presentacion iso 27001 & 27002 version 3

Presentacin de PowerPoint

Normas ISO 27001 y 27002

Gerardo Humberto Pieros.Miguel ngel Caldern Ayala.Marlon Yesith Ferro.

Facultad de Ingeniera

Qu es ISO?ISOsiglas en ingls TheInternational Organization for Standardization, lo cual quiere decirOrganizacin Internacional de Normalizacin. El origen del termino ISO deriva del Griego isos, cuyo significado es igual o estndar.

La cual se trata de una federacin cuyo alcance es de carcter mundial, ya que esta integrada por cuerpos de estandarizacin de 162 pases. Esta organizacin se establecien 1947,como un organismo no gubernamental, cuyamisines promover a nivel mundial eldesarrollo de las actividades de estandarizacin.

Qu es ISO?La Organizacin Internacional de Normalizacin,sostiene que sus estndares son producidos bajo los siguientes principios:

Consenso,quiere decir que serespeta las opiniones de todos, siendo tomados cuenta los puntos de vistas de todos los interesados, como a losvendedores,fabricantes, usuarios, grupos de consumidores,laboratorios, especialistas y organizaciones que requieren de una investigacin.

Aplicacin Industrial Global, consiste en brindar soluciones globales, con el fin de satisfacer a todo tipo de industrias, as como a los clientes en todo el mundo.

Voluntario,es decir este tipo de estandarizacin de carcter internacional, es de carcter voluntario por parte de todos los interesados, quienes si desean adquirir un reconocimiento, debern ceirse a los requisitos establecidos por estas normas.

Qu es IEC?

IEC siglas en ingls International Electrotechnical Commission, lo cual quiere decir Comisin Electrotcnica Internacional. Es una organizacin denormalizacin en los campos:elctrico,electrnicoy tecnologas relacionadas.

La IEC fue fundada en 1906, siguiendo una resolucin del ao 1904 aprobada en el Congreso Internacional Elctrico en San Luis (Misuri).

La IEC est integrada por los organismos nacionales de normalizacin, en las reas indicadas, de los pases miembros. En 2003, a la IEC pertenecan ms de 60 pases miembros. En 2015, son 83 miembros, cada uno de ellos representando a un pas: son 60 los Miembros Plenos, y 23 los Miembros Asociados.

Qu es IEC?

A la CEI se le debe el desarrollo y difusin de los estndares para algunas unidades de medida, particularmente el gauss, hercio y weber; as como la primera propuesta de un sistema de unidades estndar.

El Sistema Giorgi, que con el tiempo se convertira en el Sistema Internacional de Unidades.

Numerosas normas se desarrollan conjuntamente con la Organizacin Internacional de Normalizacin (International Organization for Standardization, ISO): normas ISO/IEC.

AlcanceEste Estndar Internacional establece los lineamientos y principios generales para iniciar, implementar, mantener y mejorar la gestin de la seguridad de la informacin en una organizacin. Los objetivos delineados en este Estndar Internacional proporcionan un lineamiento general sobre los objetivos de gestin de seguridad de la informacin generalmente aceptados.

Los objetivos de control y los controles de este Estndar Internacional son diseados para ser implementados para satisfacer los requerimientos identificados por una evaluacin del riesgo. Este Estndar Internacional puede servir como un lineamiento prctico para desarrollar estndares de seguridad organizacional y prcticas de gestin de seguridad efectivas y para ayudar a elaborar la confianza en las actividades inter-organizacionales.

En que consiste la Norma(27001)Los detalles que conforman el cuerpo de esta norma, se podran agrupar en tres grandes lneas: ISMS. Valoracin de riegos (Risk Assesment) Controles La propuesta de esta norma, no est orientada a despliegues tecnolgicos o de infraestructura, sino a aspectos netamente organizativos, es decir, la frase que podra definir su propsito es Organizar la seguridad de la informacin, por ello propone toda una secuencia de acciones tendientes al establecimiento, implementacin, operacin, monitorizacin, revisin, mantenimiento y mejora del ISMS (Information Security Management System) o SGSI, es el punto fuerte de este estndar. 7 Introduccin Esta norma ha sido elaborada para brindar un modelo para el establecimiento, implementacin, operacin, seguimiento, revisin, mantenimiento y mejora de un sistema de gestin de la seguridad de la informacin (SGSI). La adopcin de un SGSI debera ser una decisinestratgica para una organizacin. El diseo e implementacin del SGSI de una organizacin estn influenciados por las necesidades y objetivos, los requisitos de seguridad, los procesos empleados y el tamao y estructura de la organizacin. Se espera que estos aspectos y sus sistemas de apoyo cambien con el tiempo. Se espera que la implementacin de un SGSI seajuste de acuerdo con las necesidades de la organizacin, por ejemplo, una situacin simple requiere una solucin de SGSI simple. Esta norma se puede usar para evaluar la conformidad, por las partes interesadas, tanto internas como externas.

Enfoque Basado En Procesos

La Nueva Estructura De La ISO 27001

ISO 27001:2005/2013

111. ObjetoEsta norma cubre todo tipo de organizaciones (por ejemplo: empresas comerciales, agencias gubernamentales, organizaciones si nimo de lucro). Esta norma especifica los requisitos para establecer, implementar, operar, hacer seguimiento, revisar, mantener y mejorar un SGSI documentado dentro del contexto de los riesgos globales del negocio de la organizacin.Especifica los requisitos para la implementacin de controles de seguridad adaptados a las necesidades de las organizaciones individuales o a partes de ellas.

El SGSI est diseado para asegurar controles de seguridad suficientes y proporcionales que protejan los activos de informacin y brinden confianza a las partes interesadas.

1. Objeto APLICACIN

Los requisitos establecidos en esta norma son genricos y estn previstos para ser aplicables a todas las organizaciones, independientemente de su tipo, tamao y naturaleza. No es aceptable la exclusin de cualquiera de los requisitos especificados en los numerales 4, 5, 6, 7 y 8 cuando unaorganizacin declara conformidad con la presente norma.2. Referencia NormativaEl siguiente documento referenciado es indispensable para la aplicacin de esta norma. Para referencias fechadas, slo se aplica la edicin citada. Para referencias no fechadas, se aplica la ltima edicin del documento referenciado (incluida cualquier correccin).

3. TRMINOS Y DEFINICIONESPara los propsitos de esta norma, se aplican los siguientes trminos y definiciones:aceptacin del riesgoActivoanlisis de riesgoConfidencialidaddeclaracin de aplicabilidadDisponibilidadevaluacin del riesgoevento de seguridad de la informacingestin del riesgoincidente de seguridad de la informacinIntegridadriesgo residualseguridad de la informacinsistema de gestin de la seguridad de la informacintratamiento del riesgovaloracin del riesgo4.Sistema de gestin de la seguridad de la informacinLa organizacin debe establecer, implementar, operar, hacer seguimiento, revisar, mantener y mejorar un SGSI documentado, en el contexto de las actividades globales del negocio de la organizacin y de los riesgos que enfrenta. Para los propsitos de esta norma, el proceso usado se basa en el modelo PHVARequisitos Generales:

La Organizacin Debe:Definir el alcance y lmites del SGSI en trminos de las caractersticas del negocio, la organizacin, su ubicacin, sus activos, tecnologa, e incluir los detalles y justificacin de cualquier exclusin del alcance.Definir una poltica de SGSI en trminos de las caractersticas del negocio, la organizacin, su ubicacin, sus activos y tecnologa.Definir el enfoque organizacional para la valoracin del riesgo.Identificar los riesgosAnalizar y evaluar los riesgos.Identificar y evaluar las opciones para el tratamiento de los riesgos.Seleccionar los objetivos de control y los controles para el tratamiento de los riesgos.Obtener la aprobacin de la direccin sobre los riesgos residuales propuestos.Obtener autorizacin de la direccin para implementar y operar el SGSI.Elaborar una declaracin de aplicabilidad.Establecimiento Y Gestin Del SGSI

4.Sistema de gestin de la seguridad de la informacin5. Responsabilidad de la direccin COMPROMISO DE LA DIRECCIN:

La direccin debe brindar evidencia de su compromiso con el establecimiento, implementacin, operacin, seguimiento, revisin, mantenimiento y mejora del SGSI:

a) mediante el establecimiento de una poltica del SGSI.b) asegurando que se establezcan los objetivos y planes del SGSI.c) estableciendo funciones y responsabilidades de seguridad de la informacin.d) comunicando a la organizacin la importancia de cumplir los objetivos de seguridad de la informacin y de la conformidad con la poltica de seguridad de la informacin, sus responsabilidades bajo la ley, y la necesidad de la mejora continua.e) brindando los recursos suficientes para establecer, implementar, operar, hacerseguimiento, revisar, mantener y mejorar un SGSI.

5. Responsabilidad de la direccin

La organizacin debe determinar y suministrar los recursos necesarios para:

a) establecer, implementar, operar, hacer seguimiento, revisar, mantener y mejorarun SGSI.b) asegurar que los procedimientos de seguridad de la informacin brindan apoyo alos requisitos del negocio.c) identificar y atender los requisitos legales y reglamentarios, as como lasobligaciones de seguridad contractuales.d) mantener la seguridad suficiente mediante la aplicacin correcta de todos loscontroles implementados.e) llevar a cabo revisiones cuando sea necesario, y reaccionar apropiadamente alos resultados de estas revisiones.f) en donde se requiera, mejorar la eficacia del SGSI.GESTIN DE RECURSOS: 6. AUDITORIAS INTERNAS DEL SGSILa organizacin debe llevar a cabo auditoras internas del SGSI a intervalos planificados, para determinar si los objetivos de control, controles, procesos y procedimientos de su SGSI:

a) cumplen los requisitos de la presente norma y de la legislacin oreglamentaciones pertinentes.b) cumplen los requisitos identificados de seguridad de la informacin.c) estn implementados y se mantienen eficazmente.d) tienen un desempeo acorde con lo esperado.

7. REVISIN DEL SGSI POR LA DIRECCIN

. La direccin debe revisar el SGSI de la organizacin a intervalos planificados(por lo menos una vez al ao), para asegurar su conveniencia, suficiencia y eficacia continuas. Esta revisin debe incluir la evaluacin de las oportunidades de mejora y la necesidad de cambios del SGSI, incluidos la poltica de seguridad y los objetivos de seguridad. Los resultados de las revisiones se deben documentar claramente y se deben llevar registros.

7. REVISIN DEL SGSI POR LA DIRECCININFORMACIN PARA LA REVISIN

Las entradas para la revisin por la direccin deben incluir:

a) resultados de las auditoras y revisiones del SGSI.b) retroalimentacin de las partes interesadas.c) tcnicas, productos o procedimientos que se pueden usar en la organizacinpara mejorar el desempeo y eficacia del SGSI.d) estado de las acciones correctivas y preventivas.e) vulnerabilidades o amenazas no tratadas adecuadamente en la valoracin previa de los riesgos.f) resultados de las mediciones de eficacia.g) acciones de seguimiento resultantes de revisiones anteriores por la direccin;h) cualquier cambio que pueda afectar el SGSI. i) recomendaciones para mejoras.7. REVISIN DEL SGSI POR LA DIRECCINRESULTADOS DE LA REVISIN

Los resultados de la revisin por la direccin deben incluir cualquier decisin y accin relacionada con: a) la mejora de la eficacia del SGSI.b) la actualizacin de la evaluacin de riesgos y del plan de tratamiento de riesgos.c) La modificacin de los procedimientos y controles que afectan la seguridad de lainformacin, segn sea necesario, para responder a eventos internos o externosque pueden tener impacto en el SGSI.d) los recursos necesarios.e) la mejora a la manera en que se mide la eficacia de los controles.8. MEJORA DEL SGSIMEJORA CONTINUA

La organizacin debe mejorar continuamente la eficacia del SGSI mediante el uso de la poltica de seguridad de la informacin, los objetivos de seguridad de la informacin, los resultados de la auditora, el anlisis de los eventos a los que se les ha hecho seguimiento, las acciones correctivas y preventivas y la revisin por la direccin.

ACCIN CORRECTIVA

a) identificar las no conformidades;b) determinar las causas de las no conformidades.c) evaluar la necesidad de acciones que aseguren que las no conformidades novuelven a ocurrir.d) determinar e implementar la accin correctiva necesaria.e) registrar los resultados de la accin tomada.f) revisar la accin correctiva tomada.8. MEJORA DEL SGSIACCIN PREVENTIVA

a) identificar no conformidades potenciales y sus causas;b) evaluar la necesidad de acciones para impedir que las no conformidades ocurran.c) determinar e implementar la accin preventiva necesaria;d) registrar los resultados de la accin tomada (vase el numeral 4.3.3), ye) revisar la accin preventiva tomada.

La organizacin debe identificar los cambios en los riesgos e identificar los requisitos en cuanto acciones preventivas, concentrando la atencin en los riesgos que han cambiado significativamente.OBJETIVOS DE CONTROL Y CONTROLESANEXO A

INTRODUCCINLos objetivos de control y los controles enumerados en la Tabla A.1 se han obtenido directamente de los de la NTC-ISO/IEC 17799:2005, numerales 5 a 15, y estn alineados con ellos. Las listas de estas tablas no son exhaustivas, y la organizacin puede considerar que se necesitan objetivos de control y controles adicionales. Los objetivos de control y controles de estas tablas se deben seleccionar como parte del proceso de SGSI especificado en el numeralOBJETIVOS DE CONTROL Y CONTROLESANEXO B(Informativo)PRINCIPIOS DE LA OCDE Y DE ESTA NORMA

Los principios presentados en la Directrices de la OCDE para la Seguridad de Sistemas y Redes de Informacin se aplican a todos los niveles de poltica y operacionales que controlan la seguridad de los sistemas y redes de informacin. Esta norma internacional brinda una estructura del sistema de gestin de la seguridad de la informacin para implementar algunos principios de la OCDE usando el modelo PHVA y los procesos descritos en los numerales 4, 5, 6 y 8,OBJETIVOS DE CONTROL Y CONTROLESANEXO C(Informativo)CORRESPONDENCIA ENTRE LA NTC-ISO 9001:2000, LA NTC-ISO 14001:2004, Y LA PRESENTE NORMA

La Tabla C.1 muestra la correspondencia entre la NTC ISO 9001:2000, la NTC-ISO 14001:2004 y la presente norma internacional.Anexo A ISO/IEC 27001-2013

El AnexoA Referencia de objetivos y controlescontina formando parte de este estndar, pero los anexos B y C se han eliminado.El nmero de dominios del anexo aumenta de 11 a 14, de esta manera, donde algunos controles se incluan de forma artificial en ciertas reas donde no encajaban perfectamente, ahora se organizan mejor.ISO/IEC 27002

Publicadadesde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005 como ao de edicin. Es una gua de buenas prcticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la informacin. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su apartado correspondiente, la norma ISO 27001 contiene un anexo que resume los controles de ISO 27002:2005.

El objetivo es el de establecer un esquema directivo de gestin para iniciar y controlar la implementacin y operativa de la seguridad de la informacin en la organizacin.

27002:2005 Vs 27002:20135. POLTICAS DE SEGURIDAD.6. ASPECTOS ORGANIZATIVOS DE LA SEG. DE LA INF.7. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS.8. GESTIN DE ACTIVOS. 9. CONTROL DE ACCESOS. 10. CIFRADO. 11. SEGURIDAD FSICA Y AMBIENTAL.12. SEGURIDAD EN LA OPERACIONES.13. SEGURIDAD EN LAS TELECOMUNICACIONES. 14. ADQUI, DESARRO Y MANT DE LOS SIST DE INF. 15. RELACIONES CON SUMINISTRADORES. 16. GESTIN DE INCIDENTES EN LA SEG DE LA INF.17. ASPECTOS DE SEGURIDAD DE LA INFORMACION EN LA GESTIN DE LA CONTINUIDAD DEL NEGOCIO.18. CUMPLIMIENTO.5. POLTICA DE SEGURIDAD. 6. ASPECTOS ORGANIZATIVOS DE LA SEG. DE LA INF. 7. GESTIN DE ACTIVOS. 8. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS. 9. SEGURIDAD FSICA Y DEL ENTORNO. 10. GESTIN DE COMUNICACIONES Y OPERACIONES. 11. CONTROL DE ACCESO. 12. ADQUI, DESARROLLO Y MANT DE SIST DE INF. 13. GESTIN DE INCIDENTES EN LA SEG DE LA INF. 14. GESTIN DE LA CONTINUIDAD DEL NEGOCIO. 15. CUMPLIMIENTO. 27002:2005 Vs 27002:2013

Estructura De La Norma

DominioObjetos de ControlControles5. Poltica De Seguridad.

ObjetivoDirigir y dar soporte a la gestin de la seguridadde la informacin en concordancia con los requerimientos del negocio, las leyes y las regulaciones.

5.1 Directrices de la Direccin enSeguridadde la InformacinLa gerencia debera establecer de forma clara las lneas de las polticas de actuacin y manifestar su apoyo y compromiso a la seguridad de la informacin, publicando y manteniendo polticas de seguridad en toda la organizacin.

Actividades de Control del Riesgo

5.1.1 Polticas para la seguridad de la informacin: Se debera definir un conjunto de polticas para la seguridad de la informacin, aprobado por la direccin, publicado y comunicado a los empleados as como a todas las partes externas relevantes.

5.1.2 Revisin de las polticas para la seguridad de la informacin: Las polticas para la seguridad de la informacin se deberan planificar y revisar con regularidad o si ocurren cambios significativos para garantizar su idoneidad, adecuacin y efectividad.

6. Aspectos Organizativos De La Seguridad De La InformacinObjetivoEstablecer la administracin de la seguridad de la informacin, como parte fundamental de los objetivos y actividades de la organizacin.

Para ello se debera definir formalmente un mbito de gestin para efectuar tareas tales como la aprobacin de las polticas de seguridad, la coordinacin de la implementacin de la seguridad y la asignacin de funciones y responsabilidades.

Para una actualizacin adecuada en materia de seguridad se debera contemplar la necesidad de disponer de fuentes con conocimiento y experimentadas para el asesoramiento, cooperacin y colaboracin en materia de seguridad de la informacin.

6. Aspectos Organizativos De La Seguridad De La InformacinObjetivoEstablecer la administracin de la seguridad de la informacin, como parte fundamental de los objetivos y actividades de la organizacin.

6.1 Organizacin interna

El objetivo es el de establecer un esquema directivo de gestin para iniciar y controlar la implementacin y operativa de la seguridad de la informacin en la organizacin.

Se debera establecer una estructura de gestin con objeto de iniciar y controlar la implantacin de la seguridad de la informacin dentro de la Organizacin.

El rgano de direccin debera aprobar la poltica de seguridad de la informacin, asignar los roles de seguridad y coordinar y revisar la implantacin de la seguridad en toda la Organizacin.

6.1 Organizacin interna6.1.1 Asignacin de responsabilidades para la Seguridad de la informacin: Se deberan definir y asignar claramente todas las responsabilidades para la seguridad de la informacin.

6.1.2 Segregacin de tareas: Se deberan segregar tareas y las reas de responsabilidad ante posibles conflictos de inters con el fin de reducir las oportunidades de una modificacin no autorizada o no intencionada, o el de un mal uso de los activos de la organizacin.

6.1.3 Contacto con las autoridades: Se deberan mantener los contactos apropiados con las autoridades pertinentes.

6.1.4 Contacto con grupos de inters especial: Se debera mantener el contacto con grupos o foros de seguridad especializados y asociaciones profesionales.

6.1.5 Seguridad de la informacin en la gestin de proyectos: Se debera contemplar la seguridad de la informacin en la gestin de proyectos e independientemente del tipo de proyecto a desarrollar por la organizacin.6. Aspectos Organizativos De La Seguridad De La Informacin6.2 Dispositivos para movilidad y teletrabajo

El objetivo es el de garantizar la seguridad de la informacin en el uso de recursos de informtica mvil y teletrabajo.

En el uso de la informtica mvil deberan considerarse los riesgos de trabajar en entornos desprotegidos y aplicar la proteccin conveniente. En el caso del teletrabajo, la Organizacin debera aplicar las medidas de proteccin al lugar remoto y garantizar que las disposiciones adecuadas estn disponibles para esta modalidad de trabajo.

Debera disponer de polticas claramente definidas para la proteccin, no slo de los propios equipos informticos porttiles (es decir, laptops, PDAs, etc.), sino, en mayor medida, de la informacin almacenada en ellos.6. Aspectos Organizativos De La Seguridad De La Informacin6.2 Dispositivos para movilidad y teletrabajo

6.2.1 Poltica de uso de dispositivos para movilidad: Se debera establecer una poltica formal y se deberan adoptar las medidas de seguridad adecuadas para la proteccin contra los riesgos derivados del uso de los recursos de informtica mvil y las telecomunicaciones.

6.2.2 Teletrabajo: Se debera desarrollar e implantar una poltica y medidas de seguridad de apoyo para proteger a la informacin accedida, procesada o almacenada en ubicaciones destinadas al teletrabajo.6. Aspectos Organizativos De La Seguridad De La Informacin7. Seguridad Ligada A Los Recursos HumanosObjetivoLa necesidad de educar e informar al personal desde su ingreso y en forma continua, cualquiera sea su situacin de actividad, acerca de las medidas de seguridad que afectan al desarrollo de sus funciones y de las expectativas depositadas en ellos en materia de seguridad y asuntos de confidencialidad.

El Responsable del rea Jurdica participa en la confeccin del Compromiso de confidencialidad a firmar por los empleados y terceros que desarrollen funciones en el organismo, en el asesoramiento sobre las sanciones a ser aplicadas por incumplimiento de las Polticas en seguridad y en el tratamiento de incidentes de seguridad que requieran de su intervencin.7. Seguridad Ligada A Los Recursos Humanos7.1 Antes de la contratacin

El objetivo es el de asegurar que los empleados, contratistas y usuarios de terceras partes entiendan sus responsabilidades y sean aptos para las funciones que desarrollen. Reducir el riesgo de robo, fraude y mal uso de las instalaciones y medios.

7.1.1 Investigacin de antecedentes: Se deberan realizar revisiones de verificacin de antecedentes de los candidatos al empleo en concordancia con las regulaciones, tica y leyes relevantes y deben ser proporcionales a los requerimientos del negocio, la clasificacin de la informacin a la cual se va a tener acceso y los riesgos percibidos.

7.1.2 Trminos y condiciones de contratacin: Como parte de su obligacin contractual, empleados, contratistas y terceros deberan aceptar y firmar los trminos y condiciones del contrato de empleo, el cual establecer sus obligaciones y las obligaciones de la organizacin para la seguridad de informacin.

7. Seguridad Ligada A Los Recursos Humanos7.2 Durante la contratacin

El objetivo es el de asegurarse de que los empleados y contratistas estn en conocimiento y cumplen con sus responsabilidades en seguridad de la informacin.

7.2.1 Responsabilidades de gestin: La Direccin debera requerir a empleados, contratistas y usuarios de terceras partes aplicar la seguridad en concordancia con las polticas y los procedimientos.

7.2.2 Concienciacin, educacin y capacitacin en SI: Todos los empleados de la organizacin y donde sea relevante, contratistas y usuarios de terceros deberan recibir entrenamiento apropiado del conocimiento y actualizaciones regulares en polticas y procedimientos organizacionales como sean relevantes para la funcin de su trabajo.

7.2.3 Proceso disciplinario: Debera existir un proceso formal disciplinario comunicado a empleados que produzcan brechas en la seguridad.7. Seguridad Ligada A Los Recursos Humanos7.3 Cese o cambio de puesto de trabajo

El objetivo es el de proteger los intereses de la organizacin durante el proceso de cambio o finalizacin de empleo por parte de empleados y contratistas.

Los cambios en las responsabilidades y empleos en la organizacin.La devolucin de los activos de la organizacin.Examine qu accesos necesita revocar.

7.3.1 Cese o cambio de puesto de trabajo: Las responsabilidades para ejecutar la finalizacin de un empleo o el cambio de ste deberan estar claramente definidas, comunicadas a empleado o contratista y asignadas efectivamente.8. GESTIN ACTIVOS

Objetivo

Es que la organizacin tenga conocimiento preciso sobre los activos que posee como parte importante de la administracin de riesgos.

8.1 Responsabilidad sobre los activos

El objetivo es identificar los activos en la organizacin y definir las responsabilidades para una proteccin adecuada.

8.1.1 Inventario de activos: Todos los activos deberan estar claramente identificados, confeccionando y manteniendo un inventario con los ms importantes.

8. Gestin Activos

8.1 Responsabilidad sobre los activos

8.1.2 Propiedad de los activos: Toda la informacin y activos del inventario asociados a los recursos para el tratamiento de la informacin deberan pertenecer a una parte designada de la Organizacin.

8.1.3 Uso aceptable de los activos: Se deberan identificar, documentar e implantar regulaciones para el uso adecuado de la informacin y los activos asociados a recursos de tratamiento de la informacin.

8.1.4 Devolucin de activos: Todos los empleados y usuarios de terceras partes deberan devolver todos los activos de la organizacin que estn en su posesin/responsabilidad una vez finalizado el acuerdo, contrato de prestacin de servicios o actividades relacionadas con su contrato de empleo.8. Gestin Activos

8.2 Clasificacin De La Informacin

el objetivo es el de asegurar que se aplica un nivel de proteccin adecuado a la informacin.

8.2.1 directrices de clasificacin: la informacin debera clasificarse en relacin a su valor, requisitos legales, sensibilidad y criticidad para la organizacin.

8.2.2 etiquetado y manipulado de la informacin: se debera desarrollar e implantar un conjunto apropiado de procedimientos para el etiquetado y tratamiento de la informacin, de acuerdo con el esquema de clasificacin adoptado por la organizacin.

8.2.3 manipulacin de activos: se deberan desarrollar e implantar procedimientos para la manipulacin de los activos acordes con el esquema de clasificacin de la informacin adoptado por la organizacin.

8. Gestin Activos

8.3 Manejo de los soportes de almacenamiento

El objetivo es evitar la divulgacin, modificacin, retirada o destruccin de activos no autorizada almacenada en soportes de almacenamiento.

8.3.1 Gestin de soportes extrables: Se deberan establecer procedimientos para la gestin de los medios informticos removibles acordes con el esquema de clasificacin adoptado por la organizacin.

8.3.2 Eliminacin de soportes: Se deberan eliminar los medios de forma segura y sin riesgo cuando ya no sean requeridos, utilizando procedimientos formales.

8.3.3 Soportes fsicos en trnsito: Se deberan proteger los medios que contienen informacin contra acceso no autorizado, mal uso o corrupcin durante el transporte fuera de los limites fsicos de la organizacin.9. Control De Accesos

Objetivo

Controlar el acceso por medio de un sistema de restricciones y excepciones a la informacin como base de todo sistema deseguridadinformtica.

9.1 Requisitos de negocio para el control de accesos

El objetivo es controlar los accesos a la informacin y las instalaciones utilizadas para su procesamiento.

9.1.1 Poltica de control de accesos: Se debera establecer, documentar y revisar una poltica de control de accesos en base a las necesidades de seguridad y de negocio de la Organizacin.

9.1.2 Control de acceso a las redes y servicios asociados: Se debera proveer a los usuarios de los accesos a redes y los servicios de red para los que han sido expresamente autorizados a utilizar.9. Control De Accesos

9.2 Gestin de acceso de usuario

El objetivo es el de garantizar el acceso a los usuarios autorizados e impedir los accesos no autorizados a los sistemas de informacin y servicios.

9.2.1 Gestin de altas/bajas en el registro de usuarios: Debera existir un procedimiento formal de alta y baja de usuarios con objeto de habilitar la asignacin de derechos de acceso.

9.2.2 Gestin de los derechos de acceso asignados a usuarios: Se debera de implantar un proceso formal de aprovisionamiento de accesos a los usuarios para asignar o revocar derechos de acceso a todos los tipos de usuarios y para todos los sistemas y servicios.

9.2.3 Gestin de los derechos de acceso con privilegios especiales: La asignacin y uso de derechos de acceso con privilegios especiales debera ser restringido y controlado.9. Control De Accesos

9.2 Gestin de acceso de usuario

9.2.4 Gestin de informacin confidencial de autenticacin de usuarios: La asignacin de informacin confidencial para la autenticacin debera ser controlada mediante un proceso de gestin controlado.

9.2.5 Revisin de los derechos de acceso de los usuarios: Los propietarios de los activos deberan revisar con regularidad los derechos de acceso de los usuarios.

9.2.6 Retirada o adaptacin de los derechos de acceso: Se deberan retirar los derechos de acceso para todos los empleados, contratistas o usuarios de terceros a la informacin y a las instalaciones del procesamiento de informacin a la finalizacin del empleo, contrato o acuerdo, o ser revisados en caso de cambio.9.3 Responsabilidades del usuario

El objetivo es hacer que los usuarios sean responsables de la proteccin de la informacin para su identificacin.

9.3.1 Uso de informacin confidencial para la autenticacin: Se debera exigir a los usuarios el uso de las buenas prcticas de seguridad de la organizacin en el uso de informacin confidencial para la autenticacin.9. Control De Accesos

9.4 Control de acceso a sistemas y aplicaciones

El objetivo es impedir el acceso no autorizado a la informacin mantenida por los sistemas y aplicaciones.

9.4.1 Restriccin del acceso a la informacin: Se debera restringir el acceso de los usuarios y el personal de mantenimiento a la informacin y funciones de los sistemas de aplicaciones, en relacin a la poltica de control de accesos definida.

9.4.2 Procedimientos seguros de inicio de sesin: Cuando sea requerido por la poltica de control de accesos se debera controlar el acceso a los sistemas y aplicaciones mediante un procedimiento seguro de log-on

9.4.3 Gestin de contraseas de usuario: Los sistemas de gestin de contraseas deberan ser interactivos y asegurar contraseas de calidad.

9. Control De Accesos9.4 Control de acceso a sistemas y aplicaciones

9.4.4 Uso de herramientas de administracin de sistemas: El uso de utilidades software que podran ser capaces de anular o evitar controles en aplicaciones y sistemas deberan estar restringidos y estrechamente controlados.

9.4.5 Control de acceso al cdigo fuente de los programas: Se debera restringir el acceso al cdigo fuente de las aplicaciones software.9. Control De Accesos10. Cifrado

Objetivo

El objetivo es garantizar un uso adecuado y eficaz de la criptografa para proteger la confidencialidad, la autenticidad y/o la integridad de la informacin.

10.1 Controles criptogrficos

El objetivo es garantizar un uso adecuado y eficaz de la criptografa para proteger la confidencialidad, la autenticidad y/o la integridad de la informacin.

10.1.1 Poltica de uso de los controles criptogrficos: Se debera desarrollar e implementar una poltica que regule el uso de controles criptogrficos para la proteccin de la informacin.

10.1.2 Gestin de claves: Se debera desarrollar e implementar una poltica sobre el uso, la proteccin y el ciclo de vida de las claves criptogrficas a travs de todo su ciclo de vida.11.SeguridadFsica Y Ambiental

Objetivo

Es minimizar los riesgos de daos e interferencias a la informacin y a las operaciones de la organizacin.

11.1 reas seguras

El objetivo es evitar el acceso fsico no autorizado, los daos e interferencias a la informacin de la organizacin y las instalaciones de procesamiento de la informacin.

11.1.1 Permetro de seguridad fsica: Se deberan definir y utilizar permetros de seguridad para la proteccin de las reas que contienen informacin y las instalaciones de procesamiento de informacin sensible o crtica.

11.SeguridadFsica Y Ambiental

11.1 reas seguras

11.1.2 Controles fsicos de entrada: Las reas seguras deberan estar protegidas mediante controles de entrada adecuados para garantizar que solo el personal autorizado dispone de permiso de acceso.

11.1.3 Seguridad de oficinas, despachos y recursos: Se debera disear y aplicar un sistema de seguridad fsica a las oficinas, salas e instalaciones de la organizacin.

11.1.4 Proteccin contra las amenazas externas y ambientales: Se debera disear y aplicar una proteccin fsica contra desastres naturales, ataques maliciosos o accidentes.

11.1.5 El trabajo en reas seguras: Se deberan disear y aplicar procedimientos para el desarrollo de trabajos y actividades en reas seguras.

11.1.6 reas de acceso pblico, carga y descarga: Se deberan controlar puntos de acceso a la organizacin como las reas de entrega y carga/descarga (entre otros) para evitar el ingreso de personas no autorizadas a las dependencias aislando estos puntos, en la medida de lo posible, de las instalaciones de procesamiento de informacin.11.SeguridadFsica Y Ambiental

11.1 reas seguras

11.1.6 reas de acceso pblico, carga y descarga: Se deberan controlar puntos de acceso a la organizacin como las reas de entrega y carga/descarga (entre otros) para evitar el ingreso de personas no autorizadas a las dependencias aislando estos puntos, en la medida de lo posible, de las instalaciones de procesamiento de informacin.11.seguridadfsica y ambiental

11.2 Seguridad de los equipos

El objetivo es evitar la prdida, los daos, el robo o el compromiso de activos y la interrupcin a las operaciones de la organizacin.

11.2.1 Emplazamiento y proteccin de equipos: Los equipos se deberan emplazar y proteger para reducir los riesgos de las amenazas y peligros ambientales y de oportunidades de acceso no autorizado.

11.2.2 Instalaciones de suministro: Los equipos deberan estar protegidos contra cortes de luz y otras interrupciones provocadas por fallas en los suministros bsicos de apoyo.

11.2.3 Seguridad del cableado: Los cables elctricos y de telecomunicaciones que transportan datos o apoyan a los servicios de informacin se deberan proteger contra la intercepcin, interferencia o posibles daos.11.SeguridadFsica Y Ambiental


11.2.4 Mantenimiento de los equipos: Los equipos deberan mantenerse adecuamente con el objeto de garantizar su disponibilidad e integridad continuas.

11.2.5 Salida de activos fuera de las dependencias de la empresa: Los equipos, la informacin o el software no se deberan retirar del sitio sin previa autorizacin.

11.2.6 Seguridad de los equipos y activos fuera de las instalaciones: Se debera aplicar la seguridad a los activos requeridos para actividades fuera de las dependencias de la organizacin y en consideracin de los distintos riesgos.

11.SeguridadFsica Y Ambiental


11.2.7 Reutilizacin o retirada segura de dispositivos de almacenamiento: Se deberan verificar todos los equipos que contengan medios de almacenamiento para garantizar que cualquier tipo de datos sensibles y software con licencia se hayan extrado o se hayan sobrescrito de manera segura antes de su eliminacin o reutilizacin.

11.2.8 Equipo informtico de usuario desatendido: Los usuarios se deberan asegurar de que los equipos no supervisados cuentan con la proteccin adecuada.

11.2.9 Poltica de puesto de trabajo despejado y bloqueo de pantalla: Se debera adoptar una poltica de puesto de trabajo despejado para documentacin en papel y para medios de almacenamiento extrables y una poltica de monitores sin informacin para las instalaciones de procesamiento de informacin.12.SeguridadEn La Operativa

12.1 Responsabilidades y procedimientos de operacin


12.1.1 Documentacin de procedimientos de operacin: Se deberan documentar los procedimientos operativos y dejar a disposicin de todos los usuarios que los necesiten.

12.1.2 Gestin de cambios: Se deberan controlar los cambios que afectan a la seguridad de la informacin en la organizacin y procesos de negocio, las instalaciones y sistemas de procesamiento de informacin.

12.1.3 Gestin de capacidades: Se debera monitorear y ajustar el uso de los recursos junto a proyecciones necesarias de requisitos de capacidad en el futuro con el objetivo de garantizar el rendimiento adecuado en los sistemas.12.SeguridadEn La Operativa

12.1 Responsabilidades y procedimientos de operacin

12.1.4 Separacin de entornos de desarrollo, prueba y produccin: Los entornos de desarrollo, pruebas y operacionales deberan permanecer separados para reducir los riesgos de acceso o de cambios no autorizados en el entorno operacional.12.SeguridadEn La Operativa

12.2 Proteccin contra cdigo malicioso

El objetivo es garantizar que la informacin y las instalaciones de procesamiento de informacin estn protegidas contra el malware.

12.2.1 Controles contra el cdigo malicioso: Se deberan implementar controles para la deteccin, prevencin y recuperacin ante afectaciones de malware en combinacin con la concientizacin adecuada de los usuarios.

12.3 Copias de seguridad

El objetivo es alcanzar un grado de proteccin deseado contra la prdida de datos.

12.3.1 Copias de seguridad de la informacin: Se deberan realizar y pruebas regulares de las copias de la informacin, del software y de las imgenes del sistema en relacin a una poltica de respaldo (Backup) convenida.12.SeguridadEn La Operativa

12.4 Registro de actividad y supervisin

El objetivo es registrar los eventos relacionados con la seguridad de la informacin y generar evidencias.

12.4.1 Registro y gestin de eventos de actividad: Se deberan producir, mantener y revisar peridicamente los registros relacionados con eventos de actividad del usuario, excepciones, fallas y eventos de seguridad de la informacin.

12.4.2 Proteccin de los registros de informacin: Se debera proteger contra posibles alteraciones y accesos no autorizados la informacin de los registros.

12.4.3 Registros de actividad del administrador y operador del sistema: Se deberan registrar las actividades del administrador y del operador del sistema y los registros asociados se deberan proteger y revisar de manera regular.12.SeguridadEn La Operativa

12.4 Registro de actividad y supervisin

12.4.4 Sincronizacin de relojes: Se deberan sincronizar los relojes de todos los sistemas de procesamiento de informacin pertinentes dentro de una organizacin o de un dominio de seguridad y en relacin a una fuente de sincronizacin nica de referencia.

12.5 Control del software en explotacin

El objetivo es garantizar la integridad de los sistemas operacionales para la organizacin.

12.5.1 Instalacin del software en sistemas en produccin: Se deberan implementar procedimientos para controlar la instalacin de software en sistemas operacionales.12.SeguridadEn La Operativa

12.6 Gestin de la vulnerabilidad tcnica

El objetivo es evitar la explotacin de vulnerabilidades tcnicas.

12.6.1 Gestin de las vulnerabilidades tcnicas: Se debera obtener informacin sobre las vulnerabilidades tcnicas de los sistemas de informacin de manera oportuna para evaluar el grado de exposicin de la organizacin y tomar las medidas necesarias para abordar los riesgos asociados.

12.6.2 Restricciones en la instalacin de software: Se deberan establecer e implementar las reglas que rigen la instalacin de software por parte de los usuarios.12.SeguridadEn La Operativa

12.7 Consideraciones De Las Auditoras De Los Sistemas De Informacin

El Objetivo Es Minimizar El Impacto De Actividades De Auditora En Los Sistemas Operacionales.

12.7.1 Controles De Auditora De Los Sistemas De Informacin: Se Deberan Planificar Y Acordar Los Requisitos Y Las Actividades De Auditora Que Involucran La Verificacin De Los Sistemas Operacionales Con El Objetivo De Minimizar Las Interrupciones En Los Procesos Relacionados Con El Negocio.13. Seguridad En Las Telecomunicaciones

Objetivo

Asegurar la proteccin de la informacin que se comunica por redes telemticas y la proteccin de la infraestructura de soporte.

13.1 Gestin de la seguridad en las redes


13.1.1 Controles de red: Se deberan administrar y controlar las redes para proteger la informacin en sistemas y aplicaciones.

13. Seguridad En Las Telecomunicaciones

13.1 Gestin de la seguridad en las redes

13.1.2 Mecanismos de seguridad asociados a servicios en red: Se deberan identificar e incluir en los acuerdos de servicio (SLA) los mecanismos de seguridad, los niveles de servicio y los requisitos de administracin de todos los servicios de red, independientemente de si estos servicios se entregan de manera interna o estn externalizados.

13.1.3 Segregacin de redes: Se deberan segregar las redes en funcin de los grupos de servicios, usuarios y sistemas de informacin.13. Seguridad En Las Telecomunicaciones

13.2 Intercambio de informacin con partes externas

El objetivo es mantener la seguridad de la informacin que transfiere un organizacin internamente o con entidades externas.

13.2.1 Polticas y procedimientos de intercambio de informacin: Deberan existir polticas, procedimientos y controles formales de transferencia para proteger la informacin que viaja a travs del uso de todo tipo de instalaciones de comunicacin.

13.2.2 Acuerdos de intercambio: Los acuerdos deberan abordar la transferencia segura de informacin comercial entre la organizacin y las partes externas.

13.2.3 Mensajera electrnica: Se debera proteger adecuadamente la informacin referida en la mensajera electrnica.

13. Seguridad En Las Telecomunicaciones

13.2 Intercambio de informacin con partes externas

13.2.4 Acuerdos de confidencialidad y secreto: se deberan identificar, revisar y documentar de manera regular los requisitos para los acuerdos de confidencialidad y "no divulgacin" que reflejan las necesidades de la organizacin para la proteccin de informacin.14. Aquisicin, Desarrollo Y Mantenimiento De Los Sistemas De Informacin

Objetivo

El objetivo es asegurar la inclusin de controles deseguridady validacin de datos en la adquisicin y el desarrollo de los sistemas de informacin.

14.1 Requisitos de seguridad de los sistemas de informacin

El objetivo es garantizar que la seguridadde la informacin sea una parte integral de los sistemas de informacin en todo el ciclo de vida, incluyendo los requisitos para aquellos que proporcionan servicios en redes pblicas.

14.1.1 Anlisis y especificacin de los requisitos de seguridad: Los requisitos relacionados con la seguridad de la informacin se deberan incluir en los requisitos para los nuevos sistemas o en las mejoras a los sistemas de informacin ya existentes.14. Aquisicin, Desarrollo Y Mantenimiento De Los Sistemas De Informacin

14.1 Requisitos de seguridad de los sistemas de informacin

14.1.2 Seguridad de las comunicaciones en servicios accesibles por redes pblicas: La informacin de los servicios de aplicacin que pasan a travs de redes pblicas se deberan proteger contra actividades fraudulentas, de disputa de contratos y/o de modificacin no autorizada.

14.1.3 Proteccin de las transacciones por redes telemticas: La informacin en transacciones de servicios de aplicacin se debera proteger para evitar la transmisin y enrutamiento incorrecto y la alteracin, divulgacin y/o duplicacin no autorizada de mensajes o su reproduccin.

14. Aquisicin, Desarrollo Y Mantenimiento De Los Sistemas De Informacin

14.2 Seguridad en los procesos de desarrollo y soporte

El objetivo es garantizar que la seguridad de la informacin se disee e implemente dentro del ciclo de vida de desarrollo de los sistemas de informacin.

14.2.1 Poltica de desarrollo seguro de software: Se deberan establecer y aplicar reglas para el desarrollo de software y sistemas dentro de la organizacin.

14.2.2 Procedimientos de control de cambios en los sistemas: En el ciclo de vida de desarrollo se deberan hacer uso de procedimientos formales de control de cambios.

14.2.3 Revisin tcnica de las aplicaciones tras efectuar cambios en el sistema operativo: Las aplicaciones crticas para el negocio se deberan revisar y probar para garantizar que no se han generado impactos adversos en las operaciones o en la seguridad de la organizacin.14. Aquisicin, Desarrollo Y Mantenimiento De Los Sistemas De Informacin


14.2.4 Restricciones a los cambios en los paquetes de software: Se deberan evitar modificaciones en los paquetes de software suministrados por terceros, limitndose a cambios realmente necesarios. Todos los cambios se deberan controlar estrictamente.

14.2.5 Uso de principios de ingeniera en proteccin de sistemas: Se deberan establecer, documentar, mantener y aplicar los principios de seguridad en ingeniera de sistemas para cualquier labor de implementacin en el sistema de informacin.

14.2.6 Seguridad en entornos de desarrollo: Las organizaciones deberan establecer y proteger adecuadamente los entornos para las labores de desarrollo e integracin de sistemas que abarcan todo el ciclo de vida de desarrollo del sistema.

14.2.7 Externalizacin del desarrollo de software: La organizacin debera supervisar y monitorear las actividades de desarrollo del sistema que se hayan externalizado.

14. Aquisicin, Desarrollo Y Mantenimiento De Los Sistemas De Informacin


14.2.8 Pruebas de funcionalidad durante el desarrollo de los sistemas: Se deberan realizar pruebas de funcionalidad en aspectos de seguridad durante las etapas del desarrollo.

14.2.9 Pruebas de aceptacin: Se deberan establecer programas de prueba y criterios relacionados para la aceptacin de nuevos sistemas de informacin, actualizaciones y/o nuevas versiones.14. Aquisicin, desarrollo y Mantenimiento de los sistemas de informacin

14.3 Datos de prueba

El objetivo es garantizar la proteccin de los datos que se utilizan para procesos de pruebas.

14.3.1 Proteccin de los datos utilizados en prueba: Los datos de pruebas se deberan seleccionar cuidadosamente y se deberan proteger y controlar.15. Relaciones con Suministradores

Objetivo

El objetivo es implementar y mantener el nivel apropiado de seguridad de la informacin y la entrega de los servicios contratados en lnea con los acuerdos de entrega de servicios de terceros.

15.1 Seguridad de la informacin en las relaciones con suministradores

El objetivo es garantizar la proteccin de los activos de la organizacin que son accesibles a proveedores.

15.1.1 Poltica de seguridad de la informacin para suministradores: Se deberan acordar y documentar adecuadamente los requisitos de seguridad de la informacin requeridos por los activos de la organizacin con el objetivo de mitigar los riesgos asociados al acceso por parte de proveedores y terceras personas.15. Relaciones con Suministradores

15.1 Seguridad de la informacin en las relaciones con suministradores

15.1.2 Tratamiento del riesgo dentro de acuerdos de suministradores: Se deberan establecer y acordar todos los requisitos de seguridad de la informacin pertinentes a cada proveedor que puede acceder, procesar, almacenar, comunicar o proporcionar componentes de infraestructura de TI que dan soporte a la informacin de la organizacin.

15.1.3 Cadena de suministro en tecnologas de la informacin y comunicaciones: Los acuerdos con los proveedores deberan incluir los requisitos para abordar los riesgos de seguridad de la informacin asociados con la cadena de suministro de los servicios y productos de tecnologa de informacin y comunicaciones.15. Relaciones con Suministradores

15.2 Gestin de la prestacin del servicio por suministradores

El objetivo es mantener el nivel en la prestacin de servicios conforme a los acuerdos con el proveedor en materia de seguridad de informacin.

15.2.1 Supervisin y revisin de los servicios prestados por terceros: Las organizaciones deberan monitorear, revisar y auditar la presentacin de servicios del proveedor regularmente.

15.2.2 Gestin de cambios en los servicios prestados por terceros: Se deberan administrar los cambios a la provisin de servicios que realizan los proveedores manteniendo y mejorando: las polticas de seguridad de la informacin, los procedimientos y controles especficos. Se debera considerar la criticidad de la informacin comercial, los sistemas y procesos involucrados en el proceso de reevaluacin de riesgos.16. Gestin De Incidentes

Objetivo

El objetivo es garantizar que los eventos deseguridadde la informacin y las debilidades asociados a los sistemas de informacin sean comunicados de forma tal que se apliquen las acciones correctivas en el tiempo oportuno.

16.1 Gestin de incidentes de seguridad de la informacin y mejoras

El objetivo es garantizar una administracin de incidentes de seguridad de la informacin coherente y eficaz en base a un enfoque de comunicacin de los eventos y las debilidades de seguridad.

16.1.1 Responsabilidades y procedimientos: Se deberan establecer las responsabilidades y procedimientos de gestin para garantizar una respuesta rpida, eficaz y ordenada a los incidentes de seguridad de la informacin.16. Gestin De Incidentes


16.1.2 Notificacin de los eventos de seguridad de la informacin: Los eventos de seguridad de la informacin se deberan informar lo antes posible utilizando los canales de administracin adecuados.

16.1.3 Notificacin de puntos dbiles de la seguridad: Se debera requerir anotar e informar sobre cualquier debilidad sospechosa en la seguridad de la informacin en los sistemas o servicios tanto a los empleados como a contratistas que utilizan los sistemas y servicios de informacin de la organizacin.

16.1.4 Valoracin de eventos de seguridad de la informacin y toma de decisiones: Se deberan evaluar los eventos de seguridad de la informacin y decidir su clasificacin como incidentes.

16. Gestin De Incidentes


16.1.5 Respuesta a los incidentes de seguridad: Se debera responder ante los incidentes de seguridad de la informacin en atencin a los procedimientos documentados.

16.1.6 Aprendizaje de los incidentes de seguridad de la informacin: Se debera utilizar el conocimiento obtenido del anlisis y la resolucin de incidentes de seguridad de la informacin para reducir la probabilidad y/o impacto de incidentes en el futuro.

16.1.7 Recopilacin de evidencias: La organizacin debera definir y aplicar los procedimientos necesarios para la identificacin, recopilacin, adquisicin y preservacin de la informacin que puede servir de evidencia.17. Aspectos De La Si En La Gestin De La Continuidad De Negocio

Objetivo

El objetivo es preservar laseguridadde lainformacindurante las fases de activacin, de desarrollo de procesos, procedimientos y planes para la continuidad de negocio y de vuelta a la normalidad.

17.1 Continuidad de la seguridad de la informacin

El objetivo es mantener la seguridad de la informacin integrada en los sistemas de gestin de continuidad del negocio de la organizacin.

17.1.1 Planificacin de la continuidad de la seguridad de la informacin: La organizacin debera determinar los requisitos para la seguridad de la informacin y su gestin durante situaciones adversas como situaciones de crisis o de desastre.

17. Aspectos De La Si En La Gestin De La Continuidad De Negocio

17.1 Continuidad de la seguridad de la informacin

17.1.2 Implantacin de la continuidad de la seguridad de la informacin: La organizacin debera establecer, documentar, implementar y mantener los procesos, procedimientos y controles para garantizar el mantenimiento del nivel necesario de seguridad de la informacin durante situaciones adversas.

17.1.3 Verificacin, revisin y evaluacin de la continuidad de la seguridad de la informacin: La organizacin debera verificar regularmente los controles de continuidad de seguridad de la informacin establecidos e implementados para poder garantizar su validez y eficacia ante situaciones adversas.17. Aspectos De La Si En La Gestin De La Continuidad De Negocio

17.2 Redundancias

El objetivo es garantizar la disponibilidad de las instalaciones de procesamiento de informacin.

17.2.1 Disponibilidad de instalaciones para el procesamiento de la informacin: Se debera implementar la suficiente redundancia en las instalaciones de procesamiento de la informacin y en correspondencia con los requisitos de disponibilidad.18. Cumplimiento

Objetivo

El diseo, operacin, uso y administracin de los sistemas de informacin estn regulados por disposiciones legales y contractuales.

18.1 Cumplimiento de los requisitos legales y contractuales

El objetivo es evitar incumplimientos a requisitos relacionados con la seguridad de la informacin de cualquier tipo especialmente a las obligaciones legales, estatutarias, normativas o contractuales.

18.1.1 Identificacin de la legislacin aplicable: Se deberan identificar, documentar y mantener al da de manera explcita para cada sistema de informacin y para la organizacin todos los requisitos estatutarios, normativos y contractuales legislativos junto al enfoque de la organizacin para cumplir con estos requisitos.18. Cumplimiento


18.1.2 Derechos de propiedad intelectual (DPI): Se deberan implementar procedimientos adecuados para garantizar el cumplimiento con los requisitos legislativos, normativos y contractuales relacionados con los derechos de propiedad intelectual y utilizar productos software originales.

18.1.3 Proteccin de los registros de la organizacin: Los registros se deberan proteger contra prdidas, destruccin, falsificacin, accesos y publicacin no autorizados de acuerdo con los requisitos legislativos, normativos, contractuales y comerciales.

18.1.4 Proteccin de datos y privacidad de la informacin personal: Se debera garantizar la privacidad y la proteccin de la informacin personal identificable segn requiere la legislacin y las normativas pertinentes aplicables que correspondan.

18. Cumplimiento


18.1.5 Regulacin de los controles criptogrficos: Se deberan utilizar controles de cifrado de la informacin en cumplimiento con todos los acuerdos, la legislacin y las normativas pertinentes.18. Cumplimiento

18.2 Revisiones de la seguridad de la informacin

El objetivo es garantizar que se implementa y opera la seguridad de la informacin de acuerdo a las polticas y procedimientos organizacionales.

18.2.1 Revisin independiente de la seguridad de la informacin: Se debera revisar el enfoque de la organizacin para la implementacin (los objetivos de control, los controles, las polticas, los procesos y procedimientos para la seguridad de la informacin) y gestin de la seguridad de la informacin en base a revisiones independientes e intervalos planificados o cuando tengan lugar cambios significativos en la organizacin.

18.2.2 Cumplimiento de las polticas y normas de seguridad: Los gerentes deberan revisar regularmente el cumplimiento del procesamiento y los procedimientos de informacin dentro de su rea de responsabilidad respecto a las polticas, normas y cualquier otro tipo de requisito de seguridad correspondiente.18. Cumplimiento

18.2 Revisiones de la seguridad de la informacin

18.2.3 Comprobacin del cumplimiento: Los sistemas de informacin se deberan revisar regularmente para verificar su cumplimiento con las polticas y normas de seguridad dispuestas por la informacin de la organizacin.Gracias

presentacion iso 27001 & 27002 version 3

Documents