Scribd Logo
Fazer o upload

Bem-vindo(a) ao Scribd!

  • ISO 27001-2013 Español

    Enviado por

    Chaucer López
    3K visualizações36 páginas
    Estandar de Chile basado en la ISO 27001-2013

    Título original

    ISO 27001-2013 español

    Direitos autorais

    © © All Rights Reserved

    Formatos disponíveis

    PDF ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Denunciar este documento
    Estandar de Chile basado en la ISO 27001-2013

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    3K visualizações36 páginas

    ISO 27001-2013 Español

    Enviado por

    Chaucer López
    Estandar de Chile basado en la ISO 27001-2013

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    de 36
    NCh-ISO 27001:2005 - Seguridad de la informacion Tecnologia de la informacién - Técnicas de seguridad Sistemas de gestién de la seguridad de la informacion - Requisitos USO EXCLUSIVO PARA EL ENTRENAMIENTO e making excellence a habit" bsi. NORMA NCh-ISO 27001 CHILENA Segunda esicion 2013.1025 Tecnologia de la informacion - Técnicas de seguridad - Sistemas de gestion de la seguridad de la informacion - Requisitos Information technology - Security techniques - Infermation security _management systems - Requiremonts Namere dereference Nhiso 270012013 Onn2013 NORMA CHILENA NCh-ISO 27001:2013 AN DOCUMENTO PROTEGIDO POR COPYRIGHT omn2or9 Derechos de aor La presente Norma Cena se encuentra prolegide por derechos de eto capyiht, po feu, no puede sr teproducda o lizada th uaigule forms por cusluler medio, secnio 9 mecsneo, ip parmio ego del NN. La pubkceca en inemel se nove prohiday ponads po ay ‘Se dj exgesecnstnca qu en cao de aut agin doivent en foalo mpreso, ere puede sx copiado neon, gtalatn 0 ‘Shnetes) en cng fms. Bap nnpuna eunsonc pods se fever, Asma sh eu dobsta ene pafo at, os ‘ouumonor adits eto pl ene adxzada sl ura mprestn po arsivo, para Uso persona del Cm, El Cena corado ura ‘Sta ean do usuario pra gus ela acs eau congulas peeonal lus conparo de esos archi et prohi, sa ue se ‘Rata s roves do evs Stecsereas por cae deeonea copa en CD, puteasn enivarate mel y sues. ‘51 tene abu deta en elacié cons condones nls eda, used ene alguna preg can eepect aos dracos de aus, por ‘aur coat asian reasén Instute Nasional de Normals NN Matias Cousto 8, plso€»Santago de Chile ‘Tel 58 2445 8800 Fax 86.2441 0420 Corre Elerion evominns} Sito Web wavulon.ct Publeado en Chile MA CHILENA, Nch-IS0 27001:2013 Contenido Pagina Preambulo, © Introduectén, 04 General 0.2 Compatibilidad con otras normas de sistema de gestién 1 Alcance y campo de aplicacién 2 Referencias normativas.. 3 Términos y definiciones. 4 Contexto de la organizacién 4.1 Comprender la organizacion y su contexto 4.2 Comprender las necesidades y expectativas de las partes interesadas. 4.3 Determinar ol alcance del sistema de gestién de la seguridad de la informacion, 44 Sistema de gestién de la seguridad de la informacién. 5 Lideraego. 54 Liderazgo y compromiso. 52 Politica, 5.3 Roles organizacionales, responsabilidades y autoridades.. 6 Planificacién 6.1 Acciones para abordar jos fiesgos y las oportunidades 6.2 Objetivos de seguridad de la informacién y planificacién para lograrlos 7 Apoyo 7A Recursos. 7.2 Competencias 73 Conocimiento. 74 — Comunicacin, 78 — Informacién documentada 8 Operacién... 84 Control y pianificacion operacional ... 8.2 Evaluacién de riesgo de la seguridad de la informacion, 8.3 Tratamiento de riesgo de la seguridad de fa informacién.. 9 Evaluacién de desempefio 110 84 Monitoreo, medicién, andlisis y evaluacin. 10 92 Auditoria interna, 7 10 93 Revisién de gestién 4 10 Mejora... = 1 10.1 No conformidades y acciones correctivas a : 4 10.2 Mejora continua. : 2 ‘Anexos ‘Anexo A (notmativo) Objotives de control de referencia y controles. ‘Anexo B (informativo) Bibliogratia ‘Anexo C (informativo) Justiicacién de los cambios editoriales {© INN 2013 Todos os derechos reservaos i NORMA CHILENA NCh4SO 27001:2013 Tecnologia de la informacién - Técnicas de seguridad - Sistemas de gestidn de la seguridad de la informacién - Requisitos Preambulo El Instituto Nacional de Normalizacion, INN, es el organismo que tiene a su cargo el estusio y preparacién de las nommas. técnicas a nivel nacional. Es miembro de la INTERNATIONAL ORGANIZATION FOR STANDARDIZATION (\SO) y de la COMMISION PANAMERICANA DE NORMAS TECNICAS (COPANT), representando a Chile ante esos organismos, Esta norma se estudié por el Comité Técnico Conjunto de caracteres y codificacién, y define los requetimientos para establecer, implementar, mantener y mejorar de manera continua un sistema de gestién de la seguridad de la informacién, dentro del contexta de la organizacién. Esta norma es idéntica a la version en inglés de le Noma ISONEC 27001:2013 Infomation technology ~ ‘Security téctifiques - Information security management systems - Requirements. La Nota Explicativa incluida en un recuadro en clausula 2 Referencias normativas y Anexo 8 Bibliografia, es Lun cambio editorial que se incluye con el propésito de informar la correspondencia con Norma Chilena de las Normas Internacionales citadas en esta noma, Para los propésites de esta norma, se han realizado los cambios editoriales que se indican y justiican en Anexo C. Los Anexas B y C no forman parte de la norma, se insertan sélo a titulo informative, Sibien se ha tomado todo el cuidado razonable en la preparacién y revisién de los documentos normativos producto de la presente comerciaizacion, INN no garantiza que el contenido del decumento es actualizado 0 fexacto 0 que el dacumento seré adecuado para los fines esperados por el Cliente. En la medida permitida por fa legislacién apticable, el INN no es responsable de ningun dato directo, inditecto, punitivo, incidental, especial, consecuencial o cualquier datio que surja o esté conectado con el uso .€l uso indebido de este documento, Esta norma ha sido aprobada por el Consejo del Instituto Nacional de Normalizacién, en sesién efectuada el 25 de octubre de 2013. {© INN 2019 - Todos oe derechos rsaruados NORMA CHILENA. NCh4SO 27001:2013 Tecnologia de la Sistemas de ges! Requisitos iformacién - Técnicas de seguridad - in de la seguridad de la informacién - OIntroduccién 0.1 General Esta norma ha sido preparada para proporcionar los requisites para establecer, implementar, mantener y ‘mejorar de manera continua un sistema de gestion de la seguridad de la informacion, La adopcién del sistema de gestion de la seguridad de la informacin es una decision estratégica para una organizacion. El establecimiento © implementacién de un sistema de gestion de la seguridad de la informacion de la ‘organizacién esté infuenciada por las necesidades y objetivos de la organizacion, los requisitos de seguridad, los procesos organizacionales utiizados y el tamafio y Ia estructura de la organizacién. Se espera que todos estos faciores de influencia cambien con al tiempo. El sistema de gestiin de la seguridad de la informacién conserva la confidencialidad, integridad y disponibiidad de la informacién al aplicar un proceso de geslion de riesgo y le entrega canfianza a las partes interesadas cuyos riesgos son gestionados de manera adecuada, Es importante que el sistema de gestién de seguridad de la informacién sea parte de y este integrado a los procesos de la organizacion y a la estructura de gestion general y que la seguridad de la informacin sea considerada en el disefio de procesos, sistemas de informacion y contrales. Se espera que la implementacion del sistema de gestion de la seguridad de la informacién sea escalada segin las necesidades de la organizacién, Esta norma puede ser usada por las partes intemas y extemas para evaluar la capacidad de la organizacién para cumplir con los propios requerimientos de seguridad de la informacién de la organizacién, El orden en que se presentan los requerimientas en esta norma no rafleja su importancia ni implica el orden ‘en que serén implementados. La lista de elementos esté enumerada solo camo referencia, ISONEC 27000 describe las generalidades y el vocabulario de los sistemas de la gestién de la seguridad de {a informacion, relacionando la familia del sistema de gestion de la seguridad! de la informacion de las normes {ineluidos ISO/IEC 27003, ISOMEC 27004 e ISO/IEC 27008), con los terminos y definiciones relacionados, 0.2 Compatibilidad con otras normas de sistema de gestion Esta norma aplica la estructura de alto nivel, fos titulos de sub-clausula idénticos, el texto idéntico, los: téiminos en comin y as definiciones clave definidas en Anexo SL. de las Directivas de ISO/IEC, Parte 1 Suplemento 1SO Consolidado y por lo tanto, mantiene la compaliblidad con olras normas dal sistema de sgestién que Anexo SL adopts. Este enfoque comin defiido en Anexo SL sera util para aquellas organizaciones que opten por trabajar con ln solo sistema de gestidn que cumpla con los requisites de dos o mas normas del sistema de gestin. [© INN 2013. Todos os derechos reservados 1 NCh4SO 27001:2013 NORMA CHILENA 4 Alcance y campo de aplicacién Esta norma define fos requerimientos para establecer, implementar, mantener y mejorar de manera continua tn sistema de gestion de la segutidad de la informacion, dentro del contexto de la organizacién. Esta norma incluye ademas los requisios para la evaluacién y tratamiento de los riesgos de la seguridad de la informacion que se adapta a las necesidades de la organizacién. Los requisitos definidos en esta norma son {enérieos y tienen por objetivo ser aplicables a todas las organizaciones, sin importar el tipo, tamario hialuraleza, A excepeién de los requisites especticados en clausulas 4 a la 10, no es aceptable cuando una ‘organizacion reclama la conformidad de esta norma, 2 Referencias normativas En este documento se hace referencia en forma narmativa a los siguientes documentos, completos 0 parte de ellos, los que son indispensables para su aplicacién. Para referencias con fecha, s6lo aplica ta edicién Gitada. Para referencias sin fecha, se aplica la iltima edicién del documento referenciado (incluyendo ‘cualquier enmienda). Isontec 27000 Information technology - Security techniques - Information security ‘management systems - Overview and vocabulary. NOTA EXPLICATIVA NACIONAL La equivalencia de fa Norma Intemacional sefialada anterionmente con Norma Ghilena, y su grado de ‘correspandencia es el siguiente: Norma Internacional Norma nacional Grado de correspondencia | [[Bo1ec 7000, Nonay ; 3 Términos y definiciones Para los propésites de este documento, se aplican los téminos y definiciones proporcionados en ISOMEC 27000. 4 Contexto de la organizacion 4.4 Comprender la organizacién y su contexto (asses) La organizacion debe determinar los asunios extemos © ntemos que son importantes para su objetivo y que lafecte su capacidad para lograr e(los) Fesultado(s) esperado(s) de su sistema de gestién de la seguridad de {a informacién. NOTA. Delenminar estos asuntos se rele a establecer al contexto externa e interna de fa orgarizacion, considerado en 180 31000:2008, 5.3. 2 ‘© NN 2018 Toso os derechos reservados NORMA CHILENA, NCh1So 27001:2013 4.2. Comprender las necesidades y expectativas de las partes interesadas La organizacién debe determina 8) as parts interesadas que con portnentes para el sistema de gestin de la seguridad de la informacion: y ) os requisitos de estas partes interesadas quo sean pertinentes para la seguridad de a informacion NOTA Los requisites de las partes interesadas pueden incr requerimientos logales y regulators, ast como ‘obigaciones contractusles, 4.3 Determinar el alcance del sistema de gestién de la seguridad de la informacion La organizacion debe determinar los limites y la aplicablidad del sistema de gestion de la seguridad de la informacion para ostablecer su alcance, Al determinar este alcance, la organizacion debe considerar: a} los asuntos externos e internos tratados en 4.1 b)- los requerimientos tatados en 42: y no tee ES ° Giecocidy ddependencias entre las actividades realizades por la organizacién y aquelias realizadas por alias orgenizaciones. El alcance estara disponible como informacién documentada. 4.4 Sistema de gestion de la seguridad de la informacion La organizacién debe establecer, implementar, mantener y mejorar de manera continua un sistema de gestion de la seguridad dela informacion, segin los requerimientos de esta norma, 5 Liderazgo 5.4 Liderazgo y compromiso La ata direccién debe demostrar liderazgo y compromiso con respecto al sistema de gestion de la seguridad de la informacion a 4) _segurar que los objetivos de la politica de seguridad de la informacion y la seguridad de la informacion 0 establezcan y sean compatibles con la direccién estratégica de le organizacin; b) _asegurar la integracién de tos requisitos del sistema de gestion de la seguridad de la informacién a los procesos de la organizacién; ©) asegurar que los recursos necesarios para el sistema de gestion de la seguridad de la informacion estan disponibles; 4) comunicar fa importancia de la gestion de seguridad de la informacion efectiva y del cumplimiento de los requisitos de! sistema de gestion de la seguridad de la informacin, @) asegurar que el sistema de gestiin de la seguridad de fa informacion logre su(s) resuitado(s) esperado(s *retenie wes) ‘INN 2013 - Toss ls derechos reservados ) Nch-ISO 27001:2013 NORMA CHILENA f) divgiry apoyar a las personas para que contribuyan a la eficacia del sistema de gestion de la seguridad de ia informacion; 9) promover fa mejora continua; y hh) apoyar otros roles de geslién relevantes para demostrar su liderazgo, segin corresponda a sus éreas de responsabilidad, 5.2 Politica L2alla direecién debe establecer una politica de seguridad de la informacién que 8) es pertinente al objetivo de la organizacion, 'b) _incluya los objetivos de seguridad de la informacion (consulte 6.2) 0 que proporcione el marco de trabajo para establecer los objetivos de seguridad de la informacién; ©) incluye un compromiso para satisfacer los requisitos aplicables, relacionados a la seguridad de la informacion: y 4) _incluya un compromiso para la mejora continua del sistema de gestidn de la seguridad de la informacion, La politica de seguridad de la informacién debe: (©) estar disponible como informacién dacumentada; 1) ser comunicada dentro de la organizacién: y 19) estar cisponible para las partes interesadas, segin corresponda, 5.3 Roles organizacionales, responsabilidades y autoridades Lata direccién debe asegurar que las responsabilidades y las autoridades para los roles pertinentes a la ‘seguridad de la informacién son asignados y comunicados. L2alla direccién debe asignar la responsabilidad y la autoridad par a) asegurar que el sistema de gestion de la seguridad de la informacion cumple con los requisites de esta norma; y ) _infomar a fa alta direccién sobre ol desempetto del sistema de gestion de la seguridad de la informacién, NOTA Ademds, a aia gireocion puede asignar responsablidades y autoridades para informar sobre e! desemperio dot sistema de gestién de la seguridad de fa informacion dentro de la arganizacin. 6 Planificacién 61 Acciones para abordar los riesgos y las oportunidades 6.1.1 General ‘Al planificar el sistema de gestion de la seguridad de la informacion, la organizacién debe considerar los ssuron imino on 4.1 y lo requis tetcos on 42.y delenina lon HoagonY opotiniaden se a) asagurar que el sistema de gestion de la seguridad de la informacién pueda lograr su(s) resultado(s) esperado(s); 4 (© NK 2013. Todos los derechos reservados NORMA CHILENA NCh4SO 27001:2013 1) _evitaro dtaminuir efectos no deseados: y )ograr una mejora continua La organizacén debe planiicar 1d) acciones para abordar estos rlesgos y oportunidades: y ©) cme 41) integrar © implementar las acciones en los procesos del sistema de gestion de la seguridad de la formacin; y 2) evaluar la eficacia de estas acciones, 6.1.2 Evaluacién de riesgo de la seguridad de la informa La organizacién debe defini y aplicar un proceso de evaluacién de riesgo de la seguridad de la informacion que @)_establezca y mantenga los criterios de rlesgo de la seguridad de la informacion que incluya: 1) os criterios de aceptacién del riesgo: y 2) los criterios para realizar las evaluaciones de riesgo de la seguridad de la informacién, b) asegure que las evaluaciones de riesgo de la seguridad de la informacién, producen resultados consistentes, vidos y comparablas, una y otra vez; ©) identifica fos rlesgos de ta seguridad de Ia informacién: 1) aplica el proceso de evaluacién del riesgo de la seguridad de Ia informacién para identificar los, ‘iesgos asociados a la pérdida de la confidencialidad, integridad y cisponibildad para la informacién, dentro del alcance del sistema de gestion de la seguridad de la informacion; y 2) identifica los propietarios del riesgo; 44) analiza los riesgos de la seguridad de la informacion: 1) evalia las posibles consecuencias que podrlan resuitar si los riesgos identiicados en 6.1.2 ¢) 1) se hicieran realidad; 2) evalda la probablidad realista do la courrenela de los riesgos identicads en 6.1.2.) 1):y 3). determina ls niveles de riesgo; €)_ eval los riesgos de la seguridad de fa informacion 1) compara los resultados dl andisis de riesgo con los crterios de riesgo definidas en 6.1.2 a) y 2) rioriza los resgos analizados para el tratamiento de riesgo {La organizacién cote conservar la informacién documentada acerca del proceso de evaluacion de riesgo de la seguridad de la informacién, 1©1NN 2018. Todos ls derechoe resenadce 5 NChISo 27001:2013 NORMA CHILENA 6.4.3 Tratamiento de riesgo de la seguridad de la informacion ‘La organizacién debe definiry aplicar un proceso de tratamiento de riesgo de la seguridad de la informacién paral 4) seleccionar las opciones apropiadas de tratamiento de riesgo de la seguridad de la informacién, tomando fen consideracién los resulladas de la evaluacién de riesgo; b) determinar todos los controles que son necesarios para implementar las opciones de tratamiento de Tiesgo de la seguridad de la informacion escogida, © Kenticarlos desde cualquier fuente. NOTA Las organizaciones pueden disefar controles, segin sea necesari ©) comparar los controles definidos en 6.1.3 b) més arriba con aquellos en Anexo A y verifcar que ningtin control necesario fue omitid; aaa NOTA 1 Anexo A contiene una completa lista de objetivas de control y cantroles. Los usuarios de esta norma son J611 [deta seguidad dela |Todas las responcabildades de la seguildad de la informacién deben se etormacién definidas y asignadas, contrat - mnciones. |S° eben segregar tas funciones y las éreas de responsabilidad para reduc] A812 [Searegacin de finciones 55 Sparunidades do modticaiones no multzadat 0 na ienconlen a uso inadecuado de ls actvos dela rganizacion, Contos }A.6.1.3 [Contacto con autoridades [Se deten mantener los cantactos apropiads con las autorlades pertinentes. contro! Ja.6.1.4 [Contacto con grupos {Se deben mantener los contactos apropiados con los giupos especiales de TN" especiales de interés interés u otros foros especializadas en seguridad, asi como asociaciones dk profesionales, ‘eontina) ‘© INN 2019 - Todos los derechos reservados: 13 NCh-4S0 27001:2013 NORMA CHILENA Tabla At - Objetivos de control y controles (continuacién) Jen la gestion de proyecto [A.6.2 Dispostvos males y abajo remota Seguridad de le informacit contrar [Se debe abordar la seguridad de la informacion en la gestion de proyecte, si] mpontarel ipo de proyecto Objetvo:garantzar la seguridad del abajo remoto y el uso de dispostivos méuies Poltica de dleposttvas mévies (Contras [Se debe adoptar una police y medidas de apoye a fa seguridad para gestionad los iesgos presentados al usar dispostivos méviles 4.62.2 [Trabajo remoto Contres [Se debe implementar una politica y medidas de apoyo a la seguridad par protager Ia Informacion a la que se accede, provesa o almacena en los lugares de trabajo remoto. 7 Seguridad igada aos recursos humanos, [a7 Provo al empleo ios cualas estin elendo coneiderados objetivo: Asegurar que los empleados y contralistas entendan sus responsablldades, y que sea aptos para los roles par lazta | seleecion [Contos [Se debe realizar la veriieacion de anlecedentes en todas las candidato al empleo, de acuerdo con las leyes, regulaciones y noimas éticas relevantes len proporcion a los requisites del negocio, la casicacion de la informacion ser accedila,y las riesgos peribios, A712 Tha relaciontaorat [Términos y condiciones de |Los acuerdos contractual con los emploados y cont contro! dba indir su Iesponsabiidades y las de la organizacién en cuanto a segutdad de | informacion. [7.2 Durante el empleo Seguridad dela informacion [objetivo: Asegurar que los empleados y contatistas estén en conocimiento y cumplan con sus responsabllidades dd] la.72.1 [Responsabildades de contro! {La direceitn debe sobictars todos los empleados y contraistas que apliquen I resem sgutiad toa womacin seer con lr pales precede estos por ergnizacn, con Fredos le empleados de la oganizatn, yn donde sta pein lazon [Orellana atten recht” fomacianacectada en connoraasen " Pefemacien en se9urte scuazaciones regulares en polieas y_procedimientos organizaconales erinertes archon sb Sin 14 (© 12089 -Ta rco ss NORMA CHILENA NChISo 27007 013 Tabla A.1 - Objetivos de control y controles (continuscién) [Contes ces discipinaro _|Debe exis un proceso dicipnato formal y sabio por los enplesdos pa ae eee seers mente oem eh Ja Seguridad de a informacten, A.7.3 Desvinculacion y cambio de empleo Objetvo: Proteger ls intereses de Ia organizacién como parla del proceso de cambio o desvincilaciin del empleo, ener Inzax [oesesatattes ot Hse deben dat ycomuncar as rexpensbideesytnclones de a segue esse in vomactn gue sgn en vigor dxputs det esvinatacn oan " de retacion laboral, 5.8 Adminisvacion de actives [4.8.1 Responsabildad por os actives Objetve denticar los actvos de la organizacin y defn las responsabiidades de prolaccin pertinentes conos Los actives asociades a fa informacién y a ls instalaciones de procesamient [o%1 mentaiode actvos ft miomacsn eben ser enemies y se Joven anenery rains uf inventario de cichos actos, ‘Contos A812 |Propiedad de los activos _|Los actvos que se mantienen en inventatio deben pertenecer a un duo. Conirat J4.0.1.3 [U8 aveptable de oySe deben identiicar, documentar e implementar las reglas para el us actos Jaceptable de Ia informacion y los actives aociados con la informacion y la] instalaciones de procesamiento de informacion. Contra! }Todos tos empleados y usuarios de terceras partes deben devolver fodos lo A814 |Devolucionde activos — Jactvos pertenecienies a la organizacion que estén en su poder com consecuencia de a naizacion de su relacion labora, contrato 0 acuerdo, [A.8.2 Clasifioacion dela informacion Cojetive: Asegurar que Ia informacion rece of nivel de protecsin adecuado, segin su importanda para la organizacion [Contos 1. a informacity “2 informaci6n debe ser clasfcada en términos de requisits legales, valor cman | pemeacaiem ees ciel camsenind oa wrcnigacion srecineavon er eacaaer contro! Ja.8.2.2 | e¥quetado dot infomacion|S* Sebe desarrolar © inplementar un conjunio apropiado de procedimient nformacién adoptado por la organizacien. Para el elquelado de la informacién, de acuerdo al esquema de casifeacién 4 ‘fonts {@INN 2019 -Todos los dorechoe reserves 15 NCh-ISO 27001:2013 NORMA CHILENA Tabla A.A - Objetivos dle control y controles (cantinuacién) A823 [Manejo de actives [contrat [Se deben desarrolar © implementar los procedimientos para ot manejo actvos, de acuerdo al esquema de clasficacio de informacién adoplado por lorganizacion, 8.3 Manejo de os medios objetivo: Pevenic la divugacién no autorizada, mosificacion, eiminacion o destiuccién de ta informacién almacenada er} os macios. fa.2.3.1 [Gestiondetos mesios — [Contro! removibles {Se deben implementar fs procecinentos para ts gestion de los med| femovibles, de acuerdo al esquema de dlasifcacion adoptado por I lorganizacién. A832 [Eliminacién de tos medio | contro! [se deben elminar los medios de forma segura y sin peligro cuando no se necesien mds, usando pracedimientos formales n.8.3.3 [Transferencia tsica de [Control medios Los medias que contengan infornacién se deben proleger conta acceso ni autorizado, uso inadecuado © cortupcén durante el anspor. JA.9 Control de acceso. [A..1 Requistos de negocio para el control de acceso Objetve: Restringle el acceso a a informacion y a as instalaclonas do procesamiento de informacion. aca [Paltca de contol de (controt Se debe establecer, documentary evisar una pola de control de acces lbasadas en los requistos del negocio y de seguridad dela informacion. servicios de a red contre! Jact.2 — |Aceesos alas redesy 105}, 9. usuarios solo deben tener acceso directo ala red y als servicios de ta red} para los que han sido autrizadas especticamente A.9.2 Gestion de acceso del usuario. Ojetvo: Asequrar el acceso de usuarios autorizados y evar el acceso sin autrizacién alo sistemas y servicios acceso privilegiados Re lacién | ae aos [Regetoycansacon do |5 ane implement un prooeso de reise cancelacin de regsto of id jusuario para habilitar la asignacion de derechos de acceso. contr JAsigracin de acceso de |oebe exist un procedinint fomal de asgnacién de aczasa do usuario pat 8922 sure ogra orevcar ox techs de aces para fotos oe pos do ua, ado sistemesy so, i, ont 9.2.3 [Gestion de derechos d Is. debe resting y controlar la asignacién y uso de los derechos de acces prvilegiado, 16 Teontnday ©INN 2019 -Todos lo derechos eservados NORMA CHILENA NCh4SO 27001:2013 Tabla A.1 - Objetivos de control y controles (continuacién) [Gestén de informacion [Control d S24 Jeecrota de avlenticacién de|se dobe controlar la asignacién de Informacién de aulenicacién secre usuarios [mediante un proceso de gestisn forma contrat aozs —[ievstndeseederechos Iho propitaios de acivos deben revlsar fos derechos de acceso de J aecesode usuario | suaros de manera periéica Contat Etiminaciono aste do tos [5° #eben rettar fos derechos de acceso de todos los empleados y usuarios lao26 Jexternos. a la informacion y a las instalaciones de procesamiento fewstosceasieso Iromacn, ina ves qe tre actn abo! conus see] sjuste segin ol cambio, [4.2.3 Responsabligades del usuario Objetivo: Responsabilizar als usuatios dol culdado de su informacion de autenioadion, _| contrat Uso de informacion de A291 autemicacion seccta tra emma gate ae }A.24 Control de accaso al sistema y aplicaciones objetivo: Evitar el acceso sin aulorizacién alo sistemas y aplicaciones, contr nas [Resco de acceso 1a |Se dobe resting acceso ala incon y a las fncones del ema Mt ntomacion aicacones, de acuerdo con la pola de enol de acoeo, conve! Procedinientos de no de usndo lo ex a polit de contol de acceso, el acces a bs sistemas A942 lesion seguto Japlicaciones debe ser controlado por un procedimionto de inicio de. seat secre stoma degostonan [OO™O! A942 [eontanenas "°° (Los sistemas de gestion do contaetas deben ser ineracivos y debed [ aseouar contases de clad conor as44 —_|Vsede programas utarodSe dete resting contlar estctament el uso de pronrames vitae qua priegincos Peden estar n capcidad de aul sistema y scones de spicacon contrat de acceso al cédiga| Control hong [Conor oa fuente ce fs programas — |Se debe restingir el acceso al cbdigo fuente de los programas, eons) ‘BINN 2019 - Todos te derechos resarvados 7 NCh-ISO 27001:2013 NORMA CHILENA Tabla A.1 - Objetivos de control y controles (conlinuacién) [A.10 Crptogratia [A.10.1 Contoles criptograicos| [oojetivo: Asegurar el uso adecuado y eicaz de la cipogratia para proteger la confidencialidad, autenticdad o intogida cet information Pollica sobre el uso de A144 |conteoes ertograticas [contral [Se debe desarolar © implementar una poltica sobre el uso de controle eiptograticos para la proteccion de la informacion, Ja.t0.1.2 |Gestionde claves [Contral [Se debe desarolar¢ implementar una politica sobre el uso, proteccién y vid tl de as claves criplogrfias durante toda su vida ut 11 Seguridad fica y dol ambianto fact Areas seguras Objet Evtar accesos fisicos no autorizados, dafios @ interferencias contra las inslalaciones de provesamiento de informacion y a informacion de a organizacion, Perimetra de seguridad asta Pein (Control Se deben deny ura eines de sag par protege tae eas. aud Jcontinen ya sea informacion sensible © ciica y las. instalaciones procesamienta de informacisn. 4.11.12 | Controls de acceso isco contro! Las areas seguras deben estar protegidas por contoles de entrada apropiados| que aseguren que solo se permite el acceso 2 personel auloizado, contrat Se debe diserary aplicar la seguridad fsica en ofcinas,salase instalaciones. arias |Seauitad de ofa, ca Proteceién contr Jati14 — |amenszas externas y del jembiente (coniral Se debe disefar yaplicar la protecidn fsica contra datos por desaste natural ataque malicioso 0 accklentes, Ja.t1.1.5 [Trabajo en areas seguras, (Control 'Se doben disenary apicar procedimientos para trabajar en areas segues. Jats — Areas de entega y carga ‘Contras [Se daben controlar los puntos de acceso tales como areas de entrega y dk carga y olfos puntes donde las personas no auorizadas puedan acoder ala instalacones, y si es posible, aislarlas de las insialaciones de procesamient de ta informacion para evar ol acceso no autorizada 18 Teontnday (© NN 2019. Todos los deractos reservados NORMA CHILENA Nch-1o 27001: 1013 ‘Tabla A.1 - Objetivos de control y controles (continuacién) [4.41.2 Equpamiento Objetiva: Prevenir péraidas, datos, hurtoso el compromise de los acives asi coma la ntertupcin de as actividades de nization LUbicacion y proteccion det (contrat Et equipamionto se debe ubicary proteger para reduc lo tiesgos ocasionadod Antz Jequipamiento JPor amenazas y peligros ambientales, y oportunidades de acceso nc toad, contol 1122 fetamenos de sopate |S» dbo prteer a aupamino conta falas enol suinsto de ene tas interapionescausada portals on semenfos de sport cena sdason Se debe prcteger el cabeado de eneiia y de tacomunicacones a A-14.2.3 | Seguridad en el cableado ltransporta datos © brinda soporte a servicios de informacion contrz trent, nteerenca a Sats, cena size Mapmrinene del let exupamiono debe recir of manermiono corecto para asegirar ae /Permanente disponibilidad ¢ integridad, conor 4.1125 |retrode actos Elequpamet, a varnacén ot sta no se don rear de oa egarizactn sn pro utzon, eon asi20 [eiaeeseleauamientlse devon asogurar dos lor aclvos fra dels insane, tele paces rade es Jere ls afentes reagon doar era dels iar, Se Heer jorganizacién. conta! Sepuide ent fedcs los eamenios det eauipamianio ale. contenga meds a A.1127reizacinodescate de [atnacenaminto debon eer ‘avandes ara asequar que ides bs eis fensiesysatwareicenciado se hayanremowdo ot haya sotect or Segura arose su descart oreutiacn, |Equino de usuario eee ati28 [iSmendde Los usuarios se deben asegurar de que a los equipos desatenditios se les ddl rtecin pep cena Jasr29 |poticedesctoy Jew debe aor una plc de excite tmp pas popes y med df pantalla lpios Jalmacenamiento removibles y una poltica de pantalla limpla paral nstalaciones de procesamionto de informacién, (©1NN 2019 - Tes os derechos reservados ‘Teontnay 19 NChSO 270012013 NORMA CHILENA Tabla A.1 - Objetivos de control y controles (continuacién) [A.12 Seguridad de ts operaciones [A.12.4 Procedimentos operacionales y esponsabiidades: Objativ: Asegurar a operacion corecla y segura de las instalaciones de procesamienta de informacién, _| Procedimientos de [coniro! Jat214 cecimients d&g |Los procedimientos de operacién se deben documentary poner a disposi] Joperacion decumentados 145 ods fs usuarios que os necesiten, contrat JSe deben controlar los cambios @ la organizacién, procesos de negaco| pee au) nstalaciones de procesamienta de inarmacién y ls sistemas que afecten seguridad de la informacion, contro! lets capacisag {5% 006 supecisar y adaptar ol uso de los recursos, y se deben hace JA12.13 [Gestionde ta capacitad rroveccionas de los fuluros requistos de capacidad para asegurar of decempeio requerida del sistema sepracion do Contra eparacion de los Los ambientes para desartolla, prueba y operacién se deben separar pat A214 Jambinias de desamato, [or iou neapne do acces no alveado carbs al ambient of Jprucbs y operacionales Jopecacién. 12.2 Proteccion conta coaigo maliciose Jobjetivo: Asegurar que Ia informacion y cédigo maticoso, Tas insalaciones de pracesamiento de infomacién estén protegidas contra as2.24 [Contoles contra cédigo malicioso [Conrad se geben mpanarcontles de detecin, preven yrecuperacin par protegerse contia cécigos maliiosos, junto con los procedimientos adecuad [para concienizar a os usuarios. [4.12.3 Respalso Cbjetvo: Proteger en contra de la péida de datos. Jatz.3:t Respaldo de la informacion (convo! [Se deben hacer copias de respaldo y pruebas dela informacion, del sofware {de las imagenes dal sistema con regularidad, de acuerdo con la polica respaldo acoréada, 12.4 Registro y monitoroo ase ats emesis cia =a ce las actividades del usuatio, excepciones, falas y eventos de seguridad de informacion. 20 (© INN 2015 -Tedos ns derechos NORMA CHILENA NChISO 27001:2013 Tabla A.1 - Objetivos de control y controles (continuacion) }A.12.44 — |Sineronizaciin de relojes ons p22 cere tetegvos [UB isalacones de rego y la lvomaclon de regio se eben prolee se [contra alleraciones y accesos no autorizados. Contr tzas [Resist dt sdminisrador| se deben regal actidades dl operadoy el anno dl stem yet opeador os tegiros se dobenpelegey ena can oulaad ona Los telojes de todos los sistemas de procesamiento de informacion pertinent dentro de una organizacién © dominio de seguridad deben estar sincronizad 2 una sola fuente horaria de referencia, 4.12.5 Control del software de operacion objetivo: Asegurar la integridad de la sister mas operacionales. Instalacidn del software en A12-54 J istemas operaciones (contro! ‘Se deben implementar los procedimientos para controlar la instalacion de software en los sistemas opetacionales, 4.42.6 Gestin dota aberabidad erica Objetivo: Evia la explotacion de as vulnerabildades técnica, (contra! [Se debe obtener la informacion acerca de las vulnerabildades técricas de lo | ja.zz.6.1 [Gestion de as sistemas de informacion usados se debe obtener de manera oportuna, eval wunerablidades técnicas |i exposicion de la orgenizacion a estas vulnerablidades se deden tomar a medidas epropiadas para abordar el iesgo azociado, Control Ato eeieenae tofenn [Se deben establacer e implementa ls reglas que igen ta instalacion df instalacion de software software por pate de los ustaros, }4.12.7 Consideraciones de [a auitorla da los sistemas de informacion Objetivo: Minmizar el impacto dc las actividades de aucitola en los sistemas operacionales IContoles de aueitoria de 472.74 | sistemas de informacion contro! ‘i Los requisites y las actividades de audtoria que involueran verfcaciones de los sistemas operacionales se deben planificar y acordar cuidadosamente pe minimizer el iesgo de intrrupciones en ls procesos del nego, [8.19 Seguridad de las comunieaciones [4.13.4 Gestion de a seguridad de roc objetivo: Asegurar la proteccién de a infor rmacion en las redes y sus instalaciones de procesamiento de informacion apoyo, Contrar fA.13.1.1 |Contoles de red Las redes se deben gestionar y controlar para proleger la informacién en lo sistemas y aplicaciones, Teontaday (© INN 2019 -Tados lee derectios reservados 24 NCh-ISO 27001:2013 NORMA CHILENA Tabla A.1 - Objetivos de control y controtes (continuacién) Seguridad de los servicios eis) ease contro! Los mecanismos de seguridad, ls niveles del servicio y los requistos de ]gestin de todos tas servicios de red se deben identficar e inclir on lo 2cuerdos de servicios de red, ya sea que estos servicios son prestados dent Je la orgenizacion por leroeros, JA.13:1.3 | Separacion en tas redes contro! Los grupos de servicios de informacion, usuarios y sistemas de informacion sq |deben separar en reds. [A.13.2 Transterencia de informacién objetivo: Mantener a seguridad dela informacion transferida denio de una organizacién y con cualquier entidad externa. Poiticas y procedimientos Ja.13.2.1 de tansterencia de informacion Contras Las palticas, procedimientos y controlos de tansforencia formal deben esta Jen efecta para proteger la transterencia de la informacion mediante el uso de todos los pes de instalacones de comunicacio, |Acuerdos sobre Ja.13.2.2 fransterenciade Informacion contro! Los acuerdas deben abarcar Ia transferencia segura de la informacion de negocio entre la organizacion y trceros 4.13.23 |Mensajeria electronica [Contos La informacién Involuccada en ia mensaerla electénica debe ser debidament protegida Acuerdos de Ja.13.2.4 — [eonfidenciatidad 0 no divuigacion contro! [Se deben identficary revisar regulatmente los requisites de confidencialidad acuerdos de na dvulgacion que reflsan las necesidades de proteccidn del informacion de la organizacion. [a.14 Adguisicion, desarrollo y mantonimiento del sistema 1.1 Requistos de seguridad de los sistemas de informacion Esto también incluye ls requisios paral lOvjetvo: Asegurar que Ia eegurdad da Ta Informacion es parta integral do los sistemas de informacion en todo el cil] 8 sistemas de informacion que proporcionan servicios en las redes publica. Andisis y especificacin de Ja.14.1.1 — |requisitos de soguridad de i informacion (Contre! Los requisites relacionados a fa seguridad de ls Informacion deben se incluidos en lor requisites para los sistemas de informacién nuevos 0 la] mejoras para ls sistemas de informacion existentes, at4.2 |e apicacion en redes publicas Aseguramiento de senvicios|La informacién relacionada a servicios de aplcacion que pasan por rede: contro! bicas debe ser protegida de la actividad fraudulent, cisputas contractuates y au divulgacion y modifeacién no autorizada, 22 Tanta) {© INN 2019 - Todos ios derecho reservados NORMA CHILENA NChSO 27001:2013 Tabla At - Objetivos de control y controles (continuacin) Contras [Proteccisn de ts Ca informacion implcada en transacciones de servicio de apicacién se deb A419, transactions de servicios |pcege para eva la vansmisin neecatc y sie envio, la alteraie [de apicacien ne attorzaca del mensae, ia dvigacion no aulofzade, la duplnecss Fepeticisn no autorizads del mensaje, JA.14.2 Seguridad en procesos de desarralioy soporte icone oct Gus a seguiad de a vomacion esis datada o fplemeniada dono doloae ‘de dosarcol de lo sistemas de informacion, contr 25 reals para ol desarrollo de sotvarey de sistemas deben ser eslablecded| ¥ aplicadas alos desarrollo dentro de la organizacin, Contos Ai22 [ince sel ants [los cambios 2 os sistemas dento dl cso de dosavolo deben se “e cambios del sbtema — Iconrolados mediante use de pocecinines ne fe contol de cambios Politica de desarroio Aaa seguro Contras Cuando s2 cation fs plalaformas de operacin, se deben tevisary poner eipaba as apkcaciones criicas del negocio para asegurar que no hay meee #dvers0 en as operaciones o en a seguridad dela organisation, Revisién técnica de las epcaciones despues de fo Jeambios en la pataforma Jde operacion ans Contre Se, debe dlesalentar ta realzacion de modifcaclones los paquetes solvare, que se deben tniar a los cambios necesaios, los ale dotes

    Você também pode gostar