ISO/IEC 27001:2005

2
3
4

Introduccin
0.1
Generalidades
0.2
Enfoque basado en procesos
0.3
Compatibilidad con otros sistemas de gestion
Objeto
1.1
Generalidades
1.2
Aplicacin
Referencias normativas
Trminos y definiciones
SGSI
4.1
4.2
4.2.1
4.2.2
4.2.3
4.2.4
4.3
4.3.1
4.3.2
4.3.3

Requisitos generales
Establecimiento y gestion del SGSI
Establecimiento del SGSI
Implementacion y operacin del SGSI
Seguimiento y revision del SGSI
Mantenimiento y mejora del SGSI
Requerimientos de documentacin
Generalidades
Control de documentos
Control de registros

Responsabilidad de la direccion
5.1
Compromiso de la direccion
5.2
Gestin de recursos
5.2.1 Provision de recursos
5.2.2 Formacion, toma de conciencia y competencia

Auditorias internas del SGSI

Revisin del SGSI por la direccion

7.1
Generalidades
7.2
Informacion para revisin
7.3
Resultados de la revisin

Mejora del SGSI

8.1
Mejora continua
8.2
Accion correctiva
8.3
Accin preventiva
Anexo A: Objetivos de control y controles

ISO/IEC 27001:2013
0

Introduccin
0.1
Generalidades
0.2
Compatibilidad con otros sistemas de gestion

Objeto y campo de aplicacin

2
3

Referencias normativas
Trminos y definiciones

Contexto de la Organizacin
4.1
Conocimiento de la organizacin y de su contexto
4.2
Comprension de las necesidades y espectativas de las partes interesadas
4.3
Determinacion del alcance del SGSI
4.4
Sistema de Gestion de Seguridad de la Informacion

Liderazgo
5.1
Liderazgo y compromiso
5.2
Politica
5.3
Roles, responsabilidades y autoridades en la organizacin

Planificacion
6.1
Acciones para tratar riesgos y oportunidades
6.1.1
Valoracion de riesgos de la seguridad de la informacion
6.1.3
Tratamiento de riesgos de la seguridad de la informacion
6.2
Objetivos de seguridad de la informacion y planes para lograrlos

Soporte
7.1
Recursos
7.2
Competencia
7.3
Toma de conciencia
7.4
Comunicacin
7.5
Informacion documentada
7.5.1
Generalidades

7.5.2
7.5.3

Creacion y actualizacion
Control de la informacion documentada

Operacin
8.1
Planificacion y control operacional
8.2
Valoracion de riesgos de la seguridad de la informacion
8.3
Tratamiento de riesgos de la seguridad de la informacion

Evaluacion del desempeo

9.1
Seguimiento, medicion, analisis y evaluacion
9.2
Auditoria interna
9.3
Revision por la direccion

10

Mejora
10.1
No conformidades y acciones correctivas
10.2
Mejora continua

tes interesadas

Anexo A - Objetivos de Control y Controles de Seguridad de la Informacin ISO/IEC 27001:2005

(Conjunto de medidas, acciones y documentos que permiten cubrir y auditar cierto riesgo)

Dominio - Control

Poltica de seguridad de la informacin

#Ctrls
2

A5
Dirigir y dar soporte a la gestin de la seguridad de la informacin de acuerdo con los requisitos institucionales, leyes y reglamentos pertinentes.

A.5.1.1
A.5.1.2
A6

Se dispone de una poltica de SI aprobada por la direccin, publicada y comunicada a todos los empleados y
Poltica de seguridad de partes externas pertinentes.
la informacin
La poltica de seguridad de informacin se revisa a intervalos planificados, y si ocurren cambios significativos se
asegura su conveniencia, adecuacin y eficacia continua.

Organizacin de la seguridad de la informacin

A.6.1.2
Organizacin interna

A.6.1.8
A.6.2.1
A.6.2.2

Entidades externas

A.6.2.3
A7
A.7.1.1
A.7.1.2
A.7.1.3
A.7.2.1
A.7.2.2
A8

A9
A10
A11
A12
A13

La Alta Direccin apoya (dirige, se compromete, demuestra y reconoce responsabilidades) activamente la SI en

la Institucin.

En las actividades de SI participan representantes de todas las UU.OO. Tienen roles y funciones.
Los roles y responsabilidades en SI estn bien definidos.
Est establecido el proceso de autorizacin para nuevos activos de informacin (AI).
Estn definidos acuerdos de confidencialidad y se revisa con regularidad.
Se mantiene los contactos apropiados con las autoridades pertinentes.
Se mantiene los contactos apropiados con entidades especializadas en SI.

1
1
1
1
1
1

El enfoque de la organizacin para gestionar la SI se revisa de manera independiente y peridica.

Se gestiona (identifica e implementa) los riesgos de acceso a la informacin de entidades externas.

Se trata todos los requerimientos de SI antes de dar acceso a los clientes.
Se establece acuerdos con terceros, que involucran acceder, procesar, comunicar o gestionar la informacin de
la entidad , que abarcan los requerimientos de SI relevantes.

1
1

Gestin de activos de informacin (AI)

A15

Se mantiene un inventario de AI.

Responsabilidad por los
Todo AI tiene asignado un responsable (propietario).
activos
Se dispone de una normativa de uso de los AI
La informacin est clasificada segn su valor, requisitos legales, sensibilidad y criticidad
Clasificacin de la
informacin
Se dispone del procedimiento de rotulado y manejo de la informacin.

1
1
1
1
1

Seguridad de los recursos humanos

Asegurar que todo el personal involucrado entienda sus responsabilidades, sean apropiados para sus roles y asi reducir el riesgo de robo, fraude o mal
uso de los activos de informacin.

Antes del empleo

Durante el empleo
Terminacin o cambio
del empleo

Se tiene documentado (de acuerdo a la poltica) los roles y responsabilidadesde de SI, de todo el personal.
Se verifica antecedentes de todo candidato a empleado o contratista.
Se firman contratos donde se incluye las responsabilidades de SI.
Se procura que todos los empleados apliquen la SI segn la poltica.
Se sensibiliza, capacita y educa en SI pertinente a su funcin de trabajo.
Se tiene establecido un procesos disciplinario ante el incumplimiento de SI.
Estn definidas las responsabilidades para el trmino o cambio de empleo.
Se procura la entrega de activos al tmino de contrato.
Se retira los derechos de acceso al trmino del contrato.

Seguridad fsica y medioambiental

1
1
1
1
1
1
1
1
1
13

Prevenir el acceso fsico no autorizado, dao e interferencia en las instalaciones y activos de informacin.

Gestin de operaciones y comunicaciones

32

Asegurar la operacin correcta y segura de los activos de informacin.

Control de acceso (lgico)

25

Controlar el acceso lgico a los activos de informacin

Adquisicin, desarrollo y mantenimiento de sistemas de informacin

16

Procurar que la seguridad sea una parte integral de los sitemas de informacin.

Gestin de incidentes de seguridad de informacin

Asegurar que los eventos y debilidades de seguridad de informacin sean comunicados de manera tal que, permita una accin correctiva oportuna.

Gestin de continuidad de operaciones

A14

Lograr y mantener la proteccin apropiada de los activos de informacin

A.8.1.1
A.8.1.2
A.8.1.3
A.8.2.1
A.8.2.2
A.8.2.3
A.8.3.1
A.8.3.2
A.8.3.3

1
11

Gestionar la organizacin de la seguridad de informacin.

A.6.1.1

A.6.1.3
A.6.1.4
A.6.1.5
A.6.1.6
A.6.1.7

Contrarrestar las interrupciones de las actividades del negocio y proteger los procesos crticos, de los efectos de fallas significativas o desastres, y
asegurar su reanudacin oportuna.

Cumplimiento regulatorio

10

Evitar el incumplimiento de cualquier ley, estatuto, obligacin, reglamentao o contractuales, y de cualquier requisito de seguridad.

133

Dominio - Control

Tabla de Escala para ISO27001 e ISO27002

N/A

Calificacin
No Aplica

Descripcin
No aplica.
Total falta de cualquier proceso reconocible. La Organizacin ni siquiera ha reconocido que hay un problema a
tratar. No se aplican controles.

Inexistente

20

Inicial

Hay una evidencia de que la Organizacin ha reconocido que existe un problema y que hay que tratarlo. No hay
procesos estandarizados. La implementacin de un control depende de cada individuo y es principalmente
reactiva.

40

Repetible

Los procesos y los controles siguen un patrn regular. Los procesos se han desarrollado hasta el punto en que
diferentes procedimientos son seguidos por diferentes personas. No hay formacin ni comunicacin formal sobre
los procedimientos y estndares. Hay un alto grado de confianza en los conocimientos de cada persona, por eso
hay probabilidad de errores.

60

Definido

Los procesos y los controles se documentan y se comunican. Es poco probable la deteccin de desviaciones.

80

Gestionado

Los controles se monitorean y se miden. Es posible monitorear y medir el cumplimiento de los procedimientos y
tomar medidas de accin donde los procesos no estn funcionando eficientemente.

100

Optimizado

Las buenas prcticas se siguen y automatizan. Los procesos han sido redefinidos hasta el nivel de mejores
prcticas, basndose en los resultados de una mejora continua.

#Ctrls

Tabla de Escala para ISO27001 e ISO27002

Escala
No Aplica

%
N/A

Descripcin
No aplica.
Total falta de cualquier proceso reconocible. La Organizacin ni siquiera ha reconocido que hay un
problema a tratar. No se aplican controles.

Inexistente

Inicial

20

Hay una evidencia de que la Organizacin ha reconocido que existe un problema y que hay que tratarlo.
No hay procesos estandarizados. La implementacin de un control depende de cada individuo y es
principalmente reactiva.

Repetible

40

Los procesos y los controles siguen un patrn regular. Los procesos se han desarrollado hasta el punto en
que diferentes procedimientos son seguidos por diferentes personas. No hay formacin ni comunicacin
formal sobre los procedimientos y estndares. Hay un alto grado de confianza en los conocimientos de
cada persona, por eso hay probabilidad de errores.

Definido

60

Los procesos y los controles se documentan y se comunican. Es poco probable la deteccin de

desviaciones.

Gestionado

80

Los controles se monitorean y se miden. Es posible monitorear y medir el cumplimiento de los

procedimientos y tomar medidas de accin donde los procesos no estn funcionando eficientemente.

Optimizado

100

Las buenas prcticas se siguen y automatizan. Los procesos han sido redefinidos hasta el nivel de mejores
prcticas, basndose en los resultados de una mejora continua.

ISO/IEC 27001:2005
0

Introduccin
0.1
Generalidades
0.2
Enfoque basado en procesos
0.3
Compatibilidad con otros sistemas de gestion

Objeto
1.1
Generalidades
1.2
Aplicacin
Referencias normativas
Trminos y definiciones

2
3
4

SGSI
4.1
4.2
4.2.1
4.2.2
4.2.3
4.2.4
4.3
4.3.1
4.3.2
4.3.3

Requisitos generales
Establecimiento y gestion del SGSI
Establecimiento del SGSI
Implementacion y operacin del SGSI
Seguimiento y revision del SGSI
Mantenimiento y mejora del SGSI
Requerimientos de documentacin
Generalidades
Control de documentos
Control de registros

Responsabilidad de la direccion
5.1
Compromiso de la direccion
5.2
Gestin de recursos
5.2.1 Provision de recursos
5.2.2 Formacion, toma de conciencia y competencia

Auditorias internas del SGSI

Revisin del SGSI por la direccion

7.1
Generalidades
7.2
Informacion para revisin
7.3
Resultados de la revisin

Mejora del SGSI

8.1
Mejora continua
8.2
Accion correctiva
8.3
Accin preventiva

Anexo A: Objetivos de control y controles

ISO 22301:2012
0

Introduccin
0.1
Generalidades
0.2
El Modelo Planear-Hacer-Verificar-Actuar (PHVA)
0.3
Componentes del PHVA en esta Norma

Alcance

2
3

Referencias normativas
Trminos y definiciones

Contexto de la Organizacin
4.1
Conocimiento de la organizacin y de su contexto
4.2
Comprension de las necesidades y espectativas de las partes interesadas
4.3
Determinacion del alcance del Sistema de Gestion
4.4
Sistema de Gestion de la Continuidad del Negocio

Liderazgo
5.1
Generalidades
5.2
Compromiso de la Alta Direccion
5.3
Politica
5.4
Roles, Responsabilidades y Autoridades

Planificacion
6.1
Acciones para direccionar riesgos y oportunidades
6.2
Objetivos de Continuidad del Negocio y planes para alcanzarlos

Recursos
7.1
Generalidades
7.2
Competencia
7.3
Toma de conciencia
7.4
Comunicacin
7.5
Informacion documentada

7.5.1
7.5.2
7.5.3

Generalidades
Creacion y actualizacion
Control de la informacion documentada

Operacin
8.1
Planificacion y control operacional
8.2
Analisis de Impacto al Negocio y Valoracion del Riesgo
8.2.1
Generalidades
8.2.2
Analisis del Impacto al Negocio
8.2.3
Valoracion del Riesgo
8.3
Estrategia de Continuidad del Negocio
8.3.1
Determinacion y Seleccin
8.3.2
Establecimiento de las necesidades de recursos
8.3.3
Proteccion y Mitigacion
8.4
Establecer e Implementar Procedimientos de Continuidad de Negocio
8.4.1
Generalidades
8.4.2
Estructura de respuesta ante incidentes
8.4.3
Advertencia y comunicacin
8.4.4
Planes de Continuidad de Negocio
8.4.5
Recuperacion
8.5
Ejercicios y Pruebas

Evaluacion de Desempeo
9.1
Seguimiento, medicion, analisis y evaluacion
9.1.1
Generalidades
9.1.2
Evaluacion de los procedimientos de continuidad de negocio
9.2
Auditoria Interna
9.3
Revision por la Direccion

10

Mejora
10.1
No conformidad y accion correctiva
10.2
Mejora continua

tes interesadas

de Negocio