ISO 27001:2013 (transcripción)
He aquí la parte esencial (a partir del punto 4) de la norma ISO 27001:2013 en español.
En otro post subo el anexo A
4.- CONTEXTO DE LA
ORGANIZACIÓN
4.1.-Entendiendo a la
organización y su contexto.
La organización debe determinar los aspectos internos y
externos que son relevantes para su propósito y que afecten su humildad de
alcanzar los resultados esperados de su sistema de gestión de seguridad de la
información.
Nota: la determinación de estas cuestiones hace referencia a
establecer el contexto externo e interno de la organización, considerado en el
numeral 5.3 de la ISO 31000:2011.
4.2.-Comprensión de
las necesidades y expectativas de las partes interesadas.
La organización debe determinar:
a)
Las partes interesadas que son pertinentes al
sistema de gestión de la seguridad de la información; y
b)
Los requisitos de estas partes interesadas
pertinentes a seguridad de la información.
Nota: los requisitos de las partes interesadas pueden
incluir los requisitos legales y reglamentos, y las obligaciones contractuales.
4.3.-Determinar el
alcance del sistema de gestión de seguridad de la información.
La organización debe determinar los límites y la
aplicabilidad del sistema de gestión de seguridad de la información para
determinar su ámbito d aplicación. Al determinar este ámbito, la organización
debe considerar.
a)
La cuestiones externas e internas que se refiere
el 4.1.
b)
Los requisitos contemplados en el 4.2 y
c)
Las interfaces y las dependencias entre las
actividades llevadas a cabo por la organización y las que se realizan por otras
organizaciones.
El alcance debe estar disponible
como información documentada.
4.4.-Sistema de
Gestión de la Seguridad de la Información.
La organización debe establecer,
implementar, mantener y mejorar continuamente un sistema de gestión de la
seguridad de la información, de acuerdo con los requisitos de esta norma.
5.-Liderazgo.
5.1-Liderazgo y
compromiso.
La alta dirección debe demostrar liderazgo y compromiso con
respecto al sistema de gestión de la seguridad de la información:
a)
Asegurando que se establezcan la política de la
seguridad de la información y los objetivos de la seguridad de la información, y
que estos sean compatibles con la dirección estratégica de la organización;
b)
Asegurando la integración de los requisitos del
sistema de gestión de la seguridad de la información en los procesos de la
organización;
c)
Asegurando que los recursos necesarios para el
sistema de gestión de la seguridad de la información estén disponibles.
d)
Comunicando la importancia de una gestión de la
seguridad de la información eficaz y de la conformidad con los requisitos del
sistema de gestión de la seguridad de la información;
e)
Asegurando que el sistema de gestión de la
seguridad de la información logre los resultados previstos;
f)
Dirigiendo y apoyando a las personas para
contribuir a la eficacia del sistema de gestión de la seguridad de la
información;
g)
Promoviendo la mejora continua; y,
h)
Apoyando otros roles pertinentes de la dirección
para demostrar su liderazgo aplicado a sus áreas de responsabilidad.
5.2.-Política.
La alta dirección debe establecer sus políticas de seguridad
de la información que:
a)
Sea adecuada por el propósito de la
organización.
b)
Incluye objetivos de seguridad de la información
(ver 6.2) o proporciona el marco para establecer los objetivos de seguridad de
la información.
c)
incluya un compromiso de cumplir los requisitos
aplicables relacionados con la seguridad de la información y
d)
incluya un compromiso de mejora continua del
sistema de gestión de seguridad de la información.
La política de seguridad de la información debe:
e)
estar disponible como información documentada
f)
ser comunicada dentro de la organización y
g)
estar a disposición de las partes interesadas,
según corresponda.
5.3 Funciones
organizativas, la responsabilidad y autoridades
La alta dirección debe asegurarse de que las
responsabilidades y autoridades para los roles pertinentes a la seguridad de la
información se asignen y comuniquen.
La alta dirección debe asignar la responsabilidad y
autoridad para:
a)
asegurarse de que el sistema de gestión de la
seguridad de la información sea conforme a los requisitos de esta norma;
b)
informar a la alta dirección sobre el desempeño
del sistema de gestión de la seguridad de la información.
Nota: la alta dirección también puede asignar
responsabilidades y autoridades para informar sobre el desempeño del
sistema de gestión de la seguridad de la
información dentro de la organización.
6.-Planificación.
6.1.-Acciones para
tratar riesgos y oportunidades.
6.1.1.-Generalidades.
Al planificar el sistema de gestión de la seguridad de la
información, la organización debe considerar las cuestiones referidas en el numeral
4.1 y los requisitos a que se hace referencia en el numeral 4.2, y determinar
los riesgos y oportunidades que es necesario tratar, con el fin de:
a)
asegurarse de que el sistema de gestión de la
seguridad de la información pueda lograr sus resultados previstos.;
b)
prevenir o reducir efectos indeseados; y
c)
lograr la mejora continua.
La organización debe planificar:
a)
las acciones para tratar estos riesgos y
oportunidades, y,
b)
la manera de:
a.
integrar e implementar estas acciones en sus
procesos del sistema de gestión de la seguridad de la información.
b.
Evaluar la eficacia de estas acciones.
6.1.2.-Valoración de
los riesgos de la seguridad de la información.
La organización debe definir y aplicar un proceso de
valoración de riesgos de seguridad de información que:
a)
establece y mantiene la información los
criterios de riesgo de seguridad que incluyan:
a.
Los criterios de aceptación de riesgo y
b.
los criterios para la realización de las
valoraciones de riesgo de seguridad de la información.
b)
se asegure de que la valoración de riesgos de seguridad
de información repetida producen resultados, consistentes, válidos y
comparables.
c)
identificar los riesgos de seguridad de la
información:
a.
aplicar el proceso de valoración de riesgo de
seguridad de información para identificar los riesgos asociados a la perdida de
confidencialidad, integridad y disponibilidad de la información en el ámbito de
aplicaciones del sistema de gestión de seguridad de la información.
b.
Identificar a los dueños de los riesgos.
d)
evaluar los riesgos de seguridad de la
información
a.
valorar las consecuencias potenciales que
resultaran si se materializaran los riesgos identificados en 6.1.2 c) 1);
b.
valorar la probabilidad realista de que ocurran
los riesgos identificados en 6.1.2 c) 1); y
c.
determinar los niveles de riesgo.
e)
Evalúe los riesgos de seguridad de la
información:
a.
comparar los resultados del análisis de riesgos
con los criterios de riesgo establecidos en 6.1.2 a) y
b.
priorizar los riesgos analizados para el
tratamiento de riesgos.
La organización debe conservar información documentada
acerca del proceso de valoración de riesgos de la seguridad de la información
6.1.3 tratamiento de
riesgos de la seguridad de la información.
La organización debe definir y aplicar un proceso de
tratamiento de los riesgos de seguridad de información para:
a)
seleccionar las opciones apropiadas de
tratamiento del riesgo de seguridad adecuados y teniendo en cuenta los
resultados de la evaluación de riesgos.
b)
Determinar los controles que sean necesarios
para implementar las opciones escogidas para el tratamiento de los riesgos de la
seguridad de la información;
NOTA Las organizaciones pueden diseñar controles según sea
necesario, o identificarlos de cualquier fuente.
c)
Comparar los controles determinados en 6.1.3 b)
con los del Anexo A, y verificar que no se han omitido controles necesarios
NOTA 1.- El Anexo A contiene una lista completa de los
objetivos de control y controles. Los usuarios de esta norma se dirigen al
Anexo A para garantizar que no se pasen por alto los controles necesarios.
NOTA 2.- Los objetivos de control se incluyen implícitamente
en los controles seleccionados. Los objetivos de control y controles incluidos
en el anexo A no son exhaustivos y puedan ser necesarios objetivos de control y
controles adicionales.
d)
elaborar una Declaración de aplicabilidad que
contiene los controles necesarios (ver 6.1.3 b) y c)) y la justificación de las
inclusiones, ya sea que se implementen o no, y la justificación de la exclusión
de los controles del Anexo A;
e)
formular un plan de tratamiento de riesgo de la
seguridad de la información; y
f)
obtener, por parte de los dueños de los
riesgos, la aprobación de plan de
tratamiento de riesgos, y la aceptación de los riesgos residuales.
La organización debe conservar información documentada
acerca del proceso de tratamiento de riesgos de la seguridad de la información.
Nota: el proceso de valoración y tratamiento de riesgos de
la seguridad de la información que se presenta en esta norma se alinea con los
principios y directrices genéricas suministradas en la ISO 31000.
6.2.-Objetivos de
seguridad de la información y la planificación para alcanzarlos
La organización debe establecer los objetivos de seguridad
de la información en las funciones y niveles pertinentes.
Los objetivos de seguridad de la información deben:
a)
Ser coherentes con la política de seguridad de
la información
b)
Ser mediables (si es posible)
c)
Tener en cuenta los requisitos de seguridad de
la información aplicables y los resultados de la vibración del riesgo y el
tratamiento de riesgo;
d)
Ser comunicados, y
e)
Ser actualizados.
La organización debe conservar información documentada sobre
los objetivos de seguridad de la información.
Al planificar como alcanzar sus objetivos de seguridad de la
información, la organización debe determinar:
f)
lo que se hará:
g)
que recursos se requieren:
h)
quien será responsable
i)
cuándo debe ser alcanzado
j)
la forma en que se evaluarán los resultados
7.-Apoyo.
7.1.-Recursos.
La organización debe determinar y proporcionar los recursos
necesarios para facilitar el establecimiento, implementación, mantenimiento y
mejora continua del sistema de gestión de seguridad de la información.
7.2.-Competencias.
La organización debe:
a)
determinar la competencia necesaria de las
personas que hacen el trabajo bajo su control que afecte a su desempeño de la seguridad
de la información.
b)
asegurarse de que estas personas sean
competentes con base en la 1) educación, 2) formación o experiencia;
c)
en su caso tomar medidas para adquirir las
competencias necesarias, y evaluar la eficacia de las acciones tomadas, y
d)
conservar la información documentada apropiada
como prueba de competencia.
NOTA: Las acciones aplicables pueden incluir, por ejemplo,
la oferta de la formación para la tutoría, o la reasignación de los empleados
actuales, o la contratación de personas competentes.
7.3.-Conciencia.
Las personas que realizan trabajaos bajo el control de la
organización deberá tener en cuenta:
a)
la política de seguridad de la información
b)
su contribución a la eficacia del sistema,
incluyendo los beneficios de una mejora del desempeño de la seguridad de
información, y
c)
las implicaciones de que no cumplan con los
requisitos del sistema.
7.4-Comunicación.
La organización debe determinar la necesidad de
comunicaciones internas y externas pertinentes al sistema de gestión de la seguridad
de la información, que incluyan:
a)
el contenido de la comunicación;
b)
cuándo comunicar;
c)
a quién comunicar;
d)
quién debe comunicar; y
e)
los procesos para llevar a cabo la comunicación.
7.5 Información
documentada.
7.5.1.- Generalidades
El sistema de gestión de seguridad de la información debe
incluir:
a)
Información documentada requerida por esta norma
internacional y
b)
Información documentada que la organización ha
determinado como necesaria para la eficacia del sistema.
NOTA: El alcance de la información documentada para un
sistema de gestión de la seguridad de la información puede diferir de una
organización a otro debido a:
1)
el tamaño de la organización y el tipo de
actividades, procesos, productos y servicios.
2)
la complejidad de los procesos y sus interacciones;
y
3)
la competencia de las personas.
7.5.2.-Creación y
actualización.
Al crear y actualizar la información documentada, la
organización debe asegurarse de que lo siguiente sea apropiado:
a)
identificación y descripción (por ejemplo, un
título, fecha, autor, o el número de referencia);
b)
formato (por ejemplo, el idioma, la versión de
software, gráficos) y los medios de comunicación ( por ejemplo, papel,
electrónico) y
c)
la revisión y aprobación de la idoneidad y
suficiencia.
7.5.3.-Control de la
Información documentada.
La información documentada requerida por el sistema de
gestión de seguridad de la información y por esta norma internacional debe ser
controlada para asegurar:
a)
que esté disponible y adecuada para su uso,
dónde y cuándo sea necesario, y
b)
esté protegida adecuadamente (por ejemplo,
contra pérdida de confidencialidad, uso inadecuado, o pérdida de integridad).
Para el control de la información documentada, la
organización debe responder a las siguientes actividades, según corresponda:
c)
la distribución, acceso, recuperación y uso;
d)
almacenamiento y preservación, incluida la
preservación de la legibilidad.
e)
el control de cambios (por ejemplo, control de
versiones), y
f)
retención y disposición.
La información documentada de origen externo, que la
organización determina que son necesarios para la planificación y operación del
sistema de gestión de seguridad de la información; deben identificarse en su
caso y controlados.
NOTA: El acceso implica una decisión sobre el permiso de ver
solo la información documentada, o el permiso y la autoridad para ver y cambiar
la información documentada, etc.
8.1.-Operación.
8.1.-Planificación y
control operacional.
La organización debe planificar, ejecutar y controlar los
procesos necesarios para cumplir los requisitos de seguridad de la información
y para implementar las acciones determinadas en el numeral 6.1. la organización
también debe implementar planes para lograr los objetivos de seguridad
determinados en el numeral 6.2.
La organización debe mantener información documentada en la
medida necesaria para tener la confianza en que los procesos se han llevado a
cabo según lo planificado.
La organización debe controlar los cambios planificados y
revisar las consecuencias de los cambios no previstos, tomando acciones para
mitigar los efectos adversos, cuando sea necesario.
8.2.-Valoración de
riesgos de la seguridad de la información.
La organización debe llevar a cabo las valoraciones de
riesgos de seguridad de información a intervalos planificados o cuando se produzcan
cambios significativos, teniendo en cuenta los criterios establecidos en 6.1.2
a).
La organización debe conservar información documentada de
los resultados de las valoraciones de riesgos de la seguridad de la
información.
8.3 Información sobre
el tratamiento de riesgos de seguridad.
La organización debe implementar el plan de tratamiento de
riesgos de seguridad de información.
La organización debe conservar información documentada de
los resultados del tratamiento de riesgos de la seguridad de la información.
9.-Evaluación del
desempeño.
9.1.- Seguimiento,
medición, análisis y evaluación.
La organización debe evaluar el desempeño de seguridad de información
y la eficacia del sistema de gestión de seguridad de la información.
La organización debe determinar:
a)
a qué es necesario hacer seguimiento y qué es
necesario medir, incluyendo los procesos de seguridad de la información y los
controles;
b)
Los métodos de seguimiento, medición, análisis y
evaluación, en su caso, para garantizar la validez de los resultados;
NOTA: Los métodos seleccionados deben producir resultados
comparables y reproducibles para ser considerados válidos.
c)
cuando se llevará a cabo el seguimiento y
medición;
d)
quién debe llevar a cabo el seguimiento y la
medición;
e)
cuándo se deben analizar y evaluar los
resultados del seguimiento y de la medición; y
f)
quién debe analizar y evaluar estos resultados.
La organización debe conservar información documentada
apropiada como evidencia de los resultados de monitoreo y medición.
9.2.- Auditoria
Interna
La organización debe llevar a cabo las auditorías internas a
intervalos planificados para proporcionar información sobre si el sistema de
gestión de seguridad de la información:
a)
se ajusta a
a.
los requisitos propios de la organización para
su sistema; y
b.
los requisitos de esta norma internacional;
b)
está implementado y mantenido eficazmente.
La organización debe:
c)
planificar, establecer, implementar y mantener un
programa de auditoría, incluyendo la frecuencia, métodos, responsabilidades,
requisitos de planificación y la elaboración de informes.
d)
Para cada auditoría, definir los criterios y el
alcance de ésta;
e)
la selección de auditores y la realización de auditorías
que garanticen la objetividad e imparcialidad del procesos;
f)
garantizar que los resultados de la auditorias
se reportan a la dirección, y
g)
conservar la información documentada como prueba
del programa de auditoria y los resultados de ésta.
9.3.-Revisión por la
dirección.
La alta dirección debe revisar la información del sistema de
gestión de la seguridad de la organización, a intervalos planificados para
asegurar su convivencia, adecuación y eficacia.
La revisión para la dirección debe incluir consideraciones
sobre:
a)
el estado de las acciones con relación a las
revisiones previas por la dirección.
b)
los cambios en los problemas externos e internos
que son relevantes para el sistema.
c)
retroalimentación sobre el desempeño de
seguridad de información, incluyendo las tendencias en:
a.
no conformidades y acciones correctivas;
b.
el seguimiento y resultados de las mediciones;
c.
resultados de la auditoria, y
d.
cumplimiento de los objetivos de seguridad de la
información;
d)
la retroalimentación de las partes interesadas;
e)
Los resultados de valoración del riesgo y el
estado de plan de tratamiento de riesgo, y
f)
las oportunidades para la mejora continúa
Los resultados de la revisión por
la direcciones deben incluir las decisiones relacionadas con las oportunidades
de mejora continua y cualquier necesidad de cambio en el sistema.
La organización debe conservar
información documentada como evidencia de los resultados de las revisiones por
la dirección.
10.-Mejora.
10.1.-No conformidad
y acciones correctivas.
Cuando se produce una no conformidad, la organización debe:
a)
reaccionar ante la no conformidad, y según sea
el caso:
a.
tomar acciones para controlarla y corregirla, y
b.
hacer frente a las consecuencias;
b)
evaluar las necesidad de adoptar medidas para
eliminar las causas de no conformidad, con el fin de que no se repita o se
reproduzca en otros lugares, a través de:
a.
la revisión de la no conformidad,
b.
determinar las causas de la no conformidad, y
c.
determinar si existen no conformidades similares
o, que potencialmente podrían ocurrir;
c)
poner en práctica las medidas oportunas;
d)
revisar la eficacia de las medidas correctivas
tomadas, y
e)
realizar cambios en el sistema, si es necesario.
Las acciones correctivas deben ser apropiadas a los efectos
de las no conformidades encontradas.
La organización debe conservar información documentada
adecuada, como evidencia de:
f)
la naturaleza de las no conformidades y de
cualquier acción tomada posteriormente, y
g)
los resultados de cualquier acción correctiva.
10.2.-Mejora continua.
La organización debe mejorar continuamente la convivencia, adecuación
y eficacia del sistema de gestión de seguridad de la información.
No hay comentarios:
Publicar un comentario