las decisiones y acciones
relacionadas con lo siguiente:
a)

la mejora de la eficacia del SGSI,

b)

la actualizacin del plan de evaluacin de riesgos y tratamiento

de riesgos,

c)

la modificacin de procedimientos y controles que afectan la

seguridad de la informacin, segn sea necesario, para responder a hechos
internos o externos que pueden tener un impacto sobre el SGSI, incluyendo
cambios en:
1)

los requisitos del negocio;

2)

los requisitos de seguridad;

3)

los procesos del negocio que afectan los requisitos del negocio existentes;

4)

los requisitos reglamentarios o legales;

5)

las obligaciones contractuales; y

6)

los niveles de riesgo y/o criterios de aceptacin de riesgos.

d)

las necesidades de recursos.

e)

la mejora de la manera como se mide la eficacia de los controles.

8 Mejora del SGSI

8.1 Mejora continua
La organizacin debe mejorar continuamente la eficacia del SGSI mediante el uso de la
poltica de seguridad de la informacin, los objetivos de seguridad de la informacin, los
resultados de las auditoras, el anlisis de hechos monitoreados, las acciones correctivas
y preventivas y la revisin por la direccin (vase 7).
8.2 Acciones correctivas
La organizacin debe tomar acciones para eliminar la causa de no conformidades con el
SGSI para evitar que vuelva a ocurrir. El procedimiento documentado para acciones
correctivas debe definir los requisitos para:
a)

identificar las no conformidades;

b)

determinar las causas de las no conformidades;

c)

evaluar la necesidad de adoptar acciones para asegurarse de que

las no conformidades no vuelvan a ocurrir;

14

BS ISO/IEC 27001:2005
d)

determinar e implementar las acciones correctivas necesarias;

e)

registrar los resultados de las acciones tomadas (vase 4.3.3); y

f)

revisar las acciones correctivas tomadas.

8.3 Acciones preventivas

La organizacin debe determinar acciones para eliminar las causas de potenciales no
conformidades con los requisitos del SGSI para prevenir su ocurrencia. Las acciones
preventivas deben ser apropiadas para el impacto de los potenciales problemas. El
procedimiento documentado para acciones preventivas debe definir los requisitos para:
a)
b)

identificar las potenciales no conformidades y sus causas;

evaluar la necesidad de tomar acciones para prevenir la
ocurrencia de no conformidades;

c)

determinar e implementar las acciones preventivas necesarias;

d)

registrar los resultados de las acciones tomadas (vase 4.3.3); y

e)

revisar las acciones preventivas tomadas.

La organizacin debe identificar los cambios de los riesgos e identificar los requisitos para
acciones preventivas centrando la atencin en los cambios significativos de los riesgos.
Se debe determinar la prioridad de las acciones preventivas en base a los resultados de
la evaluacin de riesgos.
NOTA: Las acciones para prevenir las no conformidades son con frecuencia ms eficaces
en funcin de los costos que las acciones correctivas.

15

BS ISO/IEC 27001:2005

Anexo A
(normativo)
Objetivos de control y controles
Los objetivos de control y controles mencionados en la Tabla A.1 se obtienen
directamente de los mencionados en los Captulos 1 al 15 de ISO/IEC 17799:2005 y se
han alineado con stos. Las listas de la Tabla A.1 no son exhaustivas y una organizacin
puede considerar que son necesarios objetivos de control y controles adicionales. Los
objetivos de control y controles de estas tablas deben seleccionarse como parte del
proceso del SGSI especificado en 4.2.1.
Los captulos 5 al 15 de ISO/IEC 17799:2005 proporcionan consejos para la
implementacin y orientacin sobre la mejor prctica en apoyo de los controles
especificados en A.5 a A.15.
Tabla A.1 Objetivos de control y controles
A.5 Poltica de seguridad
A.5.1 Poltica de seguridad de la informacin
Objetivo: Proporcionar a la direccin orientacin y apoyo para la seguridad de la
informacin de acuerdo con los requisitos del negocio y las leyes y regulaciones
pertinentes.
A.5.1.1

A.5.1.2

Documento de
poltica de
seguridad de la
informacin
Revisin de la
poltica de
seguridad de la
informacin

Control
La direccin debe aprobar, publicar y comunicar a
todos los empleados y partes externas pertinentes un
documento de poltica de seguridad de la informacin.
Control
Se debe revisar la poltica de seguridad de la
informacin a intervalos planificados o si se producen
cambios significativos para asegurar su conveniencia,
adecuacin y eficacia continuas.

A.6 Organizacin de la seguridad de la informacin

A.6.1 Organizacin interna
Objetivo: Gestionar la seguridad de la informacin dentro de la organizacin.
A.6.1.1

A.6.1.2

Compromiso de la
direccin con la
seguridad de la
informacin

Control

Coordinacin de la
seguridad de la
informacin

Control

La direccin debe apoyar activamente la seguridad

dentro de la organizacin a travs de una orientacin
clara, compromiso demostrado, asignacin explcita y
reconocimiento de las responsabilidades de la
seguridad de la informacin.

Las actividades de seguridad de la informacin deben

ser coordinadas por los representantes de las
diferentes partes de la organizacin con las funciones
y categoras de trabajo pertinentes.

16

BS ISO/IEC 27001:2005

A.6.1.3

A.6.1.4

Asignacin de
responsabilidades
con respecto a la
seguridad de la
informacin

Control

Proceso de
autorizacin de
recursos de
procesamiento de
informacin

Control

Se deben definir claramente todas las

responsabilidades con respecto a la seguridad de la
informacin.

Se debe definir e implementar un proceso de

autorizacin para la gestin de nuevos recursos de
procesamiento de informacin.
Control
Se deben identificar y revisar regularmente los
requisitos para acuerdos de confidencialidad o no
divulgacin de informacin que reflejen las
necesidades de la organizacin con respecto a la
proteccin de la informacin.
Control
Se deben mantener los contactos apropiados con las
autoridades pertinentes.

A.6.1.5

Acuerdos de
confidencialidad

A.6.1.6

Contacto con
autoridades

A.6.1.7

Contacto con
grupos de inters
especiales

A.6.1.8

Revisin
Control
independiente de la Se debe revisar de manera independiente el enfoque
seguridad de la de la organizacin para la gestin de la seguridad de
informacin
la informacin y su implementacin (es decir,
objetivos de control, controles, polticas, procesos y
procedimientos para la seguridad de la informacin) a
intervalos planificados o cuando se producen cambios
significativos en la implementacin de la seguridad.

Control
Se deben mantener contactos con grupos de inters
especiales u otros foros de seguridad especializados
y asociaciones profesionales.

A.6.2 Partes externas

Objetivo: Mantener la seguridad de la informacin de la organizacin y sus recursos de
procesamiento de informacin que sean accesibles, procesados o gestionados por partes
externas o comunicados a stas.
A6.2.1

A.6.2.2

Identificacin de
riesgos
relacionados con
partes externas

Abordar la
seguridad al tratar
con clientes

Control
Se deben identificar los riesgos para la informacin y
los recursos de procesamiento de informacin de la
organizacin debido a los procesos del negocio y se
deben implementar los controles apropiados antes de
dar acceso.
Control
Se deben abordar todos los requisitos de seguridad
identificados antes de dar a los clientes acceso a la
informacin o activos de la organizacin.

17

BS ISO/IEC 27001:2005

A.6.2.3

Abordar la
seguridad en
acuerdos con
terceros

Control
Los acuerdos con terceros que impliquen el acceso,
procesamiento, comunicacin o gestin de la
informacin o los recursos de procesamiento de
informacin de la organizacin o la adicin de
productos o servicios a los recursos de procesamiento
de informacin deben cubrir todos los requisitos de
seguridad pertinentes.

A.7 Gestin de activos

A.7.1 Responsabilidad de los activos
Objetivo: Lograr y mantener la proteccin apropiada de los activos de la organizacin.
A.7.1.1

A.7.1.2

A.7.1.3

Inventario de
activos

Control

Propiedad de
activos

Control

Uso aceptable de
activos

Control

Se deben identificar claramente todos los activos y se

debe hacer y mantener un inventario de todos los
activos importantes.
Una parte designada de la organizacin debe ser
propietario de toda la informacin y activos
relacionados con los recursos de procesamiento de
informacin3.
Se deben identificar, documentar e implementar
reglas para el uso aceptable de informacin y activos
relacionados con los recursos de procesamiento de
informacin.

A.7.2 Clasificacin de la informacin

Objetivo: Asegurar que la informacin reciba un nivel de proteccin apropiado.
A.7.2.1

Directrices para la Control

clasificacin
Se debe clasificar la informacin en trminos de su
valor, requisitos legales, sensibilidad y criticidad para
la organizacin.

A.7.2.2

Etiquetado y
manipulacin de la
informacin

Control
Se debe desarrollar e implementar un conjunto
apropiado de procedimientos para el etiquetado y
manipulacin de la informacin de acuerdo con el
esquema de clasificacin adoptado por la
organizacin.

El trmino propietario identifica a una persona o entidad que tiene la responsabilidad

gerencial aprobada de controlar la produccin, desarrollo, mantenimiento, uso y
seguridad de los activos. El trmino propietario no significa que la persona tiene
realmente derechos sobre el activo.

18

BS ISO/IEC 27001:2005

A.8 Seguridad ligada a los recursos humanos

A.8.1 Antes de la relacin laboral4
Objetivo: Asegurarse de que los empleados, contratistas o usuarios de terceros
comprendan sus responsabilidades y sean adecuados para las funciones para las cuales
son considerados, y reducir el riesgo de robos, fraudes o mal uso de instalaciones.
A.8.1.1

A.8.1.2

A.8.1.3

Funciones y
responsabilidades

Seleccin

Trminos y
condiciones de
empleo

Control
Se deben definir y documentar las funciones y
responsabilidades de los empleados, contratistas y
usuarios de terceros con respecto a la seguridad de
acuerdo con la poltica de seguridad de la informacin
de la organizacin.
Control
Deben realizarse verificaciones de los antecedentes
de todos los candidatos para el empleo, contratistas
y usuarios de terceros de acuerdo con las leyes y
regulaciones pertinentes y la tica y deben ser
proporcionales a los requisitos del negocio, la
clasificacin de la informacin a la cual se va a tener
acceso, y los riesgos percibidos.
Control
Como parte de su obligacin contractual, los
empleados, contratistas y usuarios de terceros
deben acordar y firmar los trminos y condiciones de
su contrato de empleo, los cuales deben establecer
sus responsabilidades y las de la organizacin en
materia de seguridad de la informacin.

A.8.2 Durante la relacin laboral

Objetivo: Asegurarse de que todos los empleados, contratistas o usuarios de terceros
estn conscientes de las amenazas y preocupaciones en materia de seguridad de la
informacin, sus responsabilidades y obligaciones, y estn preparados para apoyar la
poltica de seguridad de la organizacin en el curso de su trabajo normal y reducir el
riesgo de errores humanos.
A.8.2.1
Responsabilidades Control
de la direccin
La direccin debe exigir que los empleados,
contratistas y usuarios de terceros apliquen la
seguridad de acuerdo con las polticas y
procedimientos establecidos por la organizacin.
Toma de
Control
A.8.2.2
conciencia,
Todos los empleados de la organizacin y, cuando
formacin y
sea pertinente, los contratistas y usuarios de terceros
capacitacin en
deben recibir la capacitacin adecuada y
materia de
actualizaciones regulares en las polticas y
seguridad de la
procedimientos de la organizacin, segn sea
informacin
aplicable para su puesto.
4

Explicacin: Se supone que aqu el trmino relacin laboral cubre todas las siguientes
situaciones diferentes: contratacin de personal (temporal o prolongado), asignacin de categoras
de trabajo, cambio de categoras de trabajo, cesin de contratos y la terminacin de cualquiera de
estos acuerdos.

19

BS ISO/IEC 27001:2005

A.8.2.3

Proceso
disciplinario

Control
Debe haber un proceso disciplinario formal para los
empleados que han cometido una violacin de
seguridad.
A.8.3 Terminacin de relacin laboral o cambio de empleo
Objetivo: Asegurarse de que los empleados, contratistas y usuarios de terceros salgan
de una organizacin o cambien de empleo de manera ordenada.
A.8.3.1
Responsabilidades Control
con respecto a la
Se deben definir y asignar claramente las
terminacin de
responsabilidades de ejecutar la terminacin de la
relacin laboral
relacin laboral o el cambio de empleo.
A.8.3.2
Devolucin de
Control
activos
Todos los empleados, contratistas y usuarios de
terceros deben devolver todos los activos de la
organizacin que se encuentran en su poder al
terminar su relacin laboral, contrato o acuerdo.
A.8.3.3
Eliminacin de
Control
derechos de
Deben eliminarse los derechos de acceso de todos
acceso
los empleados, contratistas y usuarios de terceros a
informacin y recursos de procesamiento de
informacin al terminar su relacin laboral, contrato o
acuerdo, o ajustarse al cambiar de empleo.
A.9 Seguridad fsica y del entorno
A.9.1 reas seguras
Objetivo: Evitar accesos fsicos no autorizados, daos e interferencias contra los locales y
la informacin de la organizacin.
A.9.1.1

A.9.1.2

A.9.1.3

A.9.1.4

A.9.1.5

Permetro de
seguridad fsica

Control

Controles fsicos de
entradas

Control

Seguridad de
oficinas, salas y
recursos

Control

Proteccin contra
amenazas del
entorno externas e
internas

Control

Trabajo en reas
seguras

Control

Deben utilizarse permetros de seguridad (barreras

como muros, puertas de entrada controladas por
tarjeta o puesto de recepcin con personal) para
proteger reas que contienen informacin y recursos
de procesamiento de informacin.
Las reas seguras deben estar protegidas por
controles de entrada adecuados que aseguren el
permiso de acceso slo al personal autorizado.
Se debe disear y aplicar la seguridad fsica para
oficinas, salas y recursos.

Se debe disear y aplicar la proteccin fsica contra

daos debido a incendios, inundaciones, sismos,
explosiones, malestar social y otras formas de
desastres naturales o provocados por el hombre.

20

BS ISO/IEC 27001:2005

Se debe disear y aplicar la proteccin fsica y

directrices para el trabajo en reas seguras.
A.9.1.6

Acceso pblico,
reas de carga y
descarga

Control
Se deben controlar los puntos de acceso como reas
de carga y descarga y otros puntos por donde
personas no autorizadas pueden entrar a los locales
y, si es posible, aislarse de los recursos de
procesamiento de informacin para evitar el acceso
no autorizado.

A.9.2 Seguridad de los equipos

Objetivo: Evitar prdidas, daos, robos o comprometer los activos as como la
interrupcin de las actividades de la organizacin.
A.9.2.1

Instalacin y
proteccin de
equipos

Control
Se deben situar o proteger los equipos de tal manera
que se reduzcan los riesgos de amenazas del entorno
y peligros, as como las oportunidades de accesos no
autorizados.
Control
Se deben proteger los equipos contra cortes de
electricidad y otras interrupciones causadas por fallas
en los servicios de apoyo.
Control
Se debe proteger el cableado de energa y
telecomunicaciones que porten datos o soporten
servicios de informacin, contra interceptacin o
daos.

A.9.2.2

Servicios de apoyo

A.9.2.3

Seguridad del
cableado

A.9.2.4

Mantenimiento de
equipos

Control

Seguridad de
equipos fuera de
los locales

Control

Eliminacin o
reutilizacin segura
de equipos

Control

Retiro de bienes

Control

A.9.2.5

A.9.2.6

A.9.2.7

Se deben mantener los equipos correctamente para

asegurar su continua disponibilidad e integridad.
Se debe aplicar la seguridad a los equipos fuera de
los locales teniendo en cuenta los diferentes riesgos
de trabajar fuera de los locales de la organizacin.
Se deben verificar todos los elementos del equipo
que contengan medios de almacenamiento de datos
para asegurarse de que se haya borrado o
sobrescrito de manera segura todo dato sensible o
software bajo licencia antes de su eliminacin.
No se deben sacar de las instalaciones equipos,
informacin o software sin previa autorizacin.

A.10 Gestin de comunicaciones y operaciones

A.10.1 Procedimientos y responsabilidades de operacin
Objetivo: Asegurar la operacin correcta y segura de los recursos de procesamiento de
informacin.

21

BS ISO/IEC 27001:2005

A.10.1.1

A.10.1.2

A.10.1.3

A.10.1.4

Procedimientos de
operacin
documentados

Control

Gestin de
cambios

Control

Segregacin de
obligaciones

Control

Separacin de
recursos para
desarrollo, prueba
y operacin

Control

Se deben documentar, mantener y poner a

disposicin de todos los usuarios que los necesitan,
los procedimientos de operacin.
Se deben controlar los cambios en los recursos y
sistemas de procesamiento de informacin.
Se deben segregar las obligaciones y reas de
responsabilidad para reducir las oportunidades de
modificacin no autorizada o no deliberada o mal
uso de los activos de la organizacin.
Se deben separar los recursos para desarrollo,
prueba y operacin a fin de reducir los riesgos de
accesos o cambios no autorizados al sistema
operativo.

A.10.2 Gestin de prestacin de servicios de terceros

Objetivo: Implementar y mantener el nivel apropiado de seguridad de la informacin y la
prestacin de servicios de conformidad con los contratos de prestacin de servicios de
terceros.
A.10.2.1

A.10.2.2

Prestacin de
servicios

Monitoreo y
revisin de
servicios de
terceros

Control
Se debe asegurar que el tercero implemente, opere
y mantenga los controles de seguridad, definiciones
del servicio y niveles de prestacin incluidos en el
contrato de prestacin de servicios externos.
Control
Se deben monitorear y revisar regularmente los
servicios, informes y registros proporcionados por el
tercero, y deben realizarse auditorias
peridicamente.

Control
Se deben gestionar los cambios en la prestacin de
servicios, incluyendo el mantenimiento y mejora de
las polticas, procedimientos y controles de
seguridad de la informacin existentes tomando en
cuenta la criticidad de los sistemas y procesos del
negocio implicados y la reevaluacin de riesgos.
A.10.3 Planificacin y aceptacin de sistemas
A.10.2.3

Gestin de
cambios en los
servicios de
terceros

Objetivo: Minimizar el riesgo de fallas de los sistemas.

A.10.3.1
Gestin de la
Control
capacidad
Se debe monitorear y ajustar el uso de recursos y
deben realizarse proyecciones de los futuros
requisitos de capacidad para asegurar el desempeo
requerido del sistema.

22

BS ISO/IEC 27001:2005
A.10.3.2

Aceptacin del
sistema

Control
Se deben establecer los criterios de aceptacin para
nuevos sistemas de informacin y versiones nuevas
y mejoradas y deben realizarse pruebas adecuadas
del sistema(s) durante el desarrollo y antes de la
aceptacin

A.10.4 Proteccin contra cdigo malicioso y mvil

Objetivo: Proteger la integridad del software y la informacin.
Controles contra
Control
A.10.4.1
cdigo malicioso
Se deben implementar controles de deteccin,
prevencin y recuperacin para proteger contra
cdigo malicioso y se deben implementar
procedimientos apropiados para sensibilizar a los
usuarios.
Controles contra
Control
A.10.4.2
cdigo mvil
Cuando se autoriza el uso de cdigo mvil, la
configuracin debe asegurar que el cdigo mvil
autorizado opere de acuerdo con una poltica de
seguridad claramente definida y debe evitarse que
cdigo mvil no autorizado se ejecute.
A.10.5 Copias de seguridad
Objetivo: Mantener la integridad y disponibilidad de la informacin y los recursos de
procesamiento de informacin.
A.10.5.1

Copias de
seguridad de
informacin

Control
Se deben sacar y probar regularmente copias de
seguridad de la informacin y el software de acuerdo
con la poltica de copias de seguridad acordada.

A.10.6 Gestin de la seguridad de redes

Objetivo: Asegurar la proteccin de la informacin en redes y la proteccin de la
infraestructura de apoyo.
A.10.6.1

Controles de redes

Control
Se deben gestionar y controlar adecuadamente las
redes para protegerlas contra amenazas y mantener
la seguridad para los sistemas y aplicaciones que
utilizan la red, incluyendo informacin en trnsito.

A.10.6.2

Seguridad de
servicios de red

Control
Se deben identificar e incluir las caractersticas de
seguridad, niveles de servicio y requisitos de gestin
en cualquier contrato de servicios de redes, ya sea
que estos servicios se proporcionan internamente o
se contraten externamente.

A.10.7 Manipulacin de soportes

Objetivo: Evitar la divulgacin, modificacin, retiro o destruccin no autorizada de activos
y la interrupcin de las actividades del negocio.

23

BS ISO/IEC 27001:2005

A.10.7.1

A.10.7.2

A.10.7.3

A.10.7.4

Gestin de
soportes extrables

Control

Eliminacin de
soportes

Control

Procedimientos
para la
manipulacin de
soportes

Control

Seguridad de la
documentacin de
sistemas

Control

Se deben implementar procedimientos para la

gestin de soportes extrables.
Se deben eliminar de forma segura y sin peligro los
soportes cuando ya no se necesitan, utilizando
procedimientos formales.
Se deben establecer procedimientos para la
manipulacin y almacenamiento de informacin para
protegerla de su mal uso o divulgacin no
autorizada.
Se debe proteger la documentacin de sistemas
contra el acceso no autorizado.

A.10.8 Intercambio de informacin

Objetivo: Mantener la seguridad de la informacin y software intercambiados dentro de
una organizacin y con cualquier entidad externa.
Control
A.10.8.1
Polticas y
Se deben implementar polticas, procedimientos y
procedimientos de
controles de intercambio formales para proteger el
intercambio de
intercambio de informacin mediante el uso de todos
informacin
los tipos de instalaciones de comunicacin.
Control
A.10.8.2
Acuerdos para
Se deben establecer acuerdos para el intercambio
intercambio
de informacin y software entre la organizacin y
partes externas.
Control
A.10.8.3
Soportes fsicos en
Se deben proteger los soportes que contienen
trnsito
informacin, contra accesos no autorizados, mal uso
o corrupcin durante el transporte fuera de los lmites
fsicos de la organizacin.
A.10.8.4

A.10.8.5

Mensajera
electrnica

Control

Sistemas de
informacin del
negocio

Control

Se debe proteger apropiadamente la informacin

implicada en mensajera electrnica.
Se deben desarrollar e implementar polticas y
procedimientos para proteger la informacin
relacionada con la interconexin de sistemas de
informacin del negocio.

A.10.9 Servicios de comercio electrnico

Objetivo: Garantizar la seguridad de servicios de comercio electrnico y su uso seguro.
Control
A.10.9.1
Comercio
Se debe proteger la informacin implicada en
electrnico
comercio electrnico que pasa por redes pblicas,
contra actividades fraudulentas, disputas
contractuales y divulgacin y modificacin no

24

BS ISO/IEC 27001:2005

A.10.9.2

Transacciones en
lnea

A.10.9.3

Informacin
pblicamente
disponible

autorizada.
Control
Se debe proteger la informacin implicada en
transacciones en lnea para evitar transmisiones
incompletas, enrutamiento errneo, alteracin no
autorizada de mensajes, divulgacin no autorizada,
reproduccin o duplicacin no autorizada de
mensajes.
Control
Se debe proteger la integridad de informacin que se
pone a disposicin en un sistema pblicamente
disponible, para evitar la modificacin no autorizada.

A.10.10 Monitoreo
Objetivo: Detectar actividades de procesamiento de informacin no autorizadas.
A.10.10.1

A.10.10.2

A.10.10.3

A.10.10.4

A.10.10.5

Control
Registros de
auditorias

Se deben elaborar y mantener registros de auditoras

que consignan las actividades del usuario,
excepciones y hechos de seguridad de la
informacin por un perodo acordado para ayudar en
las futuras investigaciones y el monitoreo de control
de accesos.

Monitoreo del uso

de sistemas

Control

Proteccin de
informacin de
registros

Control

Diarios de
administradores y
operadores

Control

Registro de fallas

Control

Se deben establecer procedimientos para el

monitoreo del uso de recursos de procesamiento de
informacin y se deben revisar regularmente los
resultados de las actividades de monitoreo.

Se deben proteger las instalaciones de registro y la

informacin de registros contra alteraciones y
accesos no autorizados.
Se deben registrar las actividades de los
administradores y operadores de sistemas.

Se deben registrar y analizar las fallas y se deben

tomar las acciones apropiadas.
A.10.10.6

Sincronizacin de
relojes

Control
Se deben sincronizar los relojes de todos los
sistemas de procesamiento de informacin
pertinentes dentro de una organizacin o dominio de
seguridad con una fuente de tiempo exacta
acordada.

25

BS ISO/IEC 27001:2005

A.11 Control de accesos

A.11.1 Requisitos del negocio para el control de accesos
Objetivo: Controlar el acceso a la informacin.
A.11.1.1

Poltica de control
de accesos

Control
Se debe establecer, documentar y revisar una
poltica de control de accesos en base a los
requisitos del negocio y de seguridad para el acceso.

A.11.2 Gestin de acceso de usuarios

Objetivo: Asegurar el acceso autorizado de usuarios y evitar el acceso no autorizado a la
informacin.
A.11.2.1

A.11.2.2

A.11.2.3

A.11.2.4

Registro de
usuarios

Control

Gestin de
privilegios

Control

Gestin de
contraseas de
usuarios

Control

Revisin de los
derechos de
acceso de usuarios

Control

Debe haber un procedimiento formal de registro de

altas y bajas de usuarios para dar y revocar el
acceso a todos los sistemas y servicios de
informacin.
Se debe restringir y controlar la asignacin y uso de
privilegios.
Se debe controlar la asignacin de contraseas a
travs de un proceso de gestin formal.

La direccin debe revisar a intervalos regulares los

derechos de acceso de los usuarios utilizando un
proceso formal.

A.11.3 Responsabilidades de los usuarios

Objetivo: Evitar el acceso de usuarios no autorizados y comprometer la informacin y los
recursos de procesamiento de informacin o su robo.
A.11.3.1

A.11.3.2

A.11.3.3

Uso de
contraseas

Control

Equipos de usuario
desatendidos

Control

Poltica de puesto
de trabajo
despejado y
bloqueo de pantalla

Control

Se requiere que los usuarios sigan buenas prcticas

de seguridad para la seleccin y uso de contraseas.
Los usuarios deben asegurarse de que los equipos
desatendidos estn protegidos apropiadamente.
Se debe adoptar una poltica de puesto de trabajo
despejado de papeles y medios de almacenamiento
removibles y una poltica de bloqueo de pantalla para
los recursos de procesamiento de informacin,

A.11.4 Control de acceso a redes

26

BS ISO/IEC 27001:2005

Objetivo: Evitar el acceso no autorizado a servicios en red.

A.11.4.1

A.11.4.2

A.11.4.3

A.11.4.4

Poltica de uso de
servicios de red

Control

Autenticacin de
usuarios para
conexiones
externas

Control

Identificacin de
equipos en redes

Control

Proteccin de
puertos de
configuracin y
diagnstico remoto

Control

A.11.4.5

Segregacin en las
redes

A.11.4.6

Control de
conexin a redes

A.11.4.7

Control de
enrutamiento en la
red

Los usuarios slo deben tener acceso a los servicios

para los que han sido autorizados de forma
especfica.
Deben utilizarse mtodos de autenticacin
apropiados para controlar el acceso de usuarios
remotos.
Debe considerarse la identificacin automtica de
equipos como medio para autenticar las conexiones
desde lugares y equipos especficos.
Se debe controlar el acceso fsico y lgico a los
puertos de diagnstico y configuracin.
Control
Se deben segregar grupos de servicios de
informacin, usuarios y sistemas de informacin en
las redes.
Control
En el caso de redes compartidas, especialmente las
que atraviesan los lmites de la organizacin, debe
restringirse la capacidad de los usuarios para
conectarse a la red, de acuerdo con la poltica de
control de accesos y los requisitos de las
aplicaciones del negocio (vase 11.1).
Control
Se deben implementar controles de enrutamiento
para redes que garanticen que las conexiones entre
computadoras y los flujos de informacin no
incumplan la poltica de control de acceso de las
aplicaciones del negocio.

A.11.5 Control de acceso al sistema operativo

Objetivo: Evitar el acceso no autorizado a sistemas operativos.
A.11.5.1

Procedimientos de
conexin seguros

Control
Se debe controlar el acceso a los sistemas
operativos mediante un procedimiento de conexin
seguro.

A.11.5.2

Identificacin y
autenticacin de
usuarios

Control
Todos los usuarios deben tener un identificador nico
(user ID) slo para su uso personal y se debe
seleccionar una tcnica de autenticacin adecuada
para confirmar la identidad alegada de un usuario.

A.11.5.3

Sistema de gestin

Control

27

BS ISO/IEC 27001:2005

A.11.5.4

A.11.5.5

A.11.5.6

de contraseas

Los sistemas para gestionar contraseas deben ser

interactivos y deben asegurar contraseas de
calidad.

Uso de utilitarios
del sistema

Control

Desconexin
automtica de
sesiones

Control

Limitacin del
tiempo de conexin

Control

Se debe restringir y controlar estrictamente el uso de

programas utilitarios que podran ser capaces de
eludir los controles del sistema y de las aplicaciones.
Las sesiones inactivas deben cerrarse despus de
un perodo de inactividad.

Deben utilizarse restricciones en los tiempos de

conexin para ofrecer seguridad adicional para
aplicaciones de alto riesgo.

A.11.6 Control de acceso a las aplicaciones y la informacin

Objetivo: Evitar el acceso no autorizado a la informacin contenida en los sistemas de
aplicaciones
A.11.6.1

A.11.6.2

Restriccin del
acceso a la
informacin

Control

Aislamiento de
sistemas sensibles

Control

Se debe restringir el acceso de los usuarios y

personal de apoyo a la informacin y las funciones
del sistema de aplicaciones de acuerdo con la
poltica de control de accesos definida.

Los sistemas sensibles deben tener entornos

informticos dedicados (aislados).

A.11.7 Informtica mvil y teletrabajo

Objetivo: Garantizar la seguridad de la informacin cuando se usan dispositivos de
informtica mvil y teletrabajo.
A.11.7.1

A.11.7.2

Informtica mvil y
comunicaciones

Control

Teletrabajo

Control

Se debe implementar una poltica formal y se deben

adoptar medidas de seguridad apropiadas para
proteger contra los riesgos de utilizar dispositivos de
informtica mvil y comunicacin.
Se debe desarrollar e implementar una poltica,
planes y procedimientos operativos para actividades
de teletrabajo.

A.12 Adquisicin, desarrollo y mantenimiento de sistemas de informacin

A.12.1 Requisitos de seguridad de sistemas de informacin
Objetivo: Garantizar que la seguridad sea parte integrante de los sistemas de

28

BS ISO/IEC 27001:2005

informacin.
A.12.1.1

Anlisis y
especificacin de
los requisitos de
seguridad

Control
Las declaraciones de requisitos del negocio para
nuevos sistemas de informacin o mejoras a los
sistemas de informacin existentes deben especificar
los requisitos para controles de seguridad.

A.12.2 Procesamiento correcto en aplicaciones

Objetivo: Evitar errores, prdidas, modificaciones no autorizadas o mal uso de
informacin en las aplicaciones.
A.12.2.1

A.12.2.2

A.12.2.3

A.12.2.4

Validacin de los
datos de entrada

Control

Control de
procesamiento
interno

Control

Integridad de
mensajes

Control

Validacin de los
datos de salida

Control

Se debe validar la entrada de datos a las

aplicaciones para asegurar que estos datos sean
correctos y apropiados.
Deben incorporarse verificaciones de validacin en
las aplicaciones para detectar cualquier corrupcin
de informacin por errores de procesamiento o actos
deliberados.
Se deben identificar los requisitos para asegurar la
autenticidad y proteger la integridad de mensajes en
las aplicaciones y se deben identificar e implementar
los controles apropiados.
Se debe validar la salida de datos de una aplicacin
para garantizar que el procesamiento de la
informacin almacenada sea correcto y apropiado
para las circunstancias.

A.12.3 Controles criptogrficos

Objetivo: Proteger la confidencialidad, autenticidad o integridad de los medios
criptogrficos.
A.12.3.1

A.12.3.2

Poltica de uso de
controles
criptogrficos

Control

Gestin de claves

Control

Se debe desarrollar e implementar una poltica del

uso de controles criptogrficos para la proteccin de
informacin.
Se debe implementar la gestin de claves para
apoyar el uso de tcnicas criptogrficas por la
organizacin.

A.12.4 Seguridad de archivos del sistema

Objetivo: Garantizar la seguridad de los archivos del sistema.
A.12.4.1

Control de software

Control

29

BS ISO/IEC 27001:2005

A.12.4.2

A.12.4.3

operativo

Debe haber procedimientos para controlar la

instalacin de software en sistemas operativos.

Proteccin de los
datos de prueba
del sistema

Control

Control de acceso
a cdigo fuente de
programas

Control

Se deben seleccionar cuidadosamente, y proteger y

controlar los datos de prueba.
Se debe restringir el acceso al cdigo fuente de
programas.

A.12.5 Seguridad en los procesos de desarrollo y soporte

Objetivo: Mantener la seguridad del software y la informacin del sistema de
aplicaciones.
A.12.5.1

A.12.5.2

A.12.5.3

A.12.5.4

A.12.5.5

Procedimientos de
control de cambios

Control

Revisin tcnica de
aplicaciones
despus de
cambios en el
sistema operativo

Control

Restricciones en
los cambios a los
paquetes de
software

Control

Fuga de
informacin

Control

Desarrollo
externalizado de
software

Control

Se debe controlar la implementacin de cambios

mediante el uso de procedimientos formales de
control de cambios.
Cuando se efectan cambios en los sistemas
operativos, se deben revisar y probar las
aplicaciones crticas del negocio para asegurar que
no impacten adversamente en las operaciones de la
organizacin o la seguridad.
Se deben desaconsejar las modificaciones a los
paquetes de software y deben limitarse a los cambios
necesarios y se deben controlar estrictamente todos
los cambios.
Deben evitarse las oportunidades de fuga de
informacin.
La organizacin debe supervisar y monitorear el
desarrollo externalizado de software.

A.12.6 Gestin de Vulnerabilidad Tcnica

Objetivo: Reducir los riesgos que resultan de la explotacin de vulnerabilidades tcnicas
publicadas.
A.12.6.1

Control de
vulnerabilidades
tcnicas

Control
Debe obtenerse informacin oportuna sobre las
vulnerabilidades tcnicas de los sistemas de
informacin utilizados, se debe evaluar la exposicin
de la organizacin a dichas vulnerabilidades y tomar
las medidas apropiadas para abordar el riesgo

30

BS ISO/IEC 27001:2005

relacionado.
A.13 Gestin de incidentes de seguridad de la informacin
A.13.1 Comunicacin de hechos y debilidades de seguridad de la informacin
Objetivo: Garantizar que los hechos y debilidades de seguridad de la informacin
relacionados con sistemas de informacin sean comunicados de una manera que permita
tomar oportunamente las acciones correctivas.
A.13.1.1

A.13.1.2

Comunicacin de
hechos de
seguridad de la
informacin

Control

Comunicacin de
las debilidades de
seguridad

Control

Se deben informar los hechos de seguridad de la

informacin a travs de los canales de gestin
adecuados lo ms rpido posible.

Se debe requerir que todos los empleados,

contratistas y usuarios de terceros de los sistemas y
servicios de informacin detecten e informen
cualquier debilidad de seguridad observada o
sospechosa en los sistemas o servicios.
A.13.2 Gestin de incidentes de seguridad de la informacin y mejoras
Objetivo: Asegurarse de que se aplique un enfoque coherente y eficaz a la gestin de
incidentes de seguridad de la informacin.
Responsabilidades Control
A.13.2.1
y procedimientos
Se deben establecer responsabilidades y
procedimientos de gestin para garantizar una
respuesta rpida, eficaz y ordenada a los incidentes
de seguridad de la informacin.
A.13.2.2

A.13.2.3

Aprendiendo de los
incidentes de
seguridad de la
informacin

Control
Se debe implementar mecanismos que permitan
cuantificar y monitorear los tipos, volmenes y costos
de los incidentes de seguridad de la informacin.

Recopilacin de
evidencias

Control
Cuando una accin de seguimiento contra una
persona u organizacin despus de un incidente de
seguridad de la informacin implica una accin legal
(civil o penal), se deben recopilar, conservar y
presentar evidencias para cumplir con las normas
para evidencia establecidas en la jurisdiccin(es)
pertinente.
A.14 Gestin de la continuidad del negocio
A.14.1 Aspectos de seguridad de la informacin de la gestin de la continuidad del
negocio
Objetivo: Reaccionar a las interrupciones de actividades del negocio y proteger sus
procesos crticos frente a los efectos de fallas importantes de los sistemas de informacin
o desastres y asegurar su reanudacin oportuna.
A.14.1.1
Inclusin de la
Control
seguridad de la
Se debe desarrollar y mantener un proceso
informacin en el
gestionado para la continuidad del negocio en toda la

31

BS ISO/IEC 27001:2005

A.14.1.2

A.14.1.3

A.14.1.4

A.14.1.5

proceso de gestin
de continuidad del
negocio
Continuidad del
negocio y
evaluacin de
riesgos
Desarrollo e
implementacin de
planes de
continuidad,
incluyendo la
seguridad de la
informacin
Marco de
planificacin para
la continuidad del
negocio

Prueba,
mantenimiento y
reevaluacin de los
planes de
continuidad del
negocio

organizacin que aborde los requisitos de seguridad

de la informacin necesarios para la continuidad del
negocio de la organizacin.
Control
Se deben identificar los hechos que pueden causar
interrupciones en los procesos del negocio, junto con
la probabilidad y el impacto de dichas interrupciones
y sus consecuencias para la seguridad de la
informacin.
Control
Se deben desarrollar e implementar planes para
mantener o restaurar operaciones y asegurar la
disponibilidad de informacin en el nivel requerido y
en las escalas de tiempo requeridas despus de una
interrupcin en los procesos crticos del negocio o
una falla de stos.
Control
Debe mantenerse un nico marco de planes de
continuidad del negocio para asegurar que todos los
planes sean coherentes, abordar sistemticamente
los requisitos de seguridad de la informacin e
identificar las prioridades de prueba y
mantenimiento.
Control
Se deben probar y actualizar regularmente los planes
de continuidad del negocio para asegurar que estn
actualizados y sean eficaces.

A.15 Cumplimiento
A.15.1 Cumplimiento de los requisitos legales
Objetivo: Evitar los incumplimientos de cualquier ley, requisito reglamentario, regulacin u
obligacin contractual y cualquier requisito de seguridad.
A.15.1.1

A.15.1.2

A.15.1.3

Identificacin de la
legislacin
aplicable

Control

Derechos de
propiedad
intelectual (IPR)

Control

Proteccin de los
registros de la
organizacin

Control

Se deben definir explcitamente, documentar y

mantener actualizados todos los requisitos legales,
reglamentarios y contractuales pertinentes y el
enfoque de la organizacin para cumplir estos
requisitos para cada sistema de informacin y la
organizacin.
Se deben implementar procedimientos apropiados
para asegurar el cumplimiento de los requisitos
legales, reglamentarios y contractuales sobre el uso
de material con respecto al cual pueden existir
derechos de propiedad intelectual, y sobre el uso de
productos de software privado.
Se deben proteger los registros importantes contra

32

BS ISO/IEC 27001:2005

su prdida, destruccin y falsificacin, de acuerdo

con los requisitos legales, reglamentarios,
contractuales y del negocio.
A.15.1.4

A.15.1.5

A.15.1.6

Proteccin de
datos y privacidad
de informacin
personal

Control

Prevencin del mal

uso de recursos de
procesamiento de
informacin

Control

Reglamentacin de
controles
criptogrficos

Control

Se deben asegurar la proteccin de datos y la

privacidad segn se exija en la legislacin y
regulaciones pertinentes y, si es aplicable, las
clusulas contractuales.
Se debe disuadir a los usuarios de utilizar los
recursos de procesamiento de informacin para fines
no autorizados.

Deben utilizarse controles criptogrficos de

conformidad con todos los acuerdos, leyes y
regulaciones pertinentes.

A.15.2 Conformidad con las polticas y normas de seguridad y conformidad tcnica

Objetivo: Garantizar la conformidad de los sistemas con las polticas y normas de
seguridad de la organizacin.
A.15.2.1

Conformidad con
polticas y normas
de seguridad

A.15.2.2

Verificacin de
conformidad
tcnica

Control
Los gerentes deben garantizar que se realicen
correctamente todos los procedimientos de seguridad
dentro de su rea de responsabilidad para lograr la
conformidad con las polticas y normas de seguridad.
Control
Se debe verificar regularmente la conformidad de los
sistemas de informacin con las normas de
implementacin de la seguridad.

A.15.3 Consideraciones sobre la auditora de sistemas de informacin

Objetivo: Maximizar la eficacia y minimizar la interferencia en el proceso de auditora de
sistemas de informacin.
A.15.3.1

A.15.3.2

Controles de
auditora de
sistemas de
informacin

Control

Proteccin de
herramientas de
auditora de
sistemas de

Control

Se deben planificar cuidadosamente y acordar los

requisitos y actividades de auditora que implican
verificaciones en los sistemas operativos para
minimizar el riesgo de interrupcin de los procesos
del negocio.

Se debe proteger el acceso a herramientas de

auditora de sistemas de informacin para evitar

33

BS ISO/IEC 27001:2005

informacin

cualquier posible mal uso o compromiso.

34