Upload
anderson-rodriguez-trivino
View
311
Download
2
Embed Size (px)
Citation preview
NORMA TÉCNICACOLOMBIANA
NTC-ISO/IEC27001
2006-03-22
)
TECNOLOGfA ~E LA INFORMACiÓN.
TÉCNICAS DE SEGURIDAD. SISTEMASGESTiÓN /DE LA SEGURIDAD DEINFORMACIÓN (SGSI). REQUISITOS
DELA
E: INFORMATION TECHNOLOGY. SECURITY TECHNIQUES.INFORMATION SECURITY MANAGEMENT SYSTEMS.REQUIREMENTS
ICONTECCORRESPONDENCIA:
DESCRI PTORES:
I.C.S.: 35.040.00
esta norma es una adopción idéntica(IDT) por traducción, respecto a sudocumento de referencia, la normaISO/lEC 27001.
sistemas de gestión - seguridad de lainformación; seguridad de lainformación - requisitos.
Editada por el Instituto Colombiano de Normas Técnicas y Certificación (ICON.TEC)Apartado 14237 Bogotá, D.C. Te!. 6078888 Fax 2221435
Prohibida su reproducción Editada 2006-04-03
NORMA TÉCNICACOLOMBIANA
NTC-ISO/IEC27001
2006-03-22
TECNOLOGfA DE LA INFORMACION.T~CNICAS DE SEGURIDAD. SISTEMAS DEGESTION DE LA SEGURIDAD' DE LAINFORMACION (SGSI). REQUISITOS
E: INFORMATION TECHNOLOGY. SECURITY TECHNIQUES.INFORMATION SECURITY MANAGEMENT SYSTEMS.REQUIREMENTS
CORRESPONDENCIA:
DESCRIPTORES:
LC.S.: 35.040.00
esta norma es una adopción idéntica(IDT) por traducción, respecto a sudocumento de referencia, la normaISO/lEC 27001.
sistemas de gestión - seguridad de lainformación; seguridad de lainformación - requisitos.
Editada por el Instituto Colombiano de Normas Técnicas y Certificación (ICONTEC)Apartado 14237 Bogotá, D.C. Te!. 6078888 Fax 2221435
Prohibida su reproducción Editada 2006-04-03
El Instituto Colombiano de Normas Técnicas y Certificación. ICONTEC, es el organismonacional de normalización, según el Decreto 2269 de 1993.
ICONTEC es una entidad de carácter privado. sin ánimo de lucro. cuya Misión es fundamentalpara brindar soporte y desarrollo al productor y protección al consumidor. Colabora con elsector gubernamental y apoya al sector privado del pafs. para lograr ventajas competitivas enlos mercados interno y externo.
La representación de todos los sectores involucrados en el proceso de Normalización Técnicaestá garantizada por los Comités Técnicos y el perrodo de Consulta Pública. este últimocaracterizado por la participación del público en general.
La NTC-ISO/IEC 27001 fue ratificada por el Consejo Directivo del 2006-03-22.
Esta norma está sujeta a ser actualizada permanentemente con el objeto de que responda entodo momento a las necesidades y exigencias actuales.
A continuación se relacionan las empresas que colaboraron en el estudio de esta norma através de su participación en el Comité Técnico 181 Técnicas de seguridad de la información.
AV VILLASASOCIACION BANCARIA DE COLOMBIABANCO CAJA SOCIAL! COLMENA BCSCBANCO GRANAHORRARBANCO DE LA REPÚBLICABANISTMOCOLSUBSIDIOD.S. SISTEMAS LTOA.ETB S.A. ESP
FLUIDSIGNAL GROUP S.A.IQ CONSULTORES10 OUTSOURCING S.A.MEGABANCONEW NET S.A.SOCIEDAD COLOMBIANA DE ARCHIVfSTASUNIVERSIDAD NACIONAL DE COLOMBIA
Además de las anteriores, en Consulta Pública el Proyecto se puso a consideración de lassiguientes empresas:
ABN AMRO BANKAGENDA DE CONECTIVIDADAGP COLOMBIAALPINA S.A.ASESORfAS EN SISTEMA TIZACION DEDATOS S.A.ASOCIACION LATINOAMERICANA DEPROFESIONALES DE SEGURIDADINFORMATICA COLOMBIAATHBANCAF~BANCO AGRARIO DE COLOMBIABANCO COLPATRIA RED MULTIBANCACOLPATRIA
BANCO DAVIVIENDABANCO DE BOGOT ABANCO DE COLOMBIABANCO DE CR~DITOBANCO DE CR~DITO HELM FINANCIALSERVICESBANCO DE OCCIDENTEBANCO MERCANTIL DE COLOMBIABANCO POPULARBANCO SANTANDER COLOMBIABANCO STANDARD CHARTERED COLOMBIABANCO SUDAMERIS COLOMBIABANCO SUPERIORBANCO TEQUENDAMA
BANCO UNION COLOMBIANOBANK BOSTONBANK OF AMERICA COLOMBIABBVA BANCO GANADEROBFR S.A.CENTRO DE APOYO A LA TECNOLOGIAINFORMATICA -CATI-CITIBANKCOINFIN LTDA.COLGRABAR LTDA.COMPAÑIA AGRfCOLA DE SEGUROS DEVIDACONSTRUYECOOPCORPORACION FINANCIERA COLOMBIANACORPORACION FINANCIERA CORFINSURACORPORACION FINANCIERA DEL VALLECREDIBANCO VISACYBERIA S.A.ESCUELA DE ADMINISTRACION DENEGOCIOS -EAN-FEDERACION COLOMBIANA DE LAINDUSTRIA DEL SOFTWARE - FEDESOFT-
DEFENSORIA DEL CLIENTE FINANCIEROFINAM~RICA S. A.FUNDACION SOCIALINCOCR~DITOINDUSTRIAS ALIADAS S.A.INTERBANCOMINISTERIO DE COMERCIO, INDUSTRIA YTURISMOMINISTERIO DE DEFENSAN.C.R.NEXOS SOFTWARE LTDA.REDEBAN MULTICOLORSECRETARIA DE HACIENDA DISTRITALSERVIBANCASUPERINTENDENCIA DE INDUSTRIA YCOMERCIOTMC & CIAUNIDADDE SERVICIOSTECNOLOGICOSLTDA.UNIVERSIDAD DE LOS ANDESUNIVERSIDAD JAVERIANAWORLDCAD LTDA.
I~NTEC cuenta con un Centro de Información que pone a disposición de los interesadosnormas internacionales, regionales y nacionales y otros documentos relacionados.
DIRECCiÓN DE NORMALIZACiÓN
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 27001
"- \CONTENIDO
Página
O. INTRODUCCiÓN 1
0.1 GENERALIDADES I
0.2 ENFOQUE BASADO EN PROCESOS 1
0.3 COMPATIBILIDAD CON OTROS SISTEMAS DE GESTION 111
1. OBJETO 1
1.1 GENERALIDADES 1
1.2 APLiCACiÓN 1
2. REFERENCIA NORMATIVA 2
3. TÉRMINOS Y DEFINICIONES 2"--
4. SISTEMA DE GESTiÓN DE LA SEGURIDAD DE LA INFORMACION 4
4.1 REQUISITOS GENERALES 4
4.2 ESTABLECIMIENTO y GESTION DEL SGSI 4
4.3 REQUISITOS DE DOCUMENTACiÓN 9
5. RESPONSABILIDAD DE LA DIRECCION 10
5.1 COMPROMISO DE LA DIRECCION 10
5.2 GESTION DE RECURSOS 11
6. AUDITORfAS INTERNAS DEL SGSI 12
NORMATÉCNICA COLOMBIANA NTC-ISO/IEC 27001
Página
7. REVISiÓN DEL SGSI POR LA DIRECCiÓN 12
7.1 GENERALIDADES 12
7.2 INFORMACiÓN PARA LA REVISiÓN 12
7.3 RESULTADOS DE LA REVISiÓN 13
8. MEJORA DEL SGSI 13
8.1 MEJORA CONTINUA 13
8.2 ACCiÓN CORRECTIVA 14
8.3 ACCiÓN PREVENTIVA 14
ANEXO A
OBJETIVOS DE CONTROL V CONTROLES 15
ANEXO B
PRINCIPIOS DE LA OCDE V DE ESTA NORMA 33
ANEXO C
CORRESPONDENCIA ENTRE LA NTC-ISO 9001:2000, LA NTC-ISO 14001:2004,V LA PRESENTE NORMA 34
NORMA TÉCNICA COLOMBIANA
o. INTRODUCCIÚN
0.1 GENERALIDADES
NTC-ISO/IEC 27001
Esta norma ha sido elaborada para brindar un modelo para el establecimiento, implementación,operación, seguimiento, revisión, mantenimiento y mejora de un sistema de gestión de laseguridad de la información (SGSI). La adopción de un SGSI deberla ser una decisiónestratégica para una organización. El diseño e implementación del SGSI de una organizaciónestán influenciados por las necesidades y objetivos, los requisitos de seguridad, los procesosempleados y el tamaño y estructura de la organización. Se espera que estos aspectos y sussistemas de apoyo cambien con el tiempo. Se espera que la implementación de un SGSI seajuste de acuerdo con las necesidades de la organización, por ejemplo, una situación simplerequiere una solución de SGSI simple.
Esta norma se puede usar para evaluar la conformidad, por las partes interesadas, tantointernas como externas.
0.2 ENFOQUE BASADO EN PROCESOS
Esta norma promueve la adopción de un enfoque basado en procesos, para establecer,implementar, operar, hacer seguimiento, mantener y mejorar el SGSI de una organización.
Para funcionar eficazmente, una organización debe identificar y gestionar muchas actividades.Se puede considerar como un proceso cualquier actividad que use recursos y cuya gestiónpermita la transformación de entradas en salidas. Con frecuencia, el resultado de un procesoconstituye directamente la entrada del proceso siguiente.
La aplicación de un sistema de procesos dentro de una organización, junto c~n la identificacióne interacciones entre estos procesos, y su gestión, se puede denominar como un "enfoquebasado en procesos".
El enfoque basado en procesos para la gestión de la seguridad de la información, presentadoen esta norma, estimula a sus usuarios a hacer énfasis en la importancia de:
a) comprender los requisitos de seguridad de la información del negocio, y lanecesidad de establecer la polftica y objetivos en relación con la seguridad de lainformación;
b) implementar y operar controles para manejar los riesgos de seguridad de lainformación de una organización en el contexto de los riesgos globales delnegocio de la organización;
c) el seguimiento y revisión del desempeño y eficacia del SGSI. y
d) la mejora continua basada en la medición de objetivos.
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 27001
Esta norma adopta el modelo de procesos "Planificar-Hacer-Verificar-Actuar" (PHV A), que seaplica para estructurar todos los procesos del SGSI. La Figura 1 ilustra cómo el SGSI tomacomo elementos de entrada los requisitos de seguridad de la información y las expectativas delas partes interesadas, y a través de las acciones y procesos necesarios produce resultados deseguridad de la información que cumplen estos requisitos y expectativas. La Figura 1 tambiénilustra los vfnculos en los procesos especificados en los numerales 4, 5, 6, 7 Y 8.
La adopción del modelo PHVA también reflejará los principios establecidos en las DirectricesOCDE (2002)' que controlan la seguridad de sistemas y redes de información. Esta normabrinda un modelo robusto para implementar los principios en aquellas directrices que controlanla evaluación de riesgos, diseño e implementación de la seguridad, gestión y reevaluación de laseguridad.
EJEMPLO 1 Un requisito podrfa ser que las violaciones a la seguridad de la información no causen dañofinanciero severo a una organización, ni sean motivo de preocupación para ésta.
EJEMPLO 2 Una expectativa podrfa ser que si ocurre un incidente serio, como por ejemplo el Hacking del sitioweb de una organización, haya personas con capacitación suficiente en los procedimientos apropiados, paraminimizar el impacto.
----------
I
- -- PartesPartesI
~~ -~~
Planificar--~ -interesadasinteresadas " ," ," ,/ ,/ Establecer
lJ,/
j?"I "I el SGSI,I ,I ,I \I \I \I \I Implementar Mantener y\I I
: Actuary operar mejorarActuar I
II el SGSI el SGSII\ I\
¿)I
, ~
I\ I" Hacer
II, I'" seguimiento y
I/
Requ',;'o, y p", 'ev'~, el SGSI/D Seguridad de
expectativas de " ~""" la informaciónseguridad de '- __ Verificar
~~~~ gestionadala información - - - ________
~
Figura 1. Modelo PHV A aplicado a los procesos de SGSI
Directrices OCDE para la seguridad de sistemas y redes de información. Hacia una cultura de la seguridad.Parls: OCDE, Julio de 2002. www.oecd.org.
11
NORMA TÉCNICA COLOMBIANA
Planificar (establecer el SGSI)
Hacer (implementar y operar el SGSI)
Verificar (hacer seguimiento y revisar el SGSI)
Actuar (mantener y mejorar el SGSI)
NTC-ISO/lEC 27001
Establecer la polltica, los objetivos, procesos yprocedimientos de seguridad pertinentes para gestionarel riesgo y mejorar la seguridad de la información, con elfin de entregar resultados acordes con las pollticas yObjetivos qlobales de una orqanización.Implementar y operar la polftica, los controles, procesos yprocedimientos del SGSI.Evaluar, y, en donde sea aplicable, medir el desempeñodel proceso contra la polftica y los objetivos de seguridady la experiencia práctica, y reportar los resultados a ladirección, para su revisión.Emprender acciones correctivas y preventivas con baseen los resultados de la auditorfa interna del SGSI y larevisión por la dirección, para lograr la mejora continuadel SGSI.
0.3 COMPATIBILIDAD CON OTROS SISTEMAS DE GESTiÓN
Esta norma está alineada con la NTC-ISO 9001 :2000 y la NTC-ISO 14001 :2004, con el fin deapoyar la implementación y operación, consistentes e integradas con sistemas de gestiónrelacionados. Un sistema de gestión diseñado adecuadamente puede entonces satisfacer losrequisitos de todas estas normas. La Tabla C.1 ilustra la relación entre los numerales de estanorma, la norma NTC-ISO 9001 :2000 y la NTC-ISO 14001 :2004.
Esta norma está diseñada para permitir que una organización alinee o integre su SGSI con losrequisitos de los sistemas de gestión relacionados.
111
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 27001
TECNOLOGfA DE LA INFORMACiÓN.T~CNICAS DE SEGURIDAD. SISTEMAS DE GESTiÓN DE LASEGURIDAD DE LA INFORMACiÓN (SGSI). REQUISITOS
IMPORTANTE esta publicación no pretende incluir todas las disposiciones necesarias de un contrato. Losusuarios son responsables de su correcta aplicación. El cumplimiento con una norma en' sI misma no confiereexenciónde las obligaciones legales.
1. OBJETO
1.1 GENERALIDADES
Esta norma cubre todo tipo de organizaciones (por ejemplo: empresas comerciales. agenciasgubernamentales. organizaciones si ánimo de lucro). Esta norma especifica los requisitos paraestablecer, implementar. operar, hacer seguimiento, revisar, mantener y mejorar un SGSIdocumentado dentro del contexto de los riesgos globales del negocio de la organización.Especifica los requisitos para la implementación de controles de seguridad adaptados a lasnecesidades de las organizaciones individuales o a partes de ellas.
El SGSI está diseñado para asegurar controles de seguridad suficientes y proporcionales queprotejan los activos de información y brinden confianza a las partes interesadas.
NOTA1 Las referencias que se hacen en esta norma a "negocio" se deberlan interpretar ampliamente comoaquellas actividades que son esenciales para la existencia de la organización.
NOTA2 La NTC-ISO/IEC 17799 brinda orientación. sobre la implementación. que se puede usar cuando sediseñancontroles.
~ APLICACiÓN
Los requisitos establecidos en esta norma son genéricos y están previstos para ser aplicables a todaslas organizaciones, independientemente de su tipo. tamaño y naturaleza. No es aceptable laexclusión de cualquiera de los requisitos especificados en los numerales 4, 5, 6, 7 Y 8 cuando unaorganización declara conformidad con la presente norma.
Cualquier exclusión de controles, considerada necesaria para satisfacer los criterios deaceptación de riesgos, necesita justificarse y debe suministrarse evidencia de que los riesgosasociados han sido aceptados apropiadamente por las personas responsables. En donde seexcluya cualquier control, las declaraciones de conformidad con esta norma no son aceptablesa menos que dichas exclusiones no afecten la capacidad de la organización y/o laresponsabilidad para ofrecer seguridad de la información que satisfaga los requisitos deseguridad determinados por la valoración de riesgos y los requisitos reglamentarios aplicables.
NOTA Si una organización ya tiene en funcionamiento un sistema de gestión de los procesos de su negocio (porejemplo:en relación con la NTC-ISO 9001 o NTC-ISO 14001l. en la mayorla de los casos es preferible satisfacer losrequisitosde la presente norma dentro de este sistema de gestión existente.
1
NORMA TÉCNICA COLOMBIANA
2. REFERENCIA NORMATIVA
NTC-ISO/IEC 27001
El siguiente documento referenciado es indispensable para la aplicación de esta norma. Parareferencias fechadas, sólo se aplica la edición citada. Para referencias no fechadas, se aplicala última edición del documento referenciado (incluida cualquier corrección).
NTC-ISO/IEC 17799:2006, Tecnologra de la información. Técnicas de seguridad. Código de prácticapara la gestión de la seguridad de la información.
3. TÉRMINOS V DEFINICIONES
Para los propósitos de esta norma, se aplican los siguientes términos y definiciones:
3.../;{eptación del riesgo¡decisión de asumir un riesgo.
[Gura ISO/lEC 73:2002]
3.2.activo
cualquier cosa que tiene valor para la organización.
[NTC 5411-1 :2006]
3.3análisis de riesgo
uso sistemático de la información para identificar las fuentes y estimar el riesgo.
[Gura ISO/lEC 73:2002]
3.4
cQnfidencialidad
propiedad que determina que la información no esté disponible ni sea revelada a individuos,
~ntidades o procesos no autorizados.[~ 5411-1 :2006]
3.5
declaración de aplicabilidad
documento que describe los objetivos de control y los controles pertinentes y aplicables para elSGSI de la organización.
NOTA Los objetivos de control y los controles se basan en los resultados y conclusiones de los procesos devaloración y tratamiento de riesgos, requisitos legales o reglamentarios, obligaciones contractuales y los requisitosdel negocio de la organización en cuanto a la seguridad de la información.
3.6
disponibilidad
propiedad de que la información sea accesible y utilizable por solicitud de una entidadautorizada.
[NTC 5411-1 :2006J
2
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 27001
3.7
evaluación del riesgoproceso de comparar el riesgo estimado contra criterios de riesgo dados, para determinar laimportancia del riesgo.
[Gura ISO/lEC 73:2002]
3.8
evento de seguridad de la informaciónpresencia identificada de una condición de un sistema, servicio o red, que indica una posibleviolación de la polrtica de seguridad de la información o la falla de las salvaguardas, o unasituación desconocida previamente que puede ser pertinente a la seguridad.
[I¡IEC TR 18044:2004]3.9
gestión del riesgo
actividades coordinadas para dirigir y controlar una organización en relación con el riesgo.
[Gura ISO/lEC 73:2002]
3.10
incidente de seguridad de la información
un evento o serie de eventos de seguridad de la información no deseados o inesperados, quetienen una probabilidad significativa de comprometer las operaciones del negocio y amenazarla seguridad de la información.
[ISO/lEC TR 18044:2004]
3.11
integridad
propiedad de salvaguardar la exactitud y estado completo de los activos.
[NTC 5411-1 :2006]
t·12iesgo residual
ni el restante de riesgo después del tratamiento del riesgo.
[Gura ISO/lEC 73:2002]
3.13
seguridad de la información
preservación de la confidencialidad, la integridad y la disponibilidad de la información; además,puede involucrar otras propiedades tales como: autenticidad, trazabilidad (Accountability) , norepudio y fiabilidad.
[NTC-ISOIIEC 17799:2006]
3.14
sistema de gestión de la seguridad de la informaciónSGSI
parte del sistema de gestión global, basada en un enfoque hacia los riesgos globales de unnegocio, cuyo fin es establecer, implementar, operar, hacer seguimiento, revisar, mantener ymejorar la seguridad de la información.
3
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 27001
NOTA El sistema de gestión incluye la estructura organizacional, polfticas, actividades de planificación,responsabilidades,prácticas, procedimientos, procesos y recursos.
3.15
tratamiento del riesgoproceso de selección e implementación de medidas para modificar el riesgo.
[Gufa ISOIIEC 73:2002]
NOTA En la presente norma el término "control" se usa como sinónimo de "medida".
3.16
val0y-ción del riesgo
p¡ceso global de análisis y evaluación del riesgo.
[Gura ISO/lEC 73:2002]
4. SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACION
4.1 REQUISITOS GENERALES
La organización debe establecer, implementar, operar, hacer seguimiento, revisar, mantener ymejorar un SGSI documentado, en el contexto de las actividades globales del negocio de laorganización y de los riesgos que enfrenta. Para los propósitos de esta norma, el procesousado se basa en el modelo PHV A que se ilustra en la Figura 1.
4.2 ESTABLECIMIENTO V GESTION DEL SGSI
4.2.1 Establecimiento del SGSI
La organización debe:
a) Definir el alcance y Ifmites del SGSI en términos de las caracterfsticas delnegocio, la organización, su ubicación, sus activos, tecnologfa, e incluir losdetalles y justificación de cualquier exclusión del alcance (véase el numeral 1.2).
b) Definir una polftica de SGSI en términos de las caracterrsticas del negocio, laorganización, su ubicación, sus activos y tecnologfa, que:
1) incluya un marco de referencia para fUar objetivos y establezca un sentidogeneral de dirección y principios para la acción con relación a la seguridadde la información;
2) tenga en cuenta los requisitos del negocio, los legales o reglamentarios, ylas obligaciones de seguridad contractuales;
3) esté alineada con el contexto organizacional estratégico de gestión delriesgo en el cual tendrá lugar el establecimiento y mantenimiento del SGSI;
4) establezca los criterios contra los cuales se evaluará el riesgo. (Véase elnumeral 4.2.1, literal c) y;
4
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 27001
5) haya sido aprobada por la dirección.
c) Definir el enfoque organizacional para la valoración del riesgo.
1) Identificar una metodologfa de valoración del riesgo que sea adecuada alSGSI y a los requisitos reglamentarios, legales y de seguridad de lainformación del negocio, identificados.
2) Desarrollar criterios para la aceptación de riesgos, e identificar los nivelesde riesgo aceptables. (Véase el numeral 5.1, literal f).
La metodologfa seleccionada para valoración de riesgos debe asegurar quedichas valoraciones producen resultados comparables y reproducibles.
NOTA Existen diferentes metodologfas para la valoración de riesgos. En el documentoISO/lEe TR 13335-3, Information technology. Guidelines for the Management of IT SecurityTechniques for the Management of IT Security se presentan algunos ejemplos.
d) Identificar los riesgos
1) identificar los activos dentro del alcance del SGSI y los propietaríos2 deestos activos.
2) identificar las amenazas a estos activos.
3) identificar las vulnerabilidades que podrfan ser aprovechadas por lasamenazas.
4) Identificar los impactos que la pérdida de confidencialidad, integridad ydisponibilidad puede tener sobre estos activos.
e) Analizar y evaluar los riesgos.
1) valorar el impacto de negocios que podrfa causar una falla en laseguridad, sobre la organización, teniendo en cuenta las consecuenciasde la pérdida de confidencialidad, integridad o disponibilidad de losactivos.
2) valorar la posibilidad realista de que ocurra una falla en la seguridad,considerando las amenazas, las vulnerabilidades, los impactos asociadoscon estos activos, y los controles implementados actualmente.
3) estimar los niveles de los riesgos.
4) determinar la aceptación del riesgo o la necesidad de su tratamiento apartir de los criterios establecidos en el numeral 4.2.1, literal c).
f) Identificar y evalUar las opciones para el tratamiento de los riesgos.
Las posibles acciones incluyen:
El término ·propietario" identifica a un individuo o entidad que tiene la responsabilidad, designada por lagerencia, de controlar la producción, desarrollo, mantenimiento, uso y seguridad de los activos. El término"propietario" no quiere decir que la persona realmente tenga algún derecho de propiedad sobre el activo.
5
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 27001
1) aplicar los controles apropiados.
2) aceptar los riesgos con conocimiento y objetividad, siempre y cuandosatisfagan claramente la polftica y los criterios de la organización para laaceptación de riesgos (véase el numeral 4.2.1, literal c));
3) evitar riesgos, y
4) transferir a otras partes los riesgos asociados con el negocio, porejemplo: aseguradoras, proveedores, etc.
g) Seleccionar los objetivos de control y los controles para el tratamiento de losriesgos.
Los objetivos de control y los controles se deben seleccionar e implementar demanera que cumplan los requisitos identificados en el proceso de valoración ytratamiento de riesgos. Esta selección debe tener en cuenta los criterios para laaceptación de riesgos (véase el numeral 4.2.1. literal c)), al igual que los requisitoslegales, reglamentarios y contractuales.
Los objetivos de control y los controles del Anexo A se deben seleccionar comoparte de este proceso, en tanto sean adecuados para cubrir estos requisitos.
Los objetivos de control y los controles presentados en el Anexo A no sonexhaustivos, por lo que puede ser necesario seleccionar objetivos de control ycontroles adicionales.
NOTA El Anexo A contiene una lista amplia de objetivos de control y controles que comúnmentese han encontrado pertinentes en las organizaciones. Se sugiere a los usuarios de esta normaconsultar el Anexo A como punto de partida para la selección de controles, con el fin deasegurarse de que no se pasan por alto opciones de control importantes.
h) Obtener la aprobación de la dirección sobre los riesgos residuales propuestos.
i) Obtener autorización de la dirección para implementar y operar el SGSI.
j) Elaborar una declaración de aplicabilidad.
Se debe elaborar una declaración de aplicabilidad que incluya:
1) Los objetivos de control y los controles, seleccionados en el numeral 4.2.1,literal g) y las razones para su selección.
2) Los objetivos de control y los controles implementados actualmente (véaseel numeral 4.2.1., literal e) 2)), y
3) La exclusión de cualquier objetivo de control y controles enumerados en elAnexo A y lajustificación para su exclusión.
NOTA La declaración de aplicabilidad proporciona un resumen de las decisiones concernientesal tratamiento de los riesgos. Lajustificación de las exclusiones permite validar que ningún controlse omita involuntariamente.
6
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 27001
4.2.2 Implementación y operación del SGSI
Laorganizacióndebe:
a) formular un plan para el tratamiento de riesgos que identifique la acción degestión apropiada, los recursos, responsabilidades y prioridades para manejarlos riesgos de seguridad de la información (véase el numeral 5);
b) implementar el plan de tratamiento de riesgos para lograr los objetivos de controlidentificados, que incluye considerar la financiación y la asignación de funcionesy responsabilidades;
c) implementar los controles seleccionados en el numeral 4.2.1, literal g) paracumplir los objetivos de control;
d) definir cómo medir la eficacia de los controles o grupos de controlesseleccionados, y especificar cómo se van a usar estas mediciones con el fin devalorar la eficacia de los controles para producir resultados comparables yreproducibles (véase el numeral 4.2.3 literal c));
NOTA La medición de la eficacia de los controles permite a los gerentes y al personal determinarla medida en que se cumplen los objetivos de control planificados.
e) implementar programas de formación y de toma de conciencia, (véase elnumeral 5.2.2);
f) gestionar la operación del SGSI;
g) gestionar los recursos del SGSI (véase el numeral 5.2);
h) implementar procedimientos y otros controles para detectar y dar respuestaoportuna a los incidentes de seguridad (véase el numeral 4.2.3).
4.2.3 Seguimiento y revisión del SGSI
Laorganización debe:
a) Ejecutar procedimientos de seguimiento y revisión y otros controles para:
1) detectar rápidamente errores en los resultados del procesamiento;
2) identificar con prontitud los incidentes e intentos de violación a laseguridad, tanto los que tuvieron éxito como los que fracasaron;
3) posibilitar que la dirección determine si las actividades de seguridaddelegadas a las personas o implementadas mediante tecnologfa de lainformación se están ejecutando en la forma esperada;
4) ayudar a detectar eventos de seguridad, y de esta manera impedirincidentes de seguridad mediante el uso de indicadores, y
5) determinar si las acciones tomadas para solucionar un problema deviolación a la seguridad fueron eficaces.
7
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 27001
b) Emprender revIsiones regulares de la eficacia del SGSI (que incluyen elcumplimiento de la polftica y objetivos del SGSI. y la revisión de los controles deseguridad) teniendo en cuenta los resultados de las auditorias de seguridad,incidentes, medición de la eficacia sugerencias y retroalimentación de todas laspartes interesadas.
c) Medir la eficacia de los controles para verificar que se han cumplido losrequisitos de seguridad.
d) Revisar las valoraciones de los riesgos a intervalos planificados, y revisar el nivelde riesgo residual y riesgo aceptable identificado, teniendo en cuenta loscambios en:
1) la organización,
2) la tecnologfa,
3) los objetivos y procesos del negocio,
1) las amenazas identificadas,
\ 2) la eficacia de los controles implementados, y
3) evéntos externos, tales como cambios en el entorno legal oreglamentario,en las obligacionescontractuales,y en el clima social.
e) Realizarauditorfasinternasdel SGSI a intervalosplanificados(véase el numeral6).
NOTA Las auditorfas internas. denominadas algunas veces auditorfas de primera parte. lasrealiza la propia organización u otra organización en su nombre. para propósitos internos.
f) Emprender una revisión del SGSI, realizada por la dirección, en forma regular paraasegurar que el alcance siga siendo suficiente y que se identifiquen mejoras alprocesode SGSI (véaseel numeral 7.1).
g) Actualizar los planes de seguridad para tener en cuenta las conclusiones de lasactividades de seguimiento y revisión.
h) Registrar acciones y eventos que podrfan tener impacto en la eficacia o eldesempeño del SGSI (véase el numeral 4.3.3).
4.2.4 Mantenimiento y mejora del SGSI
Laorganización debe, regularmente:
a) Implementar las mejoras identificadas en el SGSI;
b) Emprender las acciones correctivas y preventivas adecuadas de acuerdo con losnumerales 8.2 y 8.3. Aplicar las lecciones aprendidas de las experiencias deseguridad de otras organizaciones y las de la propia organización;
c) Comunicar las acciones y mejoras a todas las partes interesadas, con un nivelde detalle apropiado a las circunstancias, y en donde sea pertinente, llegar aacuerdos sobre cómo proceder;
8
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 27001
) d) Asegurar que las mejoras logran los objetivos previstos.
4.3 REQUISITOS DE DOCUMENTACIÚN
4.3.1 Generalidades
La documentación del SGSI debe incluir registros de las decisiones de la dirección, asegurarque las acciones sean trazables a las decisiones y polfticas de la gerencia, y que los resultadosregistrados sean reproducibles.
Es importante estar en capacidad de demostrar la relación entre los controles seleccionados ylos resultados del proceso de valoración y tratamiento de riesgos, y seguidamente, con laPQlfticay--.objetivos del SGSI.
Ladocumentación del SGSI debe incluir:
a) declaraciones documentadas de la política y objetivos del SGSI (véase elnumeral 4.2.1, literal b));
b) el alcance del SGSI (véase el numeral 4.2.1, literal a))
c) los procedimientos y controles que apoyan el SGSI;
d) una descripción de la metodologfa de valoración de riesgos (véase el numeral 4.2.1,literal c));
e) el informe de valoración de riesgos (véase el numeral 4.2.1, literales c) a g));
f) el plan de tratamiento de riesgos (véase el numeral 4.2.2, literal b));
g) Los procedimientos documentados que necesita la organización para asegurar laeficacia de la planificación, operación y control de sus procesos de seguridad dela información, y para describir cómo medir la eficacia de los controles (véase elnumeral 4.2.3, literal c));
h) Los registros exigidos por esta norma (véase el numeral 4.3.3), y
i) La declaración de aplicabilidad.
NOTA 1 En esta norma, el término "procedimiento documentado" significa que el procedimiento está establecido,documentado, implementado y mantenido.
NOTA 2
NOTA 3
El alcance de la documentación del SGSI puede ser diferente de una organización a otra debido a:
El tamaño de la organización y el tipo de sus actividades, y
El alcance y complejidad de los requisitos de seguridad y del sistema que se está gestionando.
Los documentos y registros pueden tener cualquier forma o estar en cualquier tipo de medio.
4.3.2 Control de documentos
Los documentos exigidos por el SGSI se deben proteger y controlar. Se debe establecer unprocedimiento documentado para definir las acciones de gestión necesarias para:
9
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 27001
a) aprobar los documentos en cuanto a su suficiencia antes de su publicación;
b) revisar y actualizar los documentos según sea necesario y reaprobarlos;
c) asegurar que los cambios y el estado de actualización de los documentos esténidentificados;
d) asegurar que las versiones más recientes de los documentos pertinentes estándisponibles en los puntos de uso;
e) asegurar que los documentos permanezcan legibles y fácilmente identificables;
f) asegurar que los documentos estén disponibles para quienes los necesiten, yque se apliquen los procedimientos pertinentes, de acuerdo con su clasificación,para su transferencia, almacenamiento y disposición final.
g) asegurar que los documentos de origen externo estén identificados;
h) asegurar que la distribución de documentos esté controlada;
i) impedir el uso no previsto de los documentos obsoletos, y
j) aplicar la identificación adecuada a los documentos obsoletos, si se retienenpara cualquier propósito.
4.3.3 Control de registros
Sedeben establecer y mantener registros para brindar evidencia de la conformidad con losrequisitosy la operación eficaz del SGSI. Los registros deben estar protegidos y controlados. ElSGSI debe tener en cuenta cualquier requisito legal o reglamentario y las obligacionescontractualespertinentes. Los registros deben permanecer legibles, fácilmente identificables yrecuperables. Los controles necesarios para la identificación, almacenamiento, protección,recuperación, tiempo de retención y disposición de registros se deben documentar eimplementar.
Sedeben llevar registros del desempeño del proceso, como se esboza en el numeral 4.2, y detodoslos casos de incidentes de seguridad significativos relacionados con el SGSI.
EJEMPLO Algunos ejemplos de registros son: un libro de visitantes. informes de auditorfas y formatos deautorizaciónde acceso diligenciados.
5. RESPONSABILIDAD DE LA DIRECCiÓN
5.1 COMPROMISO DE LA DIRECCiÓN
La direccióndebe brindar evidencia de su compromiso con el establecimiento, implementación,operación,seguimiento, revisión, mantenimiento y mejora del SGSI:
a) mediante el establecimiento de una polftica del SGSI;
b) asegurando que se establezcan los objetivos y planes del SGSI;
c) estableciendo funciones y responsabilidades de seguridad de la información;
10
NORMA TÉCNICA COLOMBIANA NTC-ISO/lEC 27001
d) comunicando a la organización la importanciade cumplir los objetivos de seguridadde la informacióny de la conformidadcon la poHticade seguridadde la información,sus responsabilidadesbajo la ley,y la necesidadde la mejoracontinua;
e) brindando los recursos suficientes para establecer, implementar, operar, hacerseguimiento, revisar, mantener y mejorar un SGSI (véase el numeral 5.2.1);
f) decidiendo los criterios para aceptación de riesgos, y los niveles de riesgoaceptables;
g) asegurando que se realizan auditorfas internas del SGSI (véase el numeral 6), y
h) efectuando las revisiones por la dirección, del SGSI (véase el numeral 7).
5.2 GESTiÓN DE RECURSOS
5.2.1 Provisión de recursos
Laorganizacióndebe determinar y suministrar los recursos necesarios para:
a) establecer, implementar, operar, hacer seguimiento, revisar, mantener y mejorarun SGSI;
b) asegurar que los procedimientos de seguridad de la información brindan apoyo alos requisitos del negocio;
c) identificar y atender los requisitos legales y reglamentarios, asf como lasobligaciones de seguridad contractuales;
d) mantener la seguridad suficiente mediante la aplicación correcta de todos loscontroles implementados;
e) llevar a cabo revisiones cuando sea·necesario, y reaccionar apropiadamente alos resultados de estas revisiones; y
f) en donde se requiera, mejorar la eficacia del SGSI.
5.2.2 Formación, toma de conciencia y competencia
La organización debe asegurar que todo el personal al que se asigne responsabilidadesdefinidasen el SGSI sea competente para realizar las tareas exigidas, mediante:
a) la determinación de las competencias necesarias para el personal que ejecute eltrabajo que afecta el SGSI;
b) el suministro de formación o realización de otras acciones (por ejemplo, lacontratación de personal competente) para satisfacer estas necesidades;
c) la evaluación de la eficacia de las acciones emprendidas, y
d) el mantenimiento de registros de la educación, formación, habilidades,experiencia y calificaciones (véase el numeral 4.3.3).
11
NORMATÉCNICA COLOMBIANA NTC-ISO/IEC 27001
La organización también debe asegurar que todo el personal apropiado tiene conciencia de lapertinencia e importancia de sus actividades de seguridad de la información y cómo ellascontribuyen al logro de los objetivos del SGSI.
6. AUDlTORIAS INTERNAS DEL SGSI
La organización debe llevar a cabo auditorfas internas del SGSI a intervalos planificados, paradeterminar si los objetivos de control, controles, procesos y procedimientos de su SGSI:
a) cumplen los requisitos de la presente norma y de la legislación oregla mentaciones pertinentes;
b) cumplen los requisitos identificados de seguridad de la información;
c) están implementados y se mantienen eficazmente, y
d) tienen un desempeño acorde con lo esperado.
Sedebe planificar un programa de auditorfas tomando en cuenta el estado e importancia de losprocesosy las áreas que se van a auditar, asf como los resultados de las auditorfas previas. Sedeben definir los criterios, el alcance. la frecuencia y los métodos de la auditorfa. La selecciónde los auditores y la realización de las auditorfas deben asegurar la objetividad e imparcialidaddel proceso de auditorfa. Los auditores no deben auditar su propio trabajo.
Se deben definir en un procedimiento documentado las responsabilidades y requisitos para laplanificación y realización de las auditorfas. para informar los resultados, y para mantener losregistros (véase el numeral 4.3.3).
Ladirección responsable del área auditada debe asegurarse de que las acciones para eliminarlas no conformidades detectadas y sus causas, se emprendan sin demora injustificada. Lasactividades de seguimiento deben incluir la verificación de las acciones tomadas y el reporte delosresultados de la verificación.
NOTA La norma NTC-ISO 19011 :2002, Directrices para la auditorfa de los sistemas de gestión de la calidad y/oambiente puede brindar orientación útil para la realización de auditorfas internas del SGSI.
7. REVISIÚN DEL SGSI POR LA DIRECCIÚN
7.1 GENERALIDADES
Ladirección debe revisar el SGSI de la organización a intervalos planificados(por lo menos unavezal año), para asegurar su conveniencia, suficiencia y eficacia continuas. Esta revisión debeincluir la evaluación de las oportunidades de mejora y la necesidad de cambios del SGSI.incluidosla polftica de seguridad y los objetivos de seguridad. Los resultados de las revisionessedeben documentar claramente y se deben llevar registros (véase el numeral 4.3.3).
7.2 INFORMACIÚN PARA LA REVISIÚN
Lasentradas para la revisión por la dirección deben incluir:
a) resultados de las auditorfas y revisiones del SGSI;
b) retroalimentación de las partes interesadas;12
, ... -------- ---
NORMA TÉCNICA COLOMBIANA NTC-ISOIIEC 27001
c) técnicas, productos o procedimientos que se pueden usar en la organizaciónpara mejorar el desempeño y eficacia del SGSI;
d) estado de las acciones correctivas y preventivas;
e) vulnerabilidades o amenazas no tratadas adecuadamente en la valoración previade los riesgos;
f) resultados de las mediciones de eficacia;
g) acciones de seguimiento resultantes de revisiones anteriores por la dirección;
h) cualquier cambio que pueda afectar el SGSI; y
i) recomendaciones para mejoras.
713 RESULTADOS DE LA REVISiÓN
Los resultados de la revisión por la dirección deben incluir cualquier decisión y acciónrelacionadacon:
a) la mejora de la eficacia del SGSI;
b) la actualización de la evaluación de riesgos y del plan de tratamiento de riesgos.
c) La modificación de los procedimientos y controles que afectan la seguridad de lainformación, según sea necesario, para responder a eventos internos o externosque pueden tener impacto en el SGSI, incluidos cambios a:
1) los requisitos del negocio,
2) los requisitos de seguridad,
3) los procesosdel negocioque afectan los requisitosdel negocioexistentes,
4) los requisitos reglamentarios o legales,
5) las obligaciones contractuales, y
6) los niveles de riesgo y/o niveles de aceptación de riesgos.
d) los recursos necesarios.
e) la mejora a la manera en que se mide la eficacia de los controles.
8. MEJORA DEL SGSI
8.1 MEJORA CONTINUA
Laorganizacióndebe mejorar continuamente la eficacia del SGSI mediante el uso de la polfticade seguridadde la información, los objetivos de seguridad de la información, los resultados delaauditorfa,el análisis de los eventos a los que se les ha hecho seguimiento, las accionescorrectivasy preventivas y la revisión por la dirección.
13
NORMA TÉCNICA COLOMBIANA
8.2 ACCiÓN CORRECTIVA
NTC-ISO/IEC 27001
La organización debe emprender acciones para eliminar la causa de no conformidadesasociadas con los requisitos del SGSI. con el fin de prevenir que ocurran nuevamente. Elprocedimiento documentado para la acción correctiva debe definir requisitos para:
a) identificar las no conformidades;
b) determinar las causas de las no conformidades;
c) evaluar la necesidad de acciones que aseguren que las no conformidades novuelven a ocurrir;
d) determinar e implementar la acción correctiva necesaria;
e) registrar los resultados de la acción tomada (véase el numeral 4.3.3); y
f) revisar la acción correctiva tomada.
8.3 ACCION PREVENTIVA
La organización debe determinar acciones para eliminar la causa de no conformidadespotenciales con los requisitos del SGSI y evitar que ocurran. Las acciones preventivas tomadasdebenser apropiadas al impacto de los problemas potenciales. El procedimiento documentadoparala acción preventiva debe definir requisitos para:
a) identificar no conformidades potenciales y sus causas;
b) evaluar la necesidad de acciones para impedir que las no conformidades ocurran.
c) determinar e implementar la acción preventiva necesaria;
d) registrar los resultados de la acción tomada (véase el numeral 4.3.3), y
e) revisar la acción preventiva tomada.
La organización debe identificar los cambios en los riesgos e identificar los requisitos encuanto acciones preventivas. concentrando la atención en los riesgos que hancambiado significativa mente.
Laprioridad de las acciones preventivas se debe determinar con base en los resultados de lavaloraciónde los riesgos.
NOTA Las acciones para prevenir no conformidades con frecuencia son más rentables que la acción correctiva.
14
NORMATÉCNICA COLOMBIANA NTC-ISO/IEC 27001
ANEXO A
(Normativo)
OBJETIVOS DE CONTROL Y CONTROLES
A.l INTRODUCCiÓN
Los objetivos de control y los controles enumerados en la Tabla A.1 se han obtenidodirectamente de los de la NTC-ISO/IEC 17799:2005. numerales 5 a 15. y están alineados conellos. Las listas de estas tablas no son exhaustivas, y la organización puede considerar que senecesitanobjetivos de control y controles adicionales. Los objetivos de control y controles de estastablasse deben seleccionar como parte del proceso de SGSI especificado en el numeral 4.2.1.
/La norma NTC- ISO/lEC 17799:2005. numerales 5 a 15. proporciona asesorfa y orientación sobre
l~ejOres prácticas de apoyo a los controles especificados en el literal A.5 a A.15.
Tabla A.1. Objetivos de control y controles,
A.S POLlTICA DE SEGURIDAD.JA.S.1 Politica de seguridad de la informaciónObjetivo: Brindar apoyo y orientación a la dirección con respecto a la seguridad de la información,de acuerdo con los requisitos del ne<:¡ocioy los re<:¡lamentos y las leyes pertinentes.A.5.l.l
DocumentodelapolfticadeControl
seguridad de la información. La dirección debe aprobar un documento depolltica de seguridad de la información y lodebepublicarycomunicaratodoslos
empleados y partes externas pertinentes.A.5.l.2
RevisióndelapolfticadeControl
seguridad de la información. La polftica de seguridad de la información sedebe revisar a intervalos planificados o cuandoseproducencambiossignificativos,para
garantizar que sigue siendo adecuada, suficientev eficaz.A.6 ORGANIZACIÚN DE LA SEGURIDAD DE LA INFORMACIÚNA.6.1 Organización internaObjetivo: qestionar la sequridad de la información dentro de la orqanización.A.5.l.l
CompromisodeladirecciónLadireccióndebeapoyaractivamentelacon
laseguridaddelaseguridad dentro de laorganización con uninformación.
rumbo claro, un compromiso demostrado, unaasignación expllcita y el conocimiento de lasresponsabilidades
delaseguridaddelainformación.A.5.1.2
Coordinación de la seguridadControlde la información. Las
actividadesdelaseguridaddelainformación
debensercoordinadasporlos
representa ntes
detodaslaspartesdela
organización con roles y funciones laboralespertinentes.A.5.l.3Asignación deControl
responsabilidadesparala
seguridad de la información.Sedebendefinirclaramentetodaslas
responsabilidades en cuanto a seguridad de lainformación.
Continúa ...
15
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 27001
Tabla A.1. (Continuación)
Se debe definir e implementar un proceso deautorizaciónde la dirección para nuevos serviciosde procesamientode información.ControlsobreAcuerdos
confidencialidadA.6.1.5
A.G ORGANIZACIÚN DE LA SEGURIDAD DE LA INFORMACIÚN
A.6.1.4 I Proceso de autorización para I Controllos servicios de procesamientode información.
A.6.1.6 Contacto con las autoridades
Se deben identificar y revisar con regularidad losrequisitos de confidencialidad o los acuerdos deno-divulgación que reflejan las necesidades dela organización para la protección de lainformación.Control
ir.1.7
Se deben mantener contactos apropiados conlas autoridades pertinentes.
Contacto con grupos de interés I Controlespeciales
A.6.1.8
Se deben mantener los contactos apropiadoscon grupos de interés especiales, otros forosespecializados en seguridad de la información,y asociaciones de profesionales.
Revisión independiente de la I Controlseguridad de la información.
El enfoque de la organización para la gestión dela seguridad de la información y suimplementación (es decir, objetivos de control,controles, polfticas, procesos y procedimientospara seguridad de la información) se debenrevisar independientemente a intervalosplanificados, o cuando ocurran cambiossignificativos en la implementación de lasequridad.
A.G.2 Partes externas
Los acuerdos con terceras partes que implicanacceso, procesamiento, comunicación o gestiónde la información o de los servicios deprocesamiento de información de la organización,o la adición de productos o servicios a losservicios de procesamiento de la informacióndeben considerar todos los requisitos pertinentesde sequridad
Todos los requisitos de seguridad identificados sedeben considerar antes de dar acceso a losclientes a los activos o la información de la
oq:¡anizaciónControl
Se deben identificar los riesgos para lainformación y los servicios de procesamiento deinformación de la organización de los procesos delnegocio que involucran partes externas eimplementar los controles apropiados antes deautorizar el acceso.Control
de laacuerdos
Consideracionesseguridad en loscon terceras partes
Consideraciones de laseguridad cuando se tratacon los clientes
A.6.2.3
A.6.2.2
Objetivo:mantener la seguridad de la información y de los servicIos de procesamiento deinformaciónde la organización a los cuales tienen acceso partes externas o que son procesados,comunicadoso diri idos or éstas.A.6.2.1 Identificación de los riesgos Control
relacionados con las partesexternas.
16
NORMAT~CNICA COLOMBIANA NTC-ISO/IEC 27001
Tabla A.1. (Continuación)
A.7 GESTIÚN DE ACTIVOS=}
A.7.1 Responsabilidad por los activos
Objetivo: lograr y mantener la protección adecuada de los activos organizacionales.
A.7.1.1 I Inventario de activos
A.7.1.2 I Propiedad de los activos
\.1.3 I Uso aceptable de los activos
A.7.2 Clasificación de la información
Control
Todos los activos deben estar claramente identificados y se debenelaborar y mantener un inventario de todos los activos importantes.
Control
Toda la información y los activos asociados con los servIcIos deprocesamiento de información deben ser "propiedad,,3) de una partedesignada de la organizaciónControl
Se deben identificar, documentar e implementar las reglas sobre eluso aceptable de la información y de los activos asociados con losservicios de procesamiento de la información
Objetivo: asegurar que la información recibe el nivel de protección adecuado.
A.7.2.1 I Directrices de clasificación Control
A.7.2.2 I Etiquetado yinformación
manejo
La información se debe clasificar en términos de su valor, de los
requisitos legales, de la sensibilidad y la importancia para laorganización.
de I Control
Se deben desarrollar e implementar un conjunto de procedimientosadecuados ara el etiquetado y el manejo de la información deacuerdo al s uema de clasificación ado tado or la or anización
A.S SEGURIDAD DE LOS RECURSOS HUMANOSA.S.1Antes de la contratación laboral 41
Objetivo: asegurar que los empleados, contratistas y usuarios por tercera parteentienden sus responsabilidades y son adecuados para los roles para los que se losconsidera, reducir el ries o de robo, fraude o uso inadecuado de las instalaciones.
A.B.l.l Roles y responsabilidades Control
Se deben definir y documentar los roles yresponsabilidades de los empleados,contratistas y usuarios de terceras partespor la seguridad, de acuerdo con la polfticade seguridad de la información de laorqanización
3)
41
El término "propietario" identifica a un individuo o una entidad que tiene responsabilidad aprobada de ladirección por el control de la producción, el desarrollo, el mantenimiento, el uso y la seguridad de losactivos. El término "propietario" no implica que la persona tenga realmente los derechos de propiedad delos activos.
Explicación: La palabra "contratación laboral" cubre todas las siguientes situaciones: empleo de personas(temporal o a término indefinido), asignación de roles de trabajo, cambio de roles de trabajo, asignación decontratos, y la terminación de cualquiera de estos acuerdos
17
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 27001
Tabla A.1. (Continuación)
A.a SEGURIDAD DE LOS RECURSOS HUMANOSA.8.1.2 I Selección I Control
Se deben realizar revIsiones para laverificación de antecedentes de loscandidatos a ser empleados, contratistas ousuarios de terceras partes, de acuerdo conlos reglamentos, la ética y las leyespertinentes, y deben ser proporcionales alos requisitos del negocio, la clasificación dela información a la cual se va a teneracceso y los riesgos percibidos
A.8.1.3 I Términoslaborales."
~
y condiciones I Control
Como parte de su obligación contractual,los empleados, contratistas y usuarios deterceras partes deben estar de acuerdo yfirmar los términos y condiciones de sucontrato laboral, el cual debe establecersus responsabilidades y las de laorganización con relación a la seguridadde la información.
A.B.2 Durante la vigencia de la contratación laboral
Objetivo:asegurar que todos los empleados, contratistas y usuarios de terceras partesesténconscientes de las amenazas y preocupaciones respecto a la seguridad de lainformación,sus responsabilidades y sus deberes, y que estén equipados para apoyarla polftica de seguridad de la organización en el transcurso de su trabajo normal, aligualque reducir el riesgo de error humano.
A.8.2.1I Responsabilidadesdirección
de la I Control
A.8.2.2I Educación, formaciónconcientización sobreseguridad de la información
A.8.2.3I Proceso disciplinario
La dirección debe exigir que los empleados,contratistas y usuarios de terceras partesapliquen la seguridad según las polfticas ylos procedimientos establecidos por laor~anización.
y I Controlla
Todos los empleados de la organización y,cuando sea pertinente, los contratistas y losusuarios de terceras partes deben recibirformación adecuada en concientización yactualizaciones regulares sobre las polfticasy los procedimientos de la organización,según sea pertinente para sus funcioneslaborales.Control
Debe existir un proceso disciplinario formalpara los empleados que hayan cometidoalguna violación de la seguridad
18
NORMA T~CNICA COLOMBIANA NTC-ISO/IEC 27001
Tabla A.1. (Continuación)
A.SSEGURIDAD DE LOS RECURSOS HUMANOS
A.S.3 Terminación o cambio del contratación laboral
Objetivo: asegurar que los empleados, los contratistas y los usuarios de terceras partes salen de la organización o
cambian su contrato laboral de forma ordenada ..A.8.3.lResponsabilidadesenlaControl
terminaciónSedebendefiniryasignarclaramentelas
responsabilidadesparallevaracabola
terminaciónoelcambiodelacontratación
laboral.A.8.3.2Devolución de activos Control
Todos los empleados, contratistas o usuariosde terceras partes deben devolver todos losactivos pertenecientes a la organización queestén en su poder al finalizar su contratación\laboral, contrato o acuerdo.
A.8.3.3
RetirodelosderechosdeControlacceso
Losderechosdeaccesodetodoslosempleados, contratistas o usuarios de terceraspartes a la información y a los servicios deprocesamiento de información se deben retiraral finalizar su contratación laboral, contrato oacuerdo
osedebenajustardespuésdelcamt.6io.
A.9 SEGURIDAD FfslCA V DEL ENTORNO /A.9.1 Areas segurasObjetivo: evitar el acceso ffsico no autorizado, el daño e interferencia a las instalacionesIva la información de la on:¡anización.A.9.l.l
Perfmetro de seguridad ffsicaControlSe
debenutilizarperfmetrosdeseguridad(barreras
talescomoparedes,puertasde
acceso controladas con tarjeta o mostradoresderecepciónatendidos)paraprotegerlas
áreas que contienen información y servicios deprocesamiento de informaciónA.9.l.2Controles de acceso ffsico.Control
Las áreas seguras deben estar protegidas concontroles de acceso apropiados para asegurarque sólo se permite el acceso apersonal
autorizado.A.9.l.3Seguridaddeoficinas,Control
recintos e instalaciones.Se debe diseñar y aplicar la seguridad ffsica
i para oficinas, recintos e instalaciones.A.9.1AProteccióncontraamenazasControl
externas y ambientales.Sedebendiseñar yaplicarprotecciones
físicas contra daño por incendio, inundación,terremoto,explosión,manifestaciones
sociales y otras formas de desastre natural oartificial.A.9.l.5Trabajo en áreas seguras.Control
Se deben diseñar y aplicar la protección ffsica ylas directrices para trabajar en áreas sequras.A.9.l.6Areas de carga, despacho yLospuntosdeaccesotalescomolas
acceso públicoáreas de carga y despacho y otros puntos
por
dondepuedaingresarpersonalnoautorizado a
las instalaciones se deben
controlar y,si esposible,aislar de los
servicios de procesamiento de informaciónpara evitar el acceso no autorizado.
19
NORMA T~CNICA COLOMBIANA NTC-ISO/IEC 27001
Tabla A.1. (Continuación)
A.9 SEGURIDAD FfslCA V DEL ENTORNO
A.9.2 Seguridad de los equiposObjetivo:evitar pérdida, daño, robo o puesta en peligro de los activos y lainterrupción
delas actividades de la orqanización. A.9.2.1Ubicación y protecciónControl
de los equipos. Los equipos deben estar ubicados o protegidos parareducir el riesgo debido a amenazas o peligros delentorno, y las oportunidades de acceso no autorizadoA.9.2.2
Servicios de suministroControl
Los equipos deben estar protegidos contra fallas en
elsuministrodeenergrayotrasanomalfas
causadas por fallas en los servicios de suministro.
~.2.3
Seguridad del cableado.Control
El
cableadodeenergfaeléctricayde
telecomunicaciones que transporta datos o prestasoporte a los servicios de información deben estarproteqidos contra interceptaciones o daños.A.9.2.4
MantenimientodelosControl
equipos. Los equipos deben recibir mantenimiento adecuadopara asequrar su continua disponibilidad e inteqridad.A.9.2.5
SeguridaddelosControl
equipos
fueradelasinstalaciones.
Se debe suministrarseguridad para los equiposfuera de las instalaciones teniendo en cuenta losdiferentes
riesgosdetrabajarfueradelasinstalaciones de la orqanización.A.9.2.6
SeguridadenlaControlreutilización
oeliminación
delosSe deben verificar todos los elementos del equipoequipos.
que contenganmedios dealmacenamientoparaasegurar que
se haya eliminado cualquier softwarelicenciado
ydatos sensibles o asegurar que sehayan sobrescrito
de forma segura, antes de laeliminación. ControlA.9.2.7
Retiro de activos
Ningún equipo, información ni software se debenretirar sin autorización previa.A.10 GESTiÓN DE COMUNICACIONES V OPERACIONES\\~.
A.10.1 Procedimientos operacionales y responsabilidadesObjetivo:asegurar la operación correcta y segura de los servicios de procesamiento de
información.A.1O.1.1
Documentación de losControl
procedimientos
de
operación
Losprocedimientosdeoperaciónsedeben
documentar, mantener y estar disponibles para todoslos usuarios que los necesiten.A.1Q.1.2
Gestión del cambio.Control
Se deben controlar los cambios en los servicios y los
sistemas de procesamiento de información.
20
NORMA TrCNICA COLOMBIANA NTC-ISO/IEC 27001
Tabla A.1. (Continuación)
A.l0 GESTIÚN DE COMUNICACIONES Y OPERACIONES
A,10,1,31Distribución de I Controlfunciones.
Las funciones y las áreas de responsabilidad sedeben distribuir para reducir las oportunidades demodificación no autorizada o no intencional, o el uso
inadecuado de los activos de la orc¡anización.Controllas
dedeSeparación
instalaciones
desarrollo, ensayooperación.
y I Las instalaciones de desarrollo, ensayo yoperación deben estar separadas para reducir losriesgos de acceso o cambios no autorizados en el
I sistema operativo.Gestión de la prestación del servicio por terceras partes
A,10,lA
A.l0.2
Objetivo: implementar y mantener un grado adecuado de seguridad de la información y de la prestación del
se vicio, de conformidad con los acuerdos de restación del servicio por terceras partes,A.10.2,1 Prestación del servicio Control
A,10,2.2
A,10,2,3
Monitoreo y revisión de losservicios por terceraspartes
Gestión de los cambios en
los servicios por terceraspartes
Se deben garantizar que los controles de seguridad,las definiciones del servicio y los niveles deprestación del servicio incluidos en el acuerdo, seanimplementados, mantenidos y operados por lasterceras partes,Control
Los servicios, reportes y registros suministrados porterceras partes se deben controlar y revisar conregularidad y las auditorias se deben llevar a cabo aintervalos rec¡ulares,Control
Los cambios en la prestación de los serVICIOS,incluyendo mantenimiento y mejora de las polfticasexistentes de seguridad de la información, en losprocedimientos y los controles se deben gestionarteniendo en cuenta la importancia de los sistemasy procesos del negocio involucrados, asr como lareevaluación de los riesgos.
A.l0.3 Planificación y aceptación del sistema
Ob'etivo:minimizar el ries o de fallas de los sistemas,A.1O,3,1 Gestión de la Control
capacidad.Se debe hacer seguimiento y adaptación del uso delos recursos, asf como proyecciones de losrequisitos de la capacidad futura para asegurar el
_ I desempeño requerido del sistema,A,1O,3.2TAceptación del sistema, Control
Se deben establecer criterios de aceptación parasistemas de información nuevos, actualizaciones ynuevas versiones y llevar a cabo los ensayosadecuados del sistema durante el desarrollo y antesde la aceptación.
21
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 27001
Tabla A.1. (Continuación)
A.10 GESTiÓN DE COMUNICACIONES Y OPERACIONES
A.10.4 Protección contra códigos maliciosos y móvilesObjetivo: [roteaer la intearidad del software v de la información.A.1OA.l
ControlescontraControl
códigos maliciosos. Sedebenimplementarcontrolesdedetección,
prevención y recuperación paraproteger contra
códigosmaliciosos,asfcomoprocedimientos
apropiados de concientización de los usuarios.A.1OA.2
ControlescontraControl
códigos móviles Cuando se autoriza la utilización de códigos móviles,la configuración debe asegurar que dichos códigos\operan de acuerdo con la polrtica de seguridad
claramente definida. y se debe evitar la ejecución delos códiqos móviles no autorizados.A.10.5 RespaldoObjetivo: mantener la integridad y disponibilidad de la información y de los servicios de procesamiento de
linformación.A.1O.5.lRespaldodelaControl
información. Sedebenhacercopiasderespaldodela
información y del software. y se deben poner aprueba con regularidad de acuerdo con la polfticade respaldo acordada.A.10.6 Gestión de la seguridad de las redesObjetivo: asegurar la protección de la información en las redes y la protección de lainfraestructura de soporte.A.1O.6.l
Controles de las redes.Control
Las
redessedebenmantenerycontrolar
adecuadamente para protegerlas de las amenazas ymantener la seguridad de los sistemas y aplicacionesque
usanlared,incluyendolainformaciónentránsito. A.1O.6.2
SeguridaddelosControlservicios de la red. En cualquier acuerdo sobre los servicios de la red sedeben
identificareincluirlascaracterfsticasde
seguridad. los niveles de servicio y los requisitos degestión de todos los servicios de la red, sin importarsi los servicios se prestan en la organización o secontratan externamente.A.10.7 Manejo de los medios
Objetivo:evitar la divulgación, modificación, retiro o destrucción de activos no autorizada,Vla interrupción en las actividades del neqocio.A.1O.7.l
Gestión de los mediosControlremovibles Se deben establecer procedimientos para la gestiónde los medios removiblesA.1O.7.2
EliminacióndelosControlmedios. Cuando ya
noserequieranestosmedios.sueliminación se debe hacer de forma segura y sinriesao, utilizando los procedimientos formales.
22
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 27001
Tabla A.1. (ContinuaciOn)
A.l0 GESTIÚN DE COMUNICACIONES Y OPERACIONES
A.l0.7.3Procedimientos para elControl
manejo
delainformación.
Se deben establecer procedimientos para el manejoy almacenamiento de la información con el fin deproteger dicha
informacióncontradivulgaciónnoautorizada o uso inadecuado.A.l0.7.4
SeguridaddelaControldocumentación
delsistema.
La documentación del sistema debe estar protegidacontra el acceso no autorizado.A.l0.8Intercambio de la informaciOn
Objetivo: mantener la seguridad de la información y del software que se intercambiandentrode la orqanización v con cual uier entidad externa.'A\0.8.l
Polfticas yControl
procedimientos para el intercambiodeSedebenestablecerpolfticas,procedimientosy
informacióncontroles formales de intercambio para proteger la
información medianteel uso de todotipo de
servicios de comunicación.A.l0.8.2AcuerdosparaelControl
intercambio Se deben establecer acuerdos para el intercambiodelainformaciónydelsoftwareentrela
orqanización V partes externas.A.l0.8.3MediosffsicosenControl
tránsito. Los medios que contienen información se debenproteger contra
el acceso no autorizado, el uso
inadecuado o la corrupción durante el transportemás allá de los Ifmites ffsicos de la orqanización.A.l0.8.4Mensajerfa electrónica.Control
La
informacióncontenidaenlamensajerfaelectrónica debe tener la protección adecuadaA.l0.8.S
Sistemas deControl
información del negocio. Se debenestablecer,desarrollar eimplementar
polfticasyprocedimientos paraprotegerla
información asociada con la interconexión de lossistemas de información del neqocio.A.l0.9 Servicios de comercio electrOnico
Objetivo:( arantizar la sequridad de los servicios de comercio electrónico, v su utilización seaura.A.1O.9.l
Comercio electrónicoControl
La información involucrada en el comercio electrónicoque se transmite por las redes públicas debe estarprotegida contra actividades fraudulentas, disputaspor
contratosydivulgaciónomodificaciónnoautorizada. A.l0.9.2
Transacciones en IfneaControl
La información involucrada en las transacciones enIfnea debe estar protegida para evitar transmisiónincompleta,
enrutamiento inadecuado,alteración
divulgación , duplicación o repetición no autorizadadel mensaje.
23
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 27001
Tabla A.1. (Continuación)
A.10 GESTIÚN DE COMUNICACIONES Y OPERACIONES
A.l0.9.3
InformacióndisponibleControlal público La
integridadde lainformación que se pone adisposición en un sistema de acceso público debeestar
protegidaparaevitarlamodificaciónnoautorizada. A.10.10 Monitoreo
Objetivo: detectar actividades de orocesamiento de la información no autorizadas.
A.l0.10.1Registro de auditorfasControl
Se deben elaborar y mantener durante un periodo
acordadolasgrabacionesdelosregistrospara
auditorfa de las actividades de los usuarios,las
1\excepcionesyloseventosdeseguridaddela
información con el fin de facilitar las investigacionesfuturas v el monitoreo del control de acceso.A.l0.l0.2Monitoreodeluso delControl
sistema Sedebenestablecerprocedimientosparael
monitoreo del uso de los servicios de procesamientode información, y los resultados de las actividades demonitoreo se deben revisar con reqularidadA.l0.l0.3ProteccióndelaControl
información del registro Los servicios y la información de la actividad deregistro se deben proteger contra el acceso o lamanipulación no autorizados.A.l0.1O.4Registros delControl
administradorydel
operadorSe deben registrar las actividades tanto del operador
como del administrador del sistema ..A.1O.10.5Registro de fallasControl
Las fallas se deben registrar y analizar, y se deben
tomar las acciones adecuadas.A.l0.10.6SincronizacióndeControl
relojes Los relojes de todos los sistemas de procesamientode información pertinentes dentro de la organizaciónodeldominiodeseguridaddebenestar
sincronizados con una fuente de tiempo exactayacordada. A.11 CONTROL DE ACCESO
{t7JVVOV\_1J(Aj\O"
A.11.1 Requisito del negocio para el control de accesoObjetivo:controlar el acceso a la información.A.ll.1.1
POlfticadecontroldeControlacceso Se debe establecer, documentar y revisar la polfticade control de acceso con base en los requisitos delneqocio V de la seauridad Dara el accesoA.11.2 Gestión del acceso de usuarios
Objetivo: asegurar el acceso de usuarios autorizados y evitar el acceso de usuarios no autorizados a los
sistemasde información.
24
NORMA T~CNICA COLOMBIANA NTC-ISO/IEC 27001
Tabla A.1. (Continuación)
A.11 CONTROL DE ACCESO
A.11.2.11 Registro de usuarios. Control
A.11.2.21 Gestión de privilegios.
Debe existir un procedimiento formal para el registroy cancelación de usuarios con el fin de conceder yrevocar el acceso a todos los sistemas y servicios deinformación.Control
A.11.2.3
Se debe restringir y controlar la asignación y uso de
I privileQios.Gestión de contraseñas Control
para usuarios.
\.2.4
La asignación de contraseñas se debe controlar através de un proceso formal de Qestión.
Revisión de los derechos I Controlde acceso de los usuarios.
La dirección debe establecer un procedimientoformal de revisión periódica de los derechos deacceso de los usuarios.
A.11.3 Responsabilidades de los usuarios
Objetivo: evitar el acceso de usuarios no autorizados. el robo o la puesta en peligro de lainformación de los servicios de rocesamiento de información.A.11.3.1 Uso de contraseñas. Control
A.11.3.21Equipo dedesatendido.
Se debe exigir a los usuarios el cumplimiento debuenas prácticas de seguridad en la selección y eluso de las contraseñas.
usuario I Control
de que a losda protección
Los usuarios deben asegurarseequipos desatendidos se lesapropiada.Control
Se debe adoptar una polltica de escritorio despejadopara reportes y medios de almacenamientoremovibles y una polftica de pantalla despejada para
I 1 los servicios de procesamiento de información.A.11.4 Control de acceso a las redes
A.11.3.31Polltica de escritoriodespejado y de pantalladespejada
Ob'etivo:evitar el acceso no autorizado a servicios en red.A.11.4.1 Polltica de uso de los Control
servicios de red.Los usuarios sólo deben tener acceso a los servicios
para cuyo uso están ~crficamente autorizados.A.11.4.21Autenticación de usuarios I Control
para conexiones externas.
La identificación automática de los equipos se debeconsiderar un medio para autenticar conexiones deequipos v ubicaciones especIficas.
A.11.4.31Identificación deequipos en las redes.
los
Se debenautenticaciónremotos.Control
emplear métodos apropiados depara controlar el acceso de usuarios
25
NORMA T~CNICA COLOMBIANA NTC-ISO/lEC 27001
Tabla A.1. (Continuación)
A.11 CONTROL DE ACCESO
A.11.4.4Protecciún de los puertos deControl
configuraciún y diagnústico remotoElaccesolúgicoyffsicoalospuertosde
configuraciúnydediagnústicodebeestar
controladoA.11.4.5Separaciún en las redes.Control
En las redes se deben separar los grupos deservicios de informaciún, usuarios y sistemas deinformaciún.A.11.4.6
Controlde conexiúnalasControlredes. Para redes compartidas, especialmente aquellasque se extienden más allá de las fronteras de la'\ organizaciún, se debe restringir la capacidad de los
usuarios para conectarse a la red, de acuerdo conla polftica de control del acceso y los requisitos deaplicaciún del neqocio (véase el numeral 11.1).A.11.4.7Control de enrutamiento enControl
la red. Se deben implementar controles de enrutamientoen
lasredes conelfindeasegurar quelas
conexiones entre computadores y los flujos deinformaciún no incumplan la polftica de control delacceso de las aplicaciones del neqocio.A.11.5 Control de acceso al sistema operativo
Obietivo:evitar el acceso no autorizado a los sistemas operativos.
A11.5.1ProcedimientosdeingresoControl
seguros Elaccesoalossistemas operativossedebe
controlar mediante un procedimiento de registro deinicio sequro.A.11.5.2Identificaciún y autenticaciúnControl
de usuarios. Todos los usuarios deben tener un identificadorúnico (ID del usuario)únicamente para su uso
personal, y se debe elegir una técnica apropiada deautenticaciúnparacomprobarlaidentidad
declarada de un usuario.A.11.5.3SistemadegestiúndeControl
contraseñas. Los sistemas de gestiún de contraseñas debenser interactivos y deben asegurar la calidad de lascontraseñas.A.11.5.4Uso de las utilidadesdelControl
sistema Se debe restringir y controlar estrictamente el usode programas utilitarios que pueden anular loscontroles del sistema v de la aplicaciún.A11.5.5Tiempo de inactividad de laControl
sesiún Lassesionesinactivassedebensuspender
después de un periodo definido de inactividad.A.ll.5.6LimitaciúndeltiempodeControl
conexiún. Se deben utilizar restricciones en los tiempos deconexiún para brindar seguridad adicional para lasaplicaciones de alto riesqo
26
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 27001
Tabla A.1. (Continuación)
A.11 CONTROL DE ACCESO
A.11.6 Control de acceso a las aplicaciones y a la informaciónObjetivo: evitar el acceso no autorizado a la información contenida en los sistemas de
información.A.11.6.1Restricción de acceso a laControl
información. Se debe restringir el acceso a la información y a lasfunciones del sistema de aplicación por parte de losusuarios y del personal de soporte, de acuerdo conla polftica definida de control de acceso.A.11.6.2
AislamientodesistemasControlsensibles. Los sistemas sensibles deben tener un entornoinformático dedicado (aislados).
\.7 Computación móvil y trabajo remotoObjetivo:garantizar la seguridad de la información cuando se utilizan dispositivos de computación móviles y de trabajo
remoto.A.ll.7.1Computación yControl
comunicaciones móviles. Se debe establecer una polftica formal y se debenadoptar las medidas de seguridad apropiadas para laprotección contralos riesgos debidos al uso de
dispositivos
decomputaciónycomunicacionesmóviles.A.11.7.2
Trabajo remoto. Control
Se deben desarrollar e implementar polfticas, planesoperativos y procedimientos para las actividades detrabajo remoto.
A.12 ADQUISICIÚN, DESARROLLO V MANTENIMIENTO DE SISTEMAS DE INFORMACIÚNA.12.1 Requisitos de seguridad de los sistemas de informaciónObjetivo:Qarantizar que la sequridad es parte integral de los sistemas de información.
ControlA.12.1.1Análisis y especificación de
los requisitos de seguridadLas declaraciones sobre los requisitos del negocio
para nuevos sistemas de información o mejoras a lossistemas ex istentes deben especificar los requisitospara los controles de seguridad.A.12.2 Procesamiento correcto en las aplicacionesObjetivo:evitar errores. pérdidas, modificaciones no autorizadas o uso inadecuado de la
informaciónen las aplicaciones.A.12.2.1Validación de los datos deControl
entrada. Se debenvalidarlos datos deentradaalas
aplicaciones para asegurar que dichos datos soncorrectos V apropiadosA.12.2,2Control de procesamientoControl
interno. Se deben incorporar verificaciones de validación enlas aplicaciones para detectar cualquier corrupciónde la información por errores de procesamiento oactos deliberados.
27
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 27001
Tabla A.1. (Continuación)
A.12 ADQUISICIÚN, DESARROllO V MANTENIMIENTO DE SISTEMAS DE INFORMACIÚN
A.12.2.3Integridad del mensaje.Control
Se deben identificar los requisitos para asegurar laautenticidad y proteger la integridad del mensaje enlas aplicaciones, as! como identificar e implementarlos controles adecuados.A.12.2.4
Validación de los datosControlde salida. Se deben validar los datos de salida de una aplicaciónpara asegurar que el procesamiento de la informaciónalmacenada
escorrectoyadecuadoalascircunstancias A.12.3 Controles criptográficos
~tiVO: proteger la confidencialidad, autenticidad o integridad de la información, por
me ¡os criPtoqráficos.A.12.3.1Polftica sobre el uso deControl
controles criptográficos. Se debe desarrollar e implementar una polftica sobreel uso de controles criptográficos para la protecciónde la información.A,12.3.2Gestión de llaves. Control
Se debe implementar un sistema de gestión de
llavesparaapoyarelusodelastécnicas
criptoqráficas por parte de la orqanización.A.12.4 Seguridad de los archivos del sistemaObjetivo: qarantizar la sequridad de los archivos del sistema.
A,12.4.1
ControldelsoftwareControloperativo. Se
debenimplementarprocedimientosparacontrolar la
instalaciónde software en sistemasoperativos.A.12.4.2
Protección de los datosControlde prueba del sistema. Los
datosdeprueba debenseleccionarsecuidadosamente, as! como proteqerse V controlarseA.12.4.3
ControldeaccesoalControl
código
fuentedelos
programasSe debe restringir el acceso al código fuente de los
proaramas.A.12.5 Seguridad en los procesos de desarrollo y soporteObjetivo:
mantener laseguridad del software y de lainformación delsistemadeaolicaciones. A.12.5.1
Procedimientos deControlcontrol de cambios. Se deben controlar la implementación de cambiosutilizando
procedimientosformalesdecontroldecambios. A.12.5.2
Revisión técnica de lasControlaplicaciones después de los
cambiosenelCuando se cambianlos sistemas operativos,lassistema operativo.
aplicaciones criticas para el negocio se deben revisary
someter apruebaparaasegurar quenohayimpacto
adversoenlasoperacionesnienlasequridad de la orqanización.
28
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 27001
Tabla A.1. (Continuación)
A.12 ADQUISICiÓN, DESARROLLO V MANTENIMIENTO DE SISTEMAS DE INFORMACiÓN
A.12.5.3
RestriccionesenlosControl
cambios a los paquetes de software.Se debe desalentar la realización de modificaciones a
los paquetes de software. limitarlas a los cambiosnecesarios. y todos los cambios se deben controlarestricta mente.A.12.5.4Fuga de informaciónControl
Se
debenevitarlasoportunidades paraqueseproduzca fuqa de información.A.12.5.5
DesarrollodesoftwareControlcontratado externamente La
organización debe supervisar ymonitorear eldesarrollo de software contratado externamente.
It1\6 Gestión de la vulnerabilidad técnicaObjetivo: reducir los ries<:¡os resultantes de la explotación de las vulnerabilidades técnicas I ublicadas.
A.12.6.1
Control deControlvulnerabilidades técnicas Se debe obtener información oportuna
sobre lasvulnerabilidades
técnicasdelossistemasde
información que están en uso, evaluar la exposiciónde la organización a dichas vulnerabilidades y tomarlasaccionesapropiadasparatratarlosriesgos
asociados.A.13 GESTiÓN DE LOS INCIDENTES DE LA SEGURIDAD DE LA INFORMACiÓNA.13.1 Reporte sobre los eventos y las debilidades de la seguridad de la informaciónObjetivo:asegurar que los eventos y las debilidades de la seguridad de la información asociados con los sistemas
deinformación se comunican de forma tal que permiten tomar las acciones correctivas oportunamente.A.13.1.1ReportesobrelosControl
eventos de seguridad de la informaciónLos eventos de seguridad de la información se deben
informaratravésdeloscanalesdegestión
apropiados tan pronto como sea posible.A.13.1.2ReportesobrelasControl
debilidades
delaSe debe exigir a todos los empleados, contratistas y
seguridad
usuariosdeterceraspartesdelossistemasyservicios de información que observen y reportentodas las debilidades observadas o sospechadas enlos sistemas o servicios.A.13.2 Gestión de los incidentes y las mejoras en la seguridad de la información
Objetivo:asegurar que se aplica un enfoque consistente y eficaz para la gestión de los incidentes de seguridad dela información.A.13.2.1
ResponsabilidadesyControl
procedimientos Se debenestablecer las responsabilidades ylos
procedimientos
degestiónparaaseguraruna
respuesta rápida. eficaz y ordenada a los incidentesde sequridad de la información.A.13.2.2Aprendizaje debido a losControl
incidentes de seguridad de la informaciónDeben existir mecanismos que permitan cuantificar y
monitorear todos los tipos. volúmenes y costos de losincidentes de se<:¡uridadde la información.
29
NORMATÉCNICA COLOMBIANA NTC-ISO/IEC 27001
Tabla A.1. (Continuación)
A.13 GESTiÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACiÓNA.13.2.3
Recolección de evidenciaControl
Cuando
unaaccióndeseguimientocontraunapersona u organización después de un incidente deseguridad de la información implica acciones legales(civiles o penales), la evidencia se debe recolectar,retener y presentar para cumplir con las reglas para
laevidenciaestablecidasenlajurisdicción
pertinente.A.14 GESTiÓN DE LA CONTINUIDAD DEL NEGOCIOA.14.1 Aspectos de seguridad de la información, de la gestión de la continuidad del negocio
Objetivo: contrarrestar las interrupciones en las actividades del negocio y proteger sus procesos crlticos contra losefectos de fallas importantes en los sistemas de información o contra desastres, y asegurar su recuperaciónOp.ortuna.A.14.1.1
Inclusión de la seguridadControlde la
información enel
proceso de gestión de laSedebedesarrollar ymantenerunprocesode
continuidad del negociogestión para la continuidad del negocio en toda la
organización el cual trate los requisitos de seguridadde la información necesarios para la continuidad delneqocio de la orqanización.A.14.1.2continuidaddelnegocioControl
y evaluación de riesgos Sedebenidentificarloseventosquepueden
ocasionar interrupciones en los procesos del negociojunto con la probabilidad y el impacto de dichasinterrupciones, asl como sus consecuencias para lasequridad de la información.A.14.1.3Desarrollo eControl
implementaciónde
planesdecontinuidadSe deben desarrollar e implementar planes para
que incluyen la seguridadmantener o recuperar las operaciones y asegurar la
de la informacióndisponibilidad de la información en el grado y la
escaladetiemporequeridos,despuésdela
interrupción o la falla de los procesos crlticos para elneqocio.A.14.1.4EstructuraparalaControl
planificacióndela
continuidad del negocioSe debe mantener una sola estructura de los planes
de continuidad del· negocio, para asegurar que todoslosplanessonconsistentes,yconsiderarlos
requisitos de la seguridad de la información de formaconsistente, asl como identificar las prioridades parapruebas V mantenimientoA.14.1.SPruebas,mantenimientoControl
y
reevaluación delosplanes de continuidad del
Los planes de continuidad del negocio se debennegocio
someterapruebasyrevisionesperiódicasparaasegurar su actualización y su eficacia.
30
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 27001
Tabla A.1. (Continuación)
A.15 CUMPLIMIENTO
A.15.1 Cumplimiento de los requisitos legalesObjetivo:
evitarelincumplimientodecualquierley,deobligacionesestatutarias,reqlamentarias o contractuales V de cualquier requisito de sequridad. A.15.1.1
IdentificacióndelaControl
legislación aplicable. Todos los requisitos estatutarios, reglamentariosy contractuales pertinentes, asf como el enfoquede la organización para cumplir estos requisitosse deben definir explfcitamente, documentar ymantener actualizadosparacadasistemade
información v para la orqanizaciónA.15.1.2
DerechosdepropiedadControl
\intelectual (DPI).
Sedebenimplementarprocedimientos
apropiados para asegurar el cumplimiento de losrequisitos legales, reglamentarios y contractualessobre el uso del material con respecto al cualpueden existir derechos de propiedad intelectualy
sobreelusodeproductosdesoftwarepatentados.A.1.5.1.3
Protección de los registros deControl
la organización. Losregistrosimportantessedebenproteger
contrapérdida,destrucción y falsificación,de
acuerdoconlosrequisitosestatutarios,
reqlamentarios, contractuales V del neqocio.A.15.1.4
ProteccióndelosdatosyControl
privacidad de la información personal.Se debe garantizar la protección de los datos y la
privacidad, de acuerdo con la legislación y losreglamentos pertinentes y, si se aplica, con lascláusulas del contrato.A.15.1.5PrevencióndelusoControl
inadecuado de los servicios deprocesa mientodeSe debe disuadir a los usuarios de utilizar los
información.servicios de procesamiento de información para
propósitos no autorizados.A.15.1.6ReglamentacióndelosControl
controles criptográficos. Se debenutilizar controles criptográficos que
cumplan todos los acuerdos,las leyes y los
reqlamentos pertinentes.A.15.2 Cumplimiento de las pollticas y las normas de seguridad y cumplimiento técnicoObjetivo: asequrar que los sistemas cumplen con las normas V polrticas de sequridad de la orqanización ..A.15.2.1
CumplimientoconlasControl
polrticasynormasde
seguridad.Los directores deben garantizar que todos los
procedimientos de seguridad dentro de sus áreasderesponsabilidadsellevanacabo
correctamente para lograr el cumplimiento con laspOlrticas V las normas de sequridad.A.15.2.2Verificación del cumplimientoControl
técnico. Los sistemas de información se deben verificarperiódicamente para determinar el cumplimientoconlasnormasdeimplementacióndela
sequridad.
31
NORMATÉCNICA COLOMBIANA NTC-ISO/IEC 27001
Tabla A.1. (Final)
A.15CUMPLIMIENTOA.15.3 Consideraciones de la auditorfa de los sistemas de información
Control
Los requisitos y las actividades de auditorla queimplican verificaciones de los sistemas operativosse deben planificar y acordar cuidadosamentepara minimizar el riesgo de interrupciones de losprocesos del neqocio.ControlSe debe proteger el acceso a las herramientas deauditorla de los sistemas de información paraevitar su uso inadecuado o ponerlas en peliqro.
Protección de lasherramientas de auditorla delos sistemas de información.
A.15.3.2
Objetivo: maximizar la eficacia de los procesos de auditorfa de los sistemas de informaciónminimizar su interferencia.
A.15.3.1 Controles de auditorla de lossistemas de información.
32
NORMATÉCNICA COLOMBIANA NTC-ISOIIEC 27001
ANEXOB
(1nformativo)
PRINCIPIOS DE LA OCDE y DE ESTA NORMA
Los principios presentados en la Directrices de la OCDE para la Seguridad de Sistemas yRedesde Información se aplican a todos los niveles de polftica y operacionales que controlanla seguridad de los sistemas y redes de información. Esta norma internacional brinda unaestructura del sistema de gestión de la seguridad de la información para implementar algunosprincipios de la OCDE usando el modelo PHV A y los procesos descritos en los numerales 4, 5,6Y8, como se indica en la Tabla 8.1.
Tabla B.1. Principios de la OCOE y el modelo PHV A
\ Principio OCOE Proceso de SGSI correspondiente y fase de PHV ATama de conciencia
EstaactividadespartedelafaseHacer (véanselosnumerales 4.2.2 y 5.2.2)Los participantes
debenestarconscientesdela
necesidad de seguridad de los sistemas y redes de lainformación y de lo que pueden hacer para mejorar laseQuridad.ResponsabilidadEstaactividadesparte delafaseHacer (véanselos
numerales 4.2.2 y 5.1)Todos losparticipantessonresponsablespor la
seQuridadde los sistemas v redes de información.Respuesta~sta es en parte una actividad de seguimiento de la fase
Verificar (véanse los numerales 4.2.3 y 6 a 7.3 y unaLos participantes deberlan actuar de una manera
actividadderespuestadelafaseActuar (véanselosoportuna y en cooperación para evitar, detectar y
numerales 4.2.4 y 8.1 a 8.3). Esto también se puede cubrirresponder ante incidentes de sequridad.
por alqunos aspectos de las fases Planificar y Verificar.Valoración de riesgos
Estaactividad es parte de la fasePlanificar (véase elnumeral 4.2.1) Y la reevaluación del riesgo es parte de laLos participantes deberran realizar valoraciones de
fase Verificar (véanse los numerales 4.2.3 y 6 a 7.3).losriesqos. Diseno e implementación de la seguridad
Una vez que se ha realizado la evaluación de los riesgos, seseleccionan controles para el tratamiento de los riesgosLos participantes deberlan incorporar la seguridad
como parte de la fase Planificar (véase el numeral 4.2.1). Lacomo un elemento esencial de los sistemas y redes
fase Hacer (véanse los numerales 4.2.2 y 5.2) cubre ladeinformación.
implementación y el uso operacional de estos controles.Gestión de la seguridad
Lagestiónderiesgosesunprocesoqueincluyela
prevención,
detecciónyrespuestaaincidentes,
Losparticipantes deberran adoptar un enfoque ampliomantenimiento, auditorras y revisión continuos. Todos estos
haciala gestión de la seguridad.aspectos están cobUados en las fases de Planificar, Hacer,
Verificar y Actuar.ReevaluaciónLa reevaluación de la seguridad de la información es una
parte de la fase Verificar (véanse los numerales 4.2.3 y 6 a 7.3),Los participantes deberranrevisar y reevaluar laendondesedeberranrealizarrevisionesregularespara
seguridad de los sistemas y redes de información, yverificar la eficaciB del sistema de gestión de la seguridad de la
hacer las modificaciones apropiadas a las polfticas,información; y la mejora de la seguridad es parte de la fase
I prácticas, medidas y procedimientos de sequridad.Actuar (véanse los numerales 4.2.4 y 8.1 a 8.3).
33
NORMA TrCNICA COLOMBIANA NTC-ISO/IEC 27001
ANEXO C(1 nformativo)
CORRESPONDENCIA ENTRE LA NTC-ISO 9001:2000, LA NTC-ISO 14001:2004,V LA PRESENTE NORMA
La Tabla C.1 muestra la correspondencia entre la NTC ISO 9001:2000, la NTC-ISO 14001:2004 y lapresente norma internacional.
Tabla C.1. Correspondencia entre la ISO 9001:2000, la ISO 14001:2004 y la presente norma internacional~
Esta norma NTC- ISO 9001 :2000NTC-ISO 14001:2004O.lntroducción
O. IntroducciónIntroducción
0.1~eralidades 0.1
Generalidades
0.2 Enfoque basado en procesos
0.2 Enfoque basado en procesos
0.3 Relación con la norma ISO 90040.3 Compatibilidad con otros sistemas
0.4 Compatibilidad con otros sistemas dede gestión
gestión
1 Objeto
1. Objeto y campo de aplicación1.Objetoycampode
aplicación1.1 Generalidades1.1 Generalidades
1.2 Aplicación
1.2 Aplicación
2 Referencia normativa
2. Referencias normativas2. Referencias normativas
3 Términos y definiciones3. Términos y definiciones3. Términos y definiciones
4. Sistema de gestión de la seguridad4. Sistema de gestión de la calidad4. Requisitos del sistema de
de la informacióngestión ambiental
4.1 Requisitos generales
4.1 Requisitos generales4.1 Requisitos generales"--- 4.2Establecimientoygestióndel
SGSI
4.2.1 Establecimiento del SGSI
-4.2.2 Implementación y operación del
4.4lmplementación y operaciónSGSI
4.2.3 Seguimiento y revisión del SGSI
8.2.3Seguimientoymedicióndelos4.5.1 Seguimiento y mediciónprocesos
8.2.4 Sequimiento V medición del producto4.2.4
MantenimientoymejoradelSGSI
Continúa ...
34
NORMA TÉCNICA COLOMBIANA
Esta norma
NTC-ISO/IEC 27001
Tabla C.1. (Final)
NTC- ISO 9001 :2000 NTC-ISO 14001:2004
4.3 Requisitos de documentación 4.2 Requisitos de la documentación
4.3.1
4.3.2
Generalidades
Control de documentos
4.2.1 Generalidades
4.2.2 Manual de la calidad
4.2.3 Control de los documentos 4.4.5 Control de documentos
4.3.3 Control de re~istros
115.R70nsabilidad de la dirección~ Compromiso de la dirección
5.2 Gestión de recursos
5.2.1 Provisión de recursos
4.2.4 Control de los re~istros5. Responsabilidad de la dirección
5.1 Compromiso de la dirección
5.2 Enfoque al cliente
5.3 Polftica de la calidad
5.4 Planificación
5.5 Responsabilidad, autoridadcomunicación6. Gestión de los recursos
6.1 Provisión de recursos
6.2 Recursos humanos
y
4.5.4 Control de los r~istros
4.2 Polftica ambiental
4.3 Planificación
5.2.2 Formación, toma de conciencia \6.2.2 Competencia, toma de conciencia y 14.4.2 Competencia, formacióny competencia formación y toma de conciencia
6.3 Infraestructura
6.4 Ambiente de traba'o6. Auditorras internas del SGSI 8.2.2 Auditorra interna
7-:-Révisión del SGSI por la dirección I 5.6 Revisión por la dirección
4.5.5 Auditorra interna
4.6 Revisión por la dirección
7.1 Generalidades
7.2 Información para la revisión
7.3 Resultados de la revisión
8. Mejora del SGSI
8.1 Mejora continua
8.2 Acción correctiva
8.3 Acción preventiva
Anexo A Objetivos de control ycontroles
Anexo B Principios de la OCDE y deesta norma
5.6.1 Generalidades
5.6.2 Información para la revisión
5.6.3 Resultados de la revisión
8.5 Mejora
8.5.1 Mejora continua
8.5.2 Acciones correctivas
8.5.3 Acciones preventivas
4.5.3 No conformidad,acción correctiva y acciónpreventiva
Anexo A Orientación para eluso de esta normainternacional
Anexo C Correspondencia entre la NTC-I Anexo A Correspondencia entre las normas I Anexo B CorrespondenciaISO 9001:2000, la NTC-ISO 14001:2004 ISO 9001:2000y la ISO 14001:1996 entre la ISO 14001 :2004 y
I V la presente norma la ISO 9001: 2000
35
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 27001
BIBlIOGRAF(A
[1] NTC-ISO 9001 :2000, Sistemas de gestión de la calidad. Requisitos.
[2] NTC-ISO 14001 :2004, Sistemas de gestión ambiental. Requisitos con orientación para su uso.
[3] NTC-ISO 19011 :2002, Directrices para la auditoria de los sistemas de gestión de la calidady/o ambiente.
[4] GTC 36 Requisitos generales para organismos que realizan evaluación y
~certificación/registro de sistemas de calidad. (ISO/lEC Guide 62)[5] NTC 5411-1 Tecnología de la información. Técnicas de seguridad. Gestión de la seguridad de~ la tecnología de la información y las comunicaciones. Parte 1: Conceptos y modelos para la
gestión de la tecnología de la información y las comunicaciones (ISO/lEC 13335-1 :2004).
[6] ISO/lEC TR 13335-3:1998, Information Technology. Guidelines for the Management ofIT Security. Part 3: Techniques for the Management of IT Security.
[7] ISO/lEC TR 13335-4:2000, Information Technology. Guidelines for the Management ofIT Security. Part 4: Selection of Safeguards.
[81 ISO/lEC TR 18044:2004, Information Technology. Security Techniques. InformationSecurity Incident Management.
[9] ISO/lEC Guide 73:2002, Risk Management. Vocabulary. Guidelines for use in Standards.
Otras publicaciones
[11
[2]
[3]
OECD, Guidelines for the Security of Information Systems and Networks. Towards aCulture of Security, Paris: OECD, July 2002. www.oecd.org.
NIST SP 800-30, Risk Management Guide for Information Technology Systems.
Deming W.E., Out of the Crisis, Cambridge, Mass: MIT, Center for Advanced EngineerigStudy, 1986.
1 36----- .. ----- - -- -
NORMA TÉCNICA COLOMBIANA
DOCUMENTO DE REFERENCIA
NTC-ISO/IEC 27001
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. Information Technology. SecurityTechniques. Information Security Management Systems. Requirements. Geneva. ISO. pp 34(ISO/lEC 27001: 2005)
37