27001:2005
Esta es una transcripción literal de la Norma Técnica Colombiana NTC-ISO-IEC 27001, la puedes descargar en el siguiente link (incluye anexo A):http://www.bogotaturismo.gov.co/sites/intranet.bogotaturismo.gov.co/files/file/Norma.%20NTC-ISO-IEC%2027001.pdf
Nota: Corresponde a la ISO 27001:2005
4. SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
4.1 REQUISITOS GENERALES
La organización debe establecer, implementar, operar, hacer seguimiento, revisar, mantener y
mejorar un SGSI documentado, en el contexto de las actividades globales del negocio de la
organización y de los riesgos que enfrenta. Para los propósitos de esta norma, el proceso
usado se basa en el modelo PHVA que se ilustra en la Figura 1.
4.2 ESTABLECIMIENTO Y GESTIÓN DEL SGSI
4.2.1 Establecimiento del SGSI
La organización debe:
a) Definir el alcance y límites del SGSI en términos de las características del
negocio, la organización, su ubicación, sus activos, tecnología, e incluir los
detalles y justificación de cualquier exclusión del alcance (véase el numeral 1.2).
b) Definir una política de SGSI en términos de las características del negocio, la
organización, su ubicación, sus activos y tecnología, que:
1) incluya un marco de referencia para fijar objetivos y establezca un sentido
general de dirección y principios para la acción con relación a la seguridad
de la información;
2) tenga en cuenta los requisitos del negocio, los legales o reglamentarios, y
las obligaciones de seguridad contractuales;
3) esté alineada con el contexto organizacional estratégico de gestión del
riesgo en el cual tendrá lugar el establecimiento y mantenimiento del SGSI;
4) establezca los criterios contra los cuales se evaluará el riesgo. (Véase el
numeral 4.2.1, literal c) y;
5) haya sido aprobada por la dirección.
c) Definir el enfoque organizacional para la valoración del riesgo.
1) Identificar una metodología de valoración del riesgo que sea adecuada al
SGSI y a los requisitos reglamentarios, legales y de seguridad de la
información del negocio, identificados.
2) Desarrollar criterios para la aceptación de riesgos, e identificar los niveles
de riesgo aceptables. (Véase el numeral 5.1, literal f).
La metodología seleccionada para valoración de riesgos debe asegurar que
dichas valoraciones producen resultados comparables y reproducibles.
NOTA Existen diferentes metodologías para la valoración de riesgos. En el documento
ISO/IEC TR 13335-3, Information technology. Guidelines for the Management of IT Security –
Techniques for the Management of IT Security se presentan algunos ejemplos.
d) Identificar los riesgos
1) identificar los activos dentro del alcance del SGSI y los propietarios2 de
estos activos.
2) identificar las amenazas a estos activos.
3) identificar las vulnerabilidades que podrían ser aprovechadas por las
amenazas.
4) Identificar los impactos que la pérdida de confidencialidad, integridad y
disponibilidad puede tener sobre estos activos.
e) Analizar y evaluar los riesgos.
1) valorar el impacto de negocios que podría causar una falla en la
seguridad, sobre la organización, teniendo en cuenta las consecuencias
de la pérdida de confidencialidad, integridad o disponibilidad de los
activos.
2) valorar la posibilidad realista de que ocurra una falla en la seguridad,
considerando las amenazas, las vulnerabilidades, los impactos asociados
con estos activos, y los controles implementados actualmente.
3) estimar los niveles de los riesgos.
4) determinar la aceptación del riesgo o la necesidad de su tratamiento a
partir de los criterios establecidos en el numeral 4.2.1, literal c).
f) Identificar y evaluar las opciones para el tratamiento de los riesgos.
Las posibles acciones incluyen:
2 El término “propietario” identifica a un individuo o entidad que tiene la responsabilidad, designada por la
gerencia, de controlar la producción, desarrollo, mantenimiento, uso y seguridad de los activos. El término
“propietario” no quiere decir que la persona realmente tenga algún derecho de propiedad sobre el activo.
1) aplicar los controles apropiados.
2) aceptar los riesgos con conocimiento y objetividad, siempre y cuando
satisfagan claramente la política y los criterios de la organización para la
aceptación de riesgos (véase el numeral 4.2.1, literal c));
3) evitar riesgos, y
4) transferir a otras partes los riesgos asociados con el negocio, por
ejemplo: aseguradoras, proveedores, etc.
g) Seleccionar los objetivos de control y los controles para el tratamiento de los
riesgos.
Los objetivos de control y los controles se deben seleccionar e implementar de
manera que cumplan los requisitos identificados en el proceso de valoración y
tratamiento de riesgos. Esta selección debe tener en cuenta los criterios para la
aceptación de riesgos (véase el numeral 4.2.1. literal c)), al igual que los requisitos
legales, reglamentarios y contractuales.
Los objetivos de control y los controles del Anexo A se deben seleccionar como
parte de este proceso, en tanto sean adecuados para cubrir estos requisitos.
Los objetivos de control y los controles presentados en el Anexo A no son
exhaustivos, por lo que puede ser necesario seleccionar objetivos de control y
controles adicionales.
NOTA El Anexo A contiene una lista amplia de objetivos de control y controles que comúnmente
se han encontrado pertinentes en las organizaciones. Se sugiere a los usuarios de esta norma
consultar el Anexo A como punto de partida para la selección de controles, con el fin de
asegurarse de que no se pasan por alto opciones de control importantes.
h) Obtener la aprobación de la dirección sobre los riesgos residuales propuestos.
i) Obtener autorización de la dirección para implementar y operar el SGSI.
j) Elaborar una declaración de aplicabilidad.
Se debe elaborar una declaración de aplicabilidad que incluya:
1) Los objetivos de control y los controles, seleccionados en el numeral 4.2.1,
literal g) y las razones para su selección.
2) Los objetivos de control y los controles implementados actualmente (véase
el numeral 4.2.1., literal e) 2)), y
3) La exclusión de cualquier objetivo de control y controles enumerados en el
Anexo A y la justificación para su exclusión.
NOTA La declaración de aplicabilidad proporciona un resumen de las decisiones concernientes
al tratamiento de los riesgos. La justificación de las exclusiones permite validar que ningún control
se omita involuntariamente.
4.2.2 Implementación y operación del SGSI
La organización debe:
a) formular un plan para el tratamiento de riesgos que identifique la acción de
gestión apropiada, los recursos, responsabilidades y prioridades para manejar
los riesgos de seguridad de la información (véase el numeral 5);
b) implementar el plan de tratamiento de riesgos para lograr los objetivos de control
identificados, que incluye considerar la financiación y la asignación de funciones
y responsabilidades;
c) implementar los controles seleccionados en el numeral 4.2.1, literal g) para
cumplir los objetivos de control;
d) definir cómo medir la eficacia de los controles o grupos de controles
seleccionados, y especificar cómo se van a usar estas mediciones con el fin de
valorar la eficacia de los controles para producir resultados comparables y
reproducibles (véase el numeral 4.2.3 literal c));
NOTA La medición de la eficacia de los controles permite a los gerentes y al personal determinar
la medida en que se cumplen los objetivos de control planificados.
e) implementar programas de formación y de toma de conciencia, (véase el
numeral 5.2.2);
f) gestionar la operación del SGSI;
g) gestionar los recursos del SGSI (véase el numeral 5.2);
h) implementar procedimientos y otros controles para detectar y dar respuesta
oportuna a los incidentes de seguridad (véase el numeral 4.2.3).
4.2.3 Seguimiento y revisión del SGSI
La organización debe:
a) Ejecutar procedimientos de seguimiento y revisión y otros controles para:
1) detectar rápidamente errores en los resultados del procesamiento;
2) identificar con prontitud los incidentes e intentos de violación a la
seguridad, tanto los que tuvieron éxito como los que fracasaron;
3) posibilitar que la dirección determine si las actividades de seguridad
delegadas a las personas o implementadas mediante tecnología de la
información se están ejecutando en la forma esperada;
4) ayudar a detectar eventos de seguridad, y de esta manera impedir
incidentes de seguridad mediante el uso de indicadores, y
5) determinar si las acciones tomadas para solucionar un problema de
violación a la seguridad fueron eficaces.
b) Emprender revisiones regulares de la eficacia del SGSI (que incluyen el
cumplimiento de la política y objetivos del SGSI, y la revisión de los controles de
seguridad) teniendo en cuenta los resultados de las auditorias de seguridad,
incidentes, medición de la eficacia sugerencias y retroalimentación de todas las
partes interesadas.
c) Medir la eficacia de los controles para verificar que se han cumplido los
requisitos de seguridad.
d) Revisar las valoraciones de los riesgos a intervalos planificados, y revisar el nivel
de riesgo residual y riesgo aceptable identificado, teniendo en cuenta los
cambios en:
1) la organización,
2) la tecnología,
3) los objetivos y procesos del negocio,
1) las amenazas identificadas,
2) la eficacia de los controles implementados, y
3) eventos externos, tales como cambios en el entorno legal o
reglamentario, en las obligaciones contractuales, y en el clima social.
e) Realizar auditorías internas del SGSI a intervalos planificados (véase el numeral 6).
NOTA Las auditorías internas, denominadas algunas veces auditorías de primera parte, las
realiza la propia organización u otra organización en su nombre, para propósitos internos.
f) Emprender una revisión del SGSI, realizada por la dirección, en forma regular para
asegurar que el alcance siga siendo suficiente y que se identifiquen mejoras al
proceso de SGSI (véase el numeral 7.1).
g) Actualizar los planes de seguridad para tener en cuenta las conclusiones de las
actividades de seguimiento y revisión.
h) Registrar acciones y eventos que podrían tener impacto en la eficacia o el
desempeño del SGSI (véase el numeral 4.3.3).
4.2.4 Mantenimiento y mejora del SGSI
La organización debe, regularmente:
a) Implementar las mejoras identificadas en el SGSI;
b) Emprender las acciones correctivas y preventivas adecuadas de acuerdo con los
numerales 8.2 y 8.3. Aplicar las lecciones aprendidas de las experiencias de
seguridad de otras organizaciones y las de la propia organización;
c) Comunicar las acciones y mejoras a todas las partes interesadas, con un nivel
de detalle apropiado a las circunstancias, y en donde sea pertinente, llegar a
acuerdos sobre cómo proceder;
d) Asegurar que las mejoras logran los objetivos previstos.
4.3 REQUISITOS DE DOCUMENTACIÓN
4.3.1 Generalidades
La documentación del SGSI debe incluir registros de las decisiones de la dirección, asegurar
que las acciones sean trazables a las decisiones y políticas de la gerencia, y que los resultados
registrados sean reproducibles.
Es importante estar en capacidad de demostrar la relación entre los controles seleccionados y
los resultados del proceso de valoración y tratamiento de riesgos, y seguidamente, con la
política y objetivos del SGSI.
La documentación del SGSI debe incluir:
a) declaraciones documentadas de la política y objetivos del SGSI (véase el
numeral 4.2.1, literal b));
b) el alcance del SGSI (véase el numeral 4.2.1, literal a))
c) los procedimientos y controles que apoyan el SGSI;
d) una descripción de la metodología de valoración de riesgos (véase el numeral 4.2.1,
literal c));
e) el informe de valoración de riesgos (véase el numeral 4.2.1, literales c) a g));
f) el plan de tratamiento de riesgos (véase el numeral 4.2.2, literal b));
g) Los procedimientos documentados que necesita la organización para asegurar la
eficacia de la planificación, operación y control de sus procesos de seguridad de
la información, y para describir cómo medir la eficacia de los controles (véase el
numeral 4.2.3, literal c));
h) Los registros exigidos por esta norma (véase el numeral 4.3.3), y
i) La declaración de aplicabilidad.
NOTA 1 En esta norma, el término “procedimiento documentado” significa que el procedimiento está establecido,
documentado, implementado y mantenido.
NOTA 2 El alcance de la documentación del SGSI puede ser diferente de una organización a otra debido a:
- El tamaño de la organización y el tipo de sus actividades, y
- El alcance y complejidad de los requisitos de seguridad y del sistema que se está gestionando.
NOTA 3 Los documentos y registros pueden tener cualquier forma o estar en cualquier tipo de medio.
4.3.2 Control de documentos
Los documentos exigidos por el SGSI se deben proteger y controlar. Se debe establecer un
procedimiento documentado para definir las acciones de gestión necesarias para:
a) aprobar los documentos en cuanto a su suficiencia antes de su publicación;
b) revisar y actualizar los documentos según sea necesario y reaprobarlos;
c) asegurar que los cambios y el estado de actualización de los documentos estén
identificados;
d) asegurar que las versiones más recientes de los documentos pertinentes están
disponibles en los puntos de uso;
e) asegurar que los documentos permanezcan legibles y fácilmente identificables;
f) asegurar que los documentos estén disponibles para quienes los necesiten, y
que se apliquen los procedimientos pertinentes, de acuerdo con su clasificación,
para su transferencia, almacenamiento y disposición final.
g) asegurar que los documentos de origen externo estén identificados;
h) asegurar que la distribución de documentos esté controlada;
i) impedir el uso no previsto de los documentos obsoletos, y
j) aplicar la identificación adecuada a los documentos obsoletos, si se retienen
para cualquier propósito.
4.3.3 Control de registros
Se deben establecer y mantener registros para brindar evidencia de la conformidad con los
requisitos y la operación eficaz del SGSI. Los registros deben estar protegidos y controlados. El
SGSI debe tener en cuenta cualquier requisito legal o reglamentario y las obligaciones
contractuales pertinentes. Los registros deben permanecer legibles, fácilmente identificables y
recuperables. Los controles necesarios para la identificación, almacenamiento, protección,
recuperación, tiempo de retención y disposición de registros se deben documentar e
implementar.
Se deben llevar registros del desempeño del proceso, como se esboza en el numeral 4.2, y de
todos los casos de incidentes de seguridad significativos relacionados con el SGSI.
EJEMPLO Algunos ejemplos de registros son: un libro de visitantes, informes de auditorías y formatos de
autorización de acceso diligenciados.
5. RESPONSABILIDAD DE LA DIRECCIÓN
5.1 COMPROMISO DE LA DIRECCIÓN
La dirección debe brindar evidencia de su compromiso con el establecimiento, implementación,
operación, seguimiento, revisión, mantenimiento y mejora del SGSI:
a) mediante el establecimiento de una política del SGSI;
b) asegurando que se establezcan los objetivos y planes del SGSI;
c) estableciendo funciones y responsabilidades de seguridad de la información;
d) comunicando a la organización la importancia de cumplir los objetivos de seguridad
de la información y de la conformidad con la política de seguridad de la información,
sus responsabilidades bajo la ley, y la necesidad de la mejora continua;
e) brindando los recursos suficientes para establecer, implementar, operar, hacer
seguimiento, revisar, mantener y mejorar un SGSI (véase el numeral 5.2.1);
f) decidiendo los criterios para aceptación de riesgos, y los niveles de riesgo
aceptables;
g) asegurando que se realizan auditorías internas del SGSI (véase el numeral 6), y
h) efectuando las revisiones por la dirección, del SGSI (véase el numeral 7).
5.2 GESTIÓN DE RECURSOS
5.2.1 Provisión de recursos
La organización debe determinar y suministrar los recursos necesarios para:
a) establecer, implementar, operar, hacer seguimiento, revisar, mantener y mejorar
un SGSI;
b) asegurar que los procedimientos de seguridad de la información brindan apoyo a
los requisitos del negocio;
c) identificar y atender los requisitos legales y reglamentarios, así como las
obligaciones de seguridad contractuales;
d) mantener la seguridad suficiente mediante la aplicación correcta de todos los
controles implementados;
e) llevar a cabo revisiones cuando sea necesario, y reaccionar apropiadamente a
los resultados de estas revisiones; y
f) en donde se requiera, mejorar la eficacia del SGSI.
5.2.2 Formación, toma de conciencia y competencia
La organización debe asegurar que todo el personal al que se asigne responsabilidades
definidas en el SGSI sea competente para realizar las tareas exigidas, mediante:
a) la determinación de las competencias necesarias para el personal que ejecute el
trabajo que afecta el SGSI;
b) el suministro de formación o realización de otras acciones (por ejemplo, la
contratación de personal competente) para satisfacer estas necesidades;
c) la evaluación de la eficacia de las acciones emprendidas, y
d) el mantenimiento de registros de la educación, formación, habilidades,
experiencia y calificaciones (véase el numeral 4.3.3).
La organización también debe asegurar que todo el personal apropiado tiene conciencia de la
pertinencia e importancia de sus actividades de seguridad de la información y cómo ellas
contribuyen al logro de los objetivos del SGSI.
6. AUDITORIAS INTERNAS DEL SGSI
La organización debe llevar a cabo auditorías internas del SGSI a intervalos planificados, para
determinar si los objetivos de control, controles, procesos y procedimientos de su SGSI:
a) cumplen los requisitos de la presente norma y de la legislación o
reglamentaciones pertinentes;
b) cumplen los requisitos identificados de seguridad de la información;
c) están implementados y se mantienen eficazmente, y
d) tienen un desempeño acorde con lo esperado.
Se debe planificar un programa de auditorías tomando en cuenta el estado e importancia de los
procesos y las áreas que se van a auditar, así como los resultados de las auditorías previas. Se
deben definir los criterios, el alcance, la frecuencia y los métodos de la auditoría. La selección
de los auditores y la realización de las auditorías deben asegurar la objetividad e imparcialidad
del proceso de auditoría. Los auditores no deben auditar su propio trabajo.
Se deben definir en un procedimiento documentado las responsabilidades y requisitos para la
planificación y realización de las auditorías, para informar los resultados, y para mantener los
registros (véase el numeral 4.3.3).
La dirección responsable del área auditada debe asegurarse de que las acciones para eliminar
las no conformidades detectadas y sus causas, se emprendan sin demora injustificada. Las
actividades de seguimiento deben incluir la verificación de las acciones tomadas y el reporte de
los resultados de la verificación.
NOTA La norma NTC-ISO 19011:2002, Directrices para la auditoría de los sistemas de gestión de la calidad y/o
ambiente puede brindar orientación útil para la realización de auditorías internas del SGSI.
7. REVISIÓN DEL SGSI POR LA DIRECCIÓN
7.1 GENERALIDADES
La dirección debe revisar el SGSI de la organización a intervalos planificados(por lo menos una
vez al año), para asegurar su conveniencia, suficiencia y eficacia continuas. Esta revisión debe
incluir la evaluación de las oportunidades de mejora y la necesidad de cambios del SGSI,
incluidos la política de seguridad y los objetivos de seguridad. Los resultados de las revisiones
se deben documentar claramente y se deben llevar registros (véase el numeral 4.3.3).
7.2 INFORMACIÓN PARA LA REVISIÓN
Las entradas para la revisión por la dirección deben incluir:
a) resultados de las auditorías y revisiones del SGSI;
b) retroalimentación de las partes interesadas;
c) técnicas, productos o procedimientos que se pueden usar en la organización
para mejorar el desempeño y eficacia del SGSI;
d) estado de las acciones correctivas y preventivas;
e) vulnerabilidades o amenazas no tratadas adecuadamente en la valoración previa
de los riesgos;
f) resultados de las mediciones de eficacia;
g) acciones de seguimiento resultantes de revisiones anteriores por la dirección;
h) cualquier cambio que pueda afectar el SGSI; y
i) recomendaciones para mejoras.
7.3 RESULTADOS DE LA REVISIÓN
Los resultados de la revisión por la dirección deben incluir cualquier decisión y acción
relacionada con:
a) la mejora de la eficacia del SGSI;
b) la actualización de la evaluación de riesgos y del plan de tratamiento de riesgos.
c) La modificación de los procedimientos y controles que afectan la seguridad de la
información, según sea necesario, para responder a eventos internos o externos
que pueden tener impacto en el SGSI, incluidos cambios a:
1) los requisitos del negocio,
2) los requisitos de seguridad,
3) los procesos del negocio que afectan los requisitos del negocio existentes,
4) los requisitos reglamentarios o legales,
5) las obligaciones contractuales, y
6) los niveles de riesgo y/o niveles de aceptación de riesgos.
d) los recursos necesarios.
e) la mejora a la manera en que se mide la eficacia de los controles.
8. MEJORA DEL SGSI
8.1 MEJORA CONTINUA
La organización debe mejorar continuamente la eficacia del SGSI mediante el uso de la política
de seguridad de la información, los objetivos de seguridad de la información, los resultados de
la auditoría, el análisis de los eventos a los que se les ha hecho seguimiento, las acciones
correctivas y preventivas y la revisión por la dirección.
8.2 ACCIÓN CORRECTIVA
La organización debe emprender acciones para eliminar la causa de no conformidades
asociadas con los requisitos del SGSI, con el fin de prevenir que ocurran nuevamente. El
procedimiento documentado para la acción correctiva debe definir requisitos para:
a) identificar las no conformidades;
b) determinar las causas de las no conformidades;
c) evaluar la necesidad de acciones que aseguren que las no conformidades no
vuelven a ocurrir;
d) determinar e implementar la acción correctiva necesaria;
e) registrar los resultados de la acción tomada (véase el numeral 4.3.3); y
f) revisar la acción correctiva tomada.
8.3 ACCIÓN PREVENTIVA
La organización debe determinar acciones para eliminar la causa de no conformidades
potenciales con los requisitos del SGSI y evitar que ocurran. Las acciones preventivas tomadas
deben ser apropiadas al impacto de los problemas potenciales. El procedimiento documentado
para la acción preventiva debe definir requisitos para:
a) identificar no conformidades potenciales y sus causas;
b) evaluar la necesidad de acciones para impedir que las no conformidades ocurran.
c) determinar e implementar la acción preventiva necesaria;
d) registrar los resultados de la acción tomada (véase el numeral 4.3.3), y
e) revisar la acción preventiva tomada.
La organización debe identificar los cambios en los riesgos e identificar los requisitos en
cuanto acciones preventivas, concentrando la atención en los riesgos que han
cambiado significativamente.
La prioridad de las acciones preventivas se debe determinar con base en los resultados de la
valoración de los riesgos.
NOTA Las acciones para prevenir no conformidades con frecuencia son más rentables que la acción correctiva.
No hay comentarios:
Publicar un comentario