ISO 27001
Enviado por LigiaGuardado • 26 de Agosto de 2014 • 10.112 Palabras (41 Páginas) • 193 Visitas
ESTÁNDAR ISO/IEC
INTERNACIONAL 27001
Primera Edicion
2005 - 10 - 15
Tecnología de la Información – Técnicas de
seguridad – Sistemas de gestión de seguridad
de la información – Requerimientos
Numero de Referencia
ISO/IEC 27001:2005 (E)
2
Tabla de Contenido
Prefacio 4
0 Introducción 5
0.1 General 5
0.2 Enfoque del Proceso 5
Figura 1 – Modelo PDCA aplicado a los procesos SGSI 6
0.3 Compatibilidad con otros sistemas de gestión 7
Tecnología de la información – Técnicas de seguridad – Sistemas de gestión de
seguridad de la información – Requerimientos 8
1 Alcance 8
1.1 General 8
1.2 Aplicación 8
2 Referencias normativas 9
3 Términos y definiciones 9
4 Sistema de gestión de seguridad de la información 12
4.1 Requerimientos generales 12
4.2 Establecer y manejar el SGSI 12
4.2.1 Establecer el SGSI 12
4.2.2 Implementar y operar el SGSI 14
4.2.3 Monitorear y revisar el SGSI 15
4.2.4 Mantener y mejorar el SGSI 16
4.3 Requerimientos de documentación 16
4.3.1 General 16
4.3.2 Control de documentos 17
4.3.3 Control de registros 17
5 Responsabilidad de la gerencia 18
5.1 Compromiso de la gerencia 18
5.2 Gestión de recursos 18
5.2.1 Provisión de recursos 18
5.2.2 Capacitación, conocimiento y capacidad 19
6 Auditorías internas SGSI 19
7 Revisión Gerencial del SGSI 20
3
7.1 General 20
7.2 Insumo de la revisión 20
7.3 Resultado de la revisión 21
8 Mejoramiento del SGSI 21
8.1 Mejoramiento continuo 21
8.2 Acción correctiva 21
8.3 Acción preventiva 22
Anexo A 23
(normativo) 23
Objetivos de control y controles 23
Anexo B 37
(informativo) 37
Principios OECD y este Estándar Internacional 37
Tabla B.1 – Principios OECD y el modelo PDCA 37
Anexo C 39
(informativo) 39
Correspondencia entre ISO 9001:2000, ISO 14001:2004 y este Estándar
Internacional 39
Tabla C.1 – Correspondencia entre ISO 9001:2000, ISO 14001:2004 y este
Estándar Internacional 39
Bibliografía 40
4
Prefacio
ISO (la Organización Internacional para la Estandarización) e IEC (la Comisión Electrotécnica
Internacional) forman el sistema especializado para la estandarización universal. Los organismos
nacionales miembros de ISO o IEC participan en el desarrollo de Estándares Internacionales a
través de comités técnicos establecidos por la organización respectiva para lidiar con campos
particulares de la actividad técnica. Los comités técnicos de ISO e IEC colaboran en campos de
interés mutuo. Otras organizaciones internacionales, gubernamentales y no-gubernamentales,
junto con ISO e IEC, también toman parte en el trabajo. En el campo de la tecnología de la
información, ISO e IEC han establecido u comité técnico conjunto, ISO/IEC JTC 1.
Los Estándares Internacionales son desarrollados en concordancia con las reglas dadas en las
Directivas ISO/IEC, Parte 2.
La tarea principal del comité técnico conjunto es preparar Estándares Internacionales. Los
anteproyectos de los Estándares Internacionales adoptados por el comité técnico conjunto con
enviados a los organismos nacionales para su votación. La publicación de un Estándar
Internacional requiere la aprobación de por lo menos 75% de los organismos nacionales que
emiten un voto.
Se debe prestar atención a la posibilidad que algunos elementos de este documento estén sujetos
a derechos de patente. ISO e IEC no deben ser responsables de la identificación de algún o todos
los derechos de patentes.
ISO/IEC 27001 fue preparado por el Comité Técnico Conjunto ISO/IEC JTC 1, Tecnología de la
información, Subcomité SC 27, Técnicas de seguridad TI.
5
0 Introducción
0.1 General
Este Estándar Internacional ha sido preparado para proporcionar un modelo para
...