ISO 27001

ESTÁNDAR ISO/IEC

INTERNACIONAL 27001

Primera Edicion

2005 - 10 - 15

Tecnología de la Información – Técnicas de

seguridad – Sistemas de gestión de seguridad

de la información – Requerimientos

Numero de Referencia

ISO/IEC 27001:2005 (E)

2

Tabla de Contenido

Prefacio 4

0 Introducción 5

0.1 General 5

0.2 Enfoque del Proceso 5

Figura 1 – Modelo PDCA aplicado a los procesos SGSI 6

0.3 Compatibilidad con otros sistemas de gestión 7

Tecnología de la información – Técnicas de seguridad – Sistemas de gestión de

seguridad de la información – Requerimientos 8

1 Alcance 8

1.1 General 8

1.2 Aplicación 8

2 Referencias normativas 9

3 Términos y definiciones 9

4 Sistema de gestión de seguridad de la información 12

4.1 Requerimientos generales 12

4.2 Establecer y manejar el SGSI 12

4.2.1 Establecer el SGSI 12

4.2.2 Implementar y operar el SGSI 14

4.2.3 Monitorear y revisar el SGSI 15

4.2.4 Mantener y mejorar el SGSI 16

4.3 Requerimientos de documentación 16

4.3.1 General 16

4.3.2 Control de documentos 17

4.3.3 Control de registros 17

5 Responsabilidad de la gerencia 18

5.1 Compromiso de la gerencia 18

5.2 Gestión de recursos 18

5.2.1 Provisión de recursos 18

5.2.2 Capacitación, conocimiento y capacidad 19

6 Auditorías internas SGSI 19

7 Revisión Gerencial del SGSI 20

3

7.1 General 20

7.2 Insumo de la revisión 20

7.3 Resultado de la revisión 21

8 Mejoramiento del SGSI 21

8.1 Mejoramiento continuo 21

8.2 Acción correctiva 21

8.3 Acción preventiva 22

Anexo A 23

(normativo) 23

Objetivos de control y controles 23

Anexo B 37

(informativo) 37

Principios OECD y este Estándar Internacional 37

Tabla B.1 – Principios OECD y el modelo PDCA 37

Anexo C 39

(informativo) 39

Correspondencia entre ISO 9001:2000, ISO 14001:2004 y este Estándar

Internacional 39

Tabla C.1 – Correspondencia entre ISO 9001:2000, ISO 14001:2004 y este

Estándar Internacional 39

Bibliografía 40

4

Prefacio

ISO (la Organización Internacional para la Estandarización) e IEC (la Comisión Electrotécnica

Internacional) forman el sistema especializado para la estandarización universal. Los organismos

nacionales miembros de ISO o IEC participan en el desarrollo de Estándares Internacionales a

través de comités técnicos establecidos por la organización respectiva para lidiar con campos

particulares de la actividad técnica. Los comités técnicos de ISO e IEC colaboran en campos de

interés mutuo. Otras organizaciones internacionales, gubernamentales y no-gubernamentales,

junto con ISO e IEC, también toman parte en el trabajo. En el campo de la tecnología de la

información, ISO e IEC han establecido u comité técnico conjunto, ISO/IEC JTC 1.

Los Estándares Internacionales son desarrollados en concordancia con las reglas dadas en las

Directivas ISO/IEC, Parte 2.

La tarea principal del comité técnico conjunto es preparar Estándares Internacionales. Los

anteproyectos de los Estándares Internacionales adoptados por el comité técnico conjunto con

enviados a los organismos nacionales para su votación. La publicación de un Estándar

Internacional requiere la aprobación de por lo menos 75% de los organismos nacionales que

emiten un voto.

Se debe prestar atención a la posibilidad que algunos elementos de este documento estén sujetos

a derechos de patente. ISO e IEC no deben ser responsables de la identificación de algún o todos

los derechos de patentes.

ISO/IEC 27001 fue preparado por el Comité Técnico Conjunto ISO/IEC JTC 1, Tecnología de la

información, Subcomité SC 27, Técnicas de seguridad TI.

5

0 Introducción

0.1 General

Este Estándar Internacional ha sido preparado para proporcionar un modelo para establecer,

implementar, operar, monitorear, revisar, mantener y mejorar un Sistema de Gestión de Seguridad

de la Información (SGSI). La adopción de un SGSI debe ser una decisión estratégica para una

organización. El diseño e implementación del SGSI de una organización es influenciado por las

necesidades y objetivos, requerimientos de seguridad, los procesos empleados y el tamaño y

estructura de la organización. Se espera que estos y sus sistemas de apoyo cambien a lo largo

del tiempo. Se espera que la implementación de un SGSI se extienda en concordancia con las

necesidades de la organización; por ejemplo, una situación simple requiere una solución SGSI

simple.

Este Estándar Internacional puede ser utilizado por entidades internas y externas para evaluar la

conformidad.

0.2 Enfoque del Proceso

Este Estándar Internacional promueve la adopción de un enfoque del proceso para establecer,

implementar, operar, monitorear, revisar, mantener y mejorar el SGSI de una organización.

Una organización necesita identificar y manejar muchas actividades para poder funcionar de

manera efectiva. Cualquier actividad que usa recursos y es manejada para permitir la

transformación de Insumos en outputs, se puede considerar un proceso. Con frecuencia el output

de un proceso forma directamente el Insumo del siguiente proceso.

La aplicación de un sistema de procesos dentro de una organización, junto con la identificación y

las interacciones de estos procesos, y su gestión, puede considerarse un ‘enfoque del proceso’.

Un enfoque del proceso para la gestión de la seguridad de la información presentado en este

Estándar Internacional fomenta que sus usuarios enfaticen la importancia de:

a) entender los requerimientos de seguridad de la información de una organización y la

necesidad de establecer una política y objetivos para la seguridad de la información;

b) implementar y operar controles para manejar los riesgos de la seguridad de la

información;

c) monitorear y revisar el desempeño y la efectividad del SGSI; y

d) mejoramiento continúo en base a la medición del objetivo.

Este Estándar Internacional adopta el modelo del proceso Planear-Hacer-Chequear-Actuar

(PDCA), el cual se puede aplicar a todos los procesos SGSI. La Figura 1 muestra cómo un SGSI

6

Partes

Interesadas

Requerimientos

y expectativas

de la seguridad

de información

Partes

Interesadas

Seguridad de

información

manejada

toma como Insumo los requerimientos y expectativas de la seguridad de la información de las

partes interesadas y a través de las acciones y procesos necesarios produce resultados de

seguridad de la información que satisfacen aquellos requerimientos y expectativas. La Figura 1

también muestra los vínculos en los procesos presentados en las Cláusulas 4, 5, 6, 7 y 8.

La adopción del modelo PDCA también reflejará los principios tal como se establecen en los

Lineamientos OECD (2002)1 que gobiernan los sistemas y redes de seguridad de la información.

Este Estándar Internacional proporciona un modelo sólido para implementar los principios en

aquellos lineamientos que gobiernan la evaluación del riesgo, diseño e implementación de

seguridad, gestión y re-evaluación de la seguridad.

EJEMPLO 1

Un requerimiento podría ser que las violaciones de seguridad de la información no causen daño

financiero a la organización y/o causen vergüenza a la organización.

EJEMPLO 2

Una expectativa podría ser que si ocurre un incidente serio –tal vez el pirateo del web site

eBusiness de una organización- debería contarse con las personas con la capacitación suficiente

en los procedimientos apropiados para minimizar el impacto.

Figura 1 – Modelo PDCA aplicado a los procesos SGSI

1 Lineamientos OECD para Sistemas y Redes de Seguridad de la Información

– Hacia una Cultura de Seguridad. Paris: OECD, Julio 2002. www.oecd.org.

Plan

Desarrollar,

mantener y

Hacer mejorar el Actuar

ciclo

Chequear

Establecer el

SGSI

Implementar

y operar el

SGSI

Mantener

y mejorar

el SGSI

Monitorear y

revisar el

SGSI

7

Planear

(establecer el

SGSI)

Establecer política, objetivos, procesos y

procedimientos SGSI relevantes para

manejar el riesgo y mejorar la seguridad

de la información para entregar resultados

en concordancia con las políticas y

objetivos generales de la organización.

Hacer

(implementar y

operar el SGSI)

Implementar y operar la política,

controles, procesos y procedimientos SGSI.

Chequear

(monitorear y

revisar el SGSI)

Evaluar y, donde sea aplicable, medir el

desempeño del proceso en comparación con

la política, objetivos y experiencias

prácticas SGSI

...