& icontec internacional NORMA TECNICA NTC-ISO-IEC COLOMBIANA 27001 2013-12-11 TECNOLOGIA DE LA INFORMACION. TECNICAS DE SEGURIDAD. SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION. REQUISITOS : INFORMATION TECHNOLOGY. SECURITY TECHNIQUES. INFORMATION SECURITY MANAGEMENT SYSTEMS. REQUIREMENTS, CORRESPONDENCIA: esta norma es una adopcién idéntica (IDT)_por traduccion de la norma ISO/EC 27001: 2013, DESCRIPTORES sistemas de gestion - seguridad de la informacion; informacion, técnicas de seguridad, gestion Le.s.: 36.040 por @ Inst | Cerieaoen (CON Seared 14237 Boe Fax (671) 22 Prohibia su reproducién Primera actualzacion stags 2079-12-20© IconTeC2013 RReservados todos los derechos. Ninguna parte de esta publcacion ‘puede ser reproducidaoutlizada en cualquier forma o por cualguier medio, elactronico 0 mecdnico incluyendo fotecepiado y Imicrofimacion, sin permis por escrio del edo Instituto Colombiana de Normas Técnicas y Certiicacion, CONTECPROLOGO EI Instituto Colombiano de Normas Técnicas y Cettificacién, ICONTEC, es el organismo nacional de normalizacién, segiin el Decreto 2269 de 1993. ICONTEC es una entidad de caracter privado, sin animo de lucro, cuya Misién es fundamental para brindar soporte y desarrollo al productor y proteccién al consumidor. Colabora con el sector gubernamental y apoya al sector privado di los mercados interno y externo. La representacién de todos los, esta garantizada por los caracterizado por la particip 2013-12-11 Esta norma las empresas qui ymité Técnico 18 GEOCONSULT - ECP HALLIBURTON - ECOPETF HELM BANK INFOTRACK S.A. ‘Ademas de las anteriores, en Con: siguientes empresas: ATODA HORA S.A ATH ‘ACH COLOMBIA S.A. ACTUALIZACIONES DE SISTEMAS LTDA. AGENDA DE CONECTIVIDAD ALFAPEOPLE ANDINO S.A, ALIANZA SINERTIC. BANCO CAJA SOCIAL BANCO COMERCIAL AV VILLAS BANCO DAVIVIENDA S.A. BANCO DE BOGOTA BANCO DE LA REPUBLICA jel pals, para lograr ventajas competitivas en en el proceso de Normalizacién Técnica do de Consulta Publica, este ultimo la por el Consejo Directivo de to de que responda en esta norma a informacién LOGIAS DE LA ‘el Proyecto se puso a consideracién de las BANCO DE OCCIDENTE. BRANCH OF MICROSOFT COLOMBIA INC CAJA COLOMBIANA DE SUBSIDIO FAMILIAR COLSUBSIDIO CENTRO DE INVESTIGACION DESARROLLO EN TECNOLOGIAS DE LA INFORMACION Y LAS COMUNICACIONES CENTRO POLICLINICO DEL OLAYA CPO. S.A. CHOUCAIR TESTING S.A CIBERCALL S.A.COLOMBIA TELECOMUNICACIONES S.A. ESP. COMERCIO ELECTRONICO EN INTERNET CENET S.A COMPUREDES S.A. CONTRALORIA DE CUNDINAMARCA, COOPERATIVA DE PROFESIONALES DE LA SALUD -PROSALCO |.P.S.- CORREDOR EMPRESARIAL CREDIBANCO CRUZ ROJA COLOMBIANA SECCIONAL CUNDINAMARCA Y BOGOTA DAKYA LTDA DIGIWARE ECOPETROL S.A, ENLACE OPERATIVO S.A. ESCUELA COLOMBIANA DE CARRERAS INDUSTRIALES. ETBSA.E.SP. FLUIDSIGNAL GROUP S.A, FONDO DE EMPLEADOS DEL DEPARTAMENTO DE ANTIOQUIA FUNDACION PARQUE TECNOLOGICO DEL SOFTWARE DE CALI - PARQUESOFT- FUNDACION UNIVERSITARIA INPAHU GEMAS INGENIERIA Y CUNSULTORIA SAS. GESTION & ESTRATEGIA SAS. GETRONICS COLOMBIA LTDA. GIT LTDA, HMT SAS. HOSPITAL SAN VICENTE ESE DE MONTENEGRO. INFOCOMUNICACIONES S.A. INSTITUTO DE ORTOPEDIA INFANTIL ROOSEVELT IPX LTDA. IQ CONSULTORES IT SERVICE LTDA JAIME TORRES C. Y CIA. S.A JIMMY EXENOVER ESPINOSA LOPEZ KEXTAS LTDA. LOGIN LEE LTDA. MAKRO SUPERMAYORISTA S.A, MAREIGUA LTDA. MEGABANCO MICROCOM __ COMUNICACION = Y SEGURIDAD LTDA. NEGOTEC NEGOCIOS Y TECNOLOGIA LTDA NEXOS SOFTWARE SAS. PARQUES Y FUNERARIAS S.A. JARDINES DEL RECUERDO PIRAMIDE ADMINISTRACION DE. INFORMACION LTDA. POLITECNICO MAYOR __AGENCIA CRISTIANA DE SERVICIO Y EDUCACION LTDA. PONTIFICIA UNIVERSIDAD JAVERIANA QUALITY SYSTEMS LTDA. SISTEMAS Y FORMACION S.A.S, SOCIEDAD COLOMBIANA, DE ARCHIVISTAS ‘SUN GEMINI S.A. SYNAPSIS COLOMBIA LTDA. TEAM FOODS COLOMBIA S.A. TECNOLOGIAS DE INFORMACION Y COMUNICACIONES DE COLOMBIA LTDA. TELMEX COLOMBIA S.A. TIOAL SAS TOMAS MORENO CRUZ Y CIA. LTDA. TRANSFIRIENDO S.A. TRANSPORTADORA DE ATLAS LTDA, ‘TUS COMPETENCIAS LTDA. UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNIVERSIDAD NACIONAL DE COLOMBIA UNIVERSIDAD SANTIAGO DE CALI VALORES: ICONTEC cuenta con un Centro de Informacién que pone a disposicién de los interesados normas internacionales, regionales y nacionales y otros documentos relacionados. DIRECCION DE NORMALIZACIONNORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacién) 5A 52 53 64 CONTENIDO Pagina DETERMINACION DE LA SEGURIDAI ‘SISTEMA DE GESTIO! LIDERAZGO. LIDERAZGO Y COMPROMISO POLITICA ROLES, RESPONSABILIDADES Y AUTORIDADES EN LA ORGANIZACION .. PLANIFICACION..... ACCIONES PARA TRATAR RIESGOS Y OPORTUNIDADES.NORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacién) Pagina 6.2 OBJETIVOS DE SEGURIDAD DE LA INFORMACION Y PLANES PARA LOGRARLOS.. roreec6) SOPORTE. 7.4 RECURSOS. 7.2 COMPETENCIA... 7.3 TOMA DE CONCIENCIA. 7.4 COMUNICACION 7.8 INFORMACION DOCUMENTADA 8. OPERACION 8.1 PLANIFICACION Y CONTROL OPERACIONAI 8.2 VALORACION DE RIESGOS DE LA SEGURIDAD DE LA INFORMACION. 8.3. TRATAMIENTO DE RIESGOS DE LA SEGURIDAD DE LA INFORMACION... 9. EVALUACION DEL DESEMPEN 9.1 SEGUIMIENTO, MEDICION, ANALISIS Y EVALUACION 9.2. AUDITORIA INTERNA 9.3 REVISION POR LA DIRECCION .. 10. MEJORA. 10.1 NO CONFORMIDADES Y ACCIONES CORRECTIVAS 10.2. MEJORA CONTINUA.. DOCUMENTO DE REFERENCIA..NORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacién) BIBLIOGRAFIA. ANEXO A (Normativo) ‘OBJETIVOS DE CONTROL Y CONTROL DE REFERENCIANORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacién) INTRODUCCION 0.1 GENERALIDADES Esta Norma ha sido elaborada para suministrar requisitos para el_establecimiento, implementaci6n, mantenimiento y mejora continua de un sistema de gestion de la seguridad de la informacion. La adopcién de un sistema de gestion de seguridad de la informacion es una decision estratégica para una organizacion. El establecimiento e implementacion del sistema de gestion de la seguridad de la informacion de una organizacion estén influenciados por las necesidades y objetivos de la organizaciOn, los requisitos de seguridad, los procesos organizacionales empleados, y el tamafio y estructura de la organizacion, Se espera que todos estos factores de influencia cambien con el tiempo. El sistema de gestion de la seguridad de la informacion preserva la confidencialidad, la integridad y la disponibilidad de la informacion, mediante la aplicacién de un proceso de gestion del riesgo, y brinda confianza a las partes interesadas acerca de que los riesgos son gestionados adecuadamente. Es importante que el sistema de gestion de la seguridad de la informacion sea parte de los procesos y de la estructura de gestién total de la informacion de la organizacion y que esté integrado con ellos, y que la seguridad de la informacion se considere en el disefio de procesos, sistemas de informacién y controles. Se espera que la implementacion de un sistema de gestién de seguridad de la informacién se difunda de acuerdo con las necesidades de la organizacion La presente Norma puede ser usada por partes interas y externas para evaluar la capacidad de la organizacién para cumplir los requisitos de seguridad de la propia organizacién. El orden en que se presentan los requisitos en esta Norma no refleja su importancia ni el orden fen el que se van a implementar. Los elementos de la lista se enumeran solamente para propésitos de referencia, La ISO/IEC 27000 describe Ia visién general y el vocabulario de sistemas de gestion de la seguridad de la informacién, y referencia la familia de normas de sistemas de gestion de la seguridad de la informacion (incluidas las NTC-SO/NEC 27003[2], ISO/IEC 27004[3] y ISO/IEC 2700514), con los términos y definiciones relacionadas 0.2 COMPATIBILIDAD CON OTRAS NORMAS DE SISTEMAS DE GESTION Esta Norma aplica la estructura de alto nivel, titulos idénticos de numerales, texto idéntico, términos comunes y definiciones esenciales definidas en el Anexo SL de las Directivas ISO/IEC, Parte 1, Suplemento ISO consolidado, y por tanto, mantiene la compatibilidad con otras normas de sistemas de gestion que han adoptado el Anexo SL. Este enfoque comin definido en el Anexo SL sera Util para aquellas organizaciones que decidan poner en funcionamiento un tnico sistema de gestion que cumpla los requisitos de dos o mas normas de sistemas de gestion.NORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacién) TECNOLOGIA DE LA INFORMACION. TECNICAS DE SEGURIDAD. ‘SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION. REQUISITOS 4. OBJETO Y CAMPO Esta Norma especifica los implementar, mantener_y mejorar 1acién dentro del contexto de la organizacion. ios para la valoracién y el tratamiento de organizacién, estan previstos para ser aplical mafio o naturaleza. aceptable excluir iativamente en este documento y 'adas sélo se aplica la edicion citada. reciente del documento referenciado (incl ISO/IEC 27000, Informal Techniques. ‘Management Systems. O Information Security TERMINOS Y DEFINICIO! Para los propésitos de este documento seaplican los términos y definiciones presentados en la norma ISO/IEC 27000. 4, CONTEXTO DE LA ORGANIZACION 44 CONOCIMIENTO DE LA ORGANIZACION Y DE SU CONTEXTO La organizacién debe determinar las cuestiones externas e internas que son pertinentes para SU propésito y que afectan su capacidad para lograr los resultados previstos de su sistema de gestion de la seguridad de la informacion. NOTA La determinacién de estas cuestiones hace referencia a establever el contexto externo e interno de la lorganizacién, considerado en el numeral 5.3 dela NTC-1SO 31000:201 [5] 1de26NORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacién) 4.2 COMPRENSION DE LAS NECESIDADES Y EXPECTATIVAS DE LAS PARTES INTERESADAS La organizacién debe determinar: a) _las partes interesadas que son pertinentes al sistema de gestion de la seguridad de la informacién; y b) __ los requisitos de estas partes interesadas pertinentes a seguridad de la informacion. NOTA — Los requisitos de las partes interesadas pueden incluir los requisitos legeles y reglamentaros, y las ‘bligaciones contractuales. 4.3 DETERMINACION DEL ALCANCE DEL SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACION La organizacién debe determinar los limites y la aplicabilidad del sistema de gestion de la seguridad de la informacién para establecer su alcance. Cuando se determina este alcance, la organizaci6n debe considerar: a) _las cuestiones externas e internas referidas en el numeral 4.1, y b) los requisitos referidos en el numeral 4.2: y ©) _|as interfaces y dependencias entre las actividades realizadas por la organizacién, y las que realizan otras organizaciones, El alcance debe estar disponible como informacién documentada, 4.4 SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACION La organizacion debe establecer, implementar, mantener y mejorar continuamente un sistema de gestion de la seguridad de la informacion, de acuerdo con los requisitos de esta Norma 5. LIDERAZGO 5.1 LIDERAZGO Y COMPROMISO La alta direccion debe demostrar liderazgo y compromiso con respecto al sistema de gestion de la seguridad de la informacién: a) —_asegurando que se establezcan Ia politica de la seguridad de Ia informacion y los objetivos de la seguridad de la informacion, y que estos sean compatibles con la direccién estratégica de la organizacién; b) _asegurando la integracion de los requisites del sistema de gestion de la seguridad de la informacion en los procesos de la organizacién; ©) _asegurando que los recursos necesarios para el sistema de gestién de la seguridad de la informacion estén disponibles;NORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacién) 4) comunicando la importancia de una gestién de la seguridad de la informacién eficaz y de la conformidad con los requisitos del sistema de gestién de la seguridad de la informacion; fe) asegurando que el sistema de gestién de la seguridad de la informacion logre los resultados previstos; f) dirigiendo y apoyando a las personas, para contribuir a la eficacia del sistema de gestion de ia seguridad de la informacion; g) _promoviendo la mejora continua, y h) _@poyando otros roles pertinentes de la direccién, para demostrar su liderazgo aplicado a sus areas de responsabilidad 5.2 POLITICA La alta direccién debe estab! jad de la informacién que’ a) sea adecuad: b) —_ incluya eral 6.2) 0 proporcione el je la seguridad de la la seguridad ‘seguridad de la ‘comunicarse dentro @) _ estar disponible para sea apropiado. 5.3 ROLES, RESPONSABILII IDADES EN LA ORGANIZACION La alta direccion debe asegurarse de que tas responsabilidades y autoridades para los roles pertinentes a la seguridad de la informacion se asignen y comuniquen. La alta direccion debe asignar la responsabilidad y autoridad para: a) —_asegurarse de que el sistema de gestion de la seguridad de la informacién sea conforme con los requisitos de esta Norma; b) __informar a la alta direccién sobre el desempefio del sistema de gestion de la seguridad de la informacién. NOTA La alta direceién también puede asignar responsabilidades y autoridades para informar sobre el ddesempero del sistema de gestion de la seguridad de la informacién dentro de la organizacion. 3NORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacién) 6. PLANIFICACION 6.1 ACCIONES PARA TRATAR RIESGOS Y OPORTUNIDADES. 6.1.1 Generalidades Al planificar el sistema de gestion de seguridad de la informacién, la organizacién debe considerar las cuestiones referidas en el numeral 4.1 y los requisitos a que se hace referencia en el numeral 4.2, y determinar los riesgos y oportunidades que es necesario tratar, con el fin de a) _asegurarse de que el sistema de gestion de la seguridad de la informacion pueda lograr sus resultados previstos; b) _prevenir o reducir efectos indeseados: y ©) —_lograr la mejora continua. La organizacion debe planificar: 4) las acciones para tratar estos riesgos y oportunidades: y ) — lamanera de’ 1) __ integrar e implementar estas acciones en sus procesos del sistema de gestion de la seguridad de la informacién, 2) evaluar la eficacia de estas acciones. 6.1.2. Valoracién de riesgos de la seguridad de la informacion La organizacion debe definiry aplicar un proceso de valoracién de riesgos de la seguridad de la informacién que: @) _establezca y mantenga criterios de riesgo de la seguridad de la informacién que incluyan: 1) Los eriterios de aceptacion de riesgos; y 2) os criterios para realizar valoraciones de riesgos de la seguridad de la informacion; b) _asegure que las valoraciones repetidas de riesgos de la seguridad de Ia informacién produzcan resultados consistentes, validos y comparables; ©) _identifique los riesgos de la seguridad de la informacion 1) aplicar el proceso de valoracién de riesgos de la seguridad de la informacion para identificar los riesgos asociados con la pérdida de confidencialidad, de integridad y de disponibilidad de informacién dentro del alcance del sistema de gestion de la seguridad de la informacion; € 2) _identificar a los duefios de los riesgos;NORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacién) d) _analice los riesgos de la seguridad de la informacién: 1) Valorar las consecuencias potenciales que resultaran si se materializaran los riesgos identificados en 6.1.2 ¢) 1); 2) Valorar la probabilidad realista de que ocurran los riesgos identificados en 6.1.2 oy 3) determinar los niveles de riesgo; e) _evale los riesgos de seguridad de la informaci6n: 1) comparar los resultados del andlisis de riesgos con los criterios de riesgo establecidos en 6.1.2 2) priorizar los ries stamiento de riesgos. La organizacién debe consef acerca del proceso de valoracién de riesgos de la seguridad de la i 10s de la seguridad de comparar 7Anexo A. y verificar que no se han omit NOTA1 —ElAnexo A de control y controes, Se invita alos usuarios de esta Norma a consul 2 pasen por ato los controles necesarie. NOTA2 Los objetivos dé Frplictamente en los cantroles escogidos. Los ‘objetivos de contol y los contro 1x0 A no Son exhaustves, y pueden ser necesarios ‘objetivos de contol y controles ad producir una declaracién de aplicabilidad que contenga los controles necesarios (véanse el numeral 6.1.3 b) y c)) y la justificacién de las inclusiones, ya sea que se implementen o no, y la justificacién para las exclusiones de los controles del Anexo A; e) _formular un plan de tratamiento de riesgos de la seguridad de la informacién; y f) obtener, de parte de los duetios de los riesgos. la aprobacién del plan de tratamiento de riesgos de la seguridad de la informacién, y la aceptacién de los riesgos residuales de la seguridad de la informacién. La organizacién debe conservar informacién documentada acerca del proceso de tratamiento de riesgos de la seguridad de la informacién,NORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacién) NOTA El proceso de valoracion y tratamiento de riesgos de la seguridad de la informacién que se presenta en testa Norma 68 alinea con los prinipos y directrices genericas suministradas en la |SO 31000)5} 6.2 OBJETIVOS DE SEGURIDAD DE LA INFORMACION Y PLANES PARA LOGRARLOS La organizacion debe establecer los objetivos de seguridad de la informacién en las funciones y niveles pertinentes. Los objetivos de seguridad de la informaci6n deben: a) _sercoherentes con la politica de seguridad de la informacién; b) __sermedibles (si es posible); ©) tener en cuenta los requisitos de la seguridad de la informacién aplicables, y los resultados de la valoracién y del tratamiento de los riesgos; d) — sercomunicados: y ) _seractualizados, segun sea apropiado. La organizacién debe conservar informacién documentada sobre los objetivos de la seguridad de la informacién. Cuando se hace la planificacién para lograr sus objetivos de la seguridad de la informaci6n, la organizacién debe determinar: f) — loque se vaa hacer; g) que recursos se requerirén; h) — quién sera responsable; i) cuando se finalizara: y }) como se evaluaran los resultados. 7. SOPORTE 7.1 RECURSOS La organizacion debe determinar y proporcionar los recursos necesarios para el establecimiento, implementacién, mantenimiento y mejora continua del sistema de gestion de la seguridad de la informacion. 7.2 COMPETENCIA La organizacién debe: a) determinar la competencia necesaria de las personas que realizan, bajo su control, un trabajo que afecta su desempefio de la seguridad de la informacién, yNORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacién) b) —_asegurarse de que estas personas sean competentes, basandose en la educacién, formacién o experiencia adecuadas; ©) cuando sea aplicable, tomar acciones para adquirir la competencia necesaria y evaluar la eficacia de las acciones tomadas; y 4) conservar la informacién documentada apropiada, como evidencia de la competencia, NOTA _ Las acciones aplicables pueden inclur, por ejemplo: la formacién, la tutoria o la reasignacién de las personas empleadas actualmente; o la contratacion de personas competentes. 7.3 TOMA DE CONCIENCIA Las personas que realizan el trabajo de trol de la organizacién deben tomar conciencia a) la politica de la seguir b) su contribucién a la in de la seguridad de la informacion, incluyendo los benefick jesempefio de la seguridad de la °) jstema de gestion de la jas y externas la seguridad de la i quign debe comuni los procesos para lleva INFORMACION DOCUME! 7.5.1 Generalidades El sistema de gestion de la seguridad de la informacién de la organizacién debe incluir a) _lainformacién documentada requerida por esta Norma; y b) la informacién documentada que la organizacién ha determinado que es necesaria para la eficacia del sistema de gestion de la seguridad de la informacién. NOTA El eleance de fa informacion documentada para un sistema de gestion de la seguridad de la informacion puede ser diferente de una organizacion a otra, debido a 2) el tamafo dele organizacién y a su tipo de actividades, procesos, productos y servicios, 7NORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacién) b) Ia complejidad de los procesos y sus interacciones, y ©) __la.competencia de las personas. 7.8.2 Creacién y actualizacién Cuando se crea y actualiza informacion documentada, la organizacién debe asegurarse de que lo siguiente sea apropiado: 2) la identificacién y descripcién (por ejemplo, titulo, fecha, autor 0 numero de referencia); b) el formato (por ejemplo, idioma, versién del software, graficos) y sus medios de soporte (por ejemplo, papel, electronico); ©) _larevisién y aprobacién con respecto a la idoneidad y adecuacién. 7.8.3 Control de la informacién documentada La informacion documentada requerida por el sistema de gestion de la seguridad de la informacion y por esta Norma se debe controlar para asegurarse de que: a) _esté disponible y adecuada para su uso, donde y cuando se necesite; y b) _esté protegida adecuadamente (por ejemplo, contra pérdida de la confidencialidad, uso inadecuado, o pérdida de integridad), Para el control de la informacién documentada, la organizacién debe tratar las siguientes actividades, seguin sea aplicable: ©) distribucién, acceso, recuperacién y uso; ) _almacenamiento y preservacién, incluida la preservacién de la legibilidad; ) control de cambios (por ejemplo, control de versién); y f) __retencién y disposicién. La informacién documentada de origen externo, que la organizacién ha determinado que es necesaria para la planificacién y operacién del sistema de gestién de la seguridad de la informacion, se debe identiicar y controlar, segun sea adecuado. NOTA El acceso implica una decision concemiente al permiso solamente para consultar la informacion documentada, oe! permisoy la autoridad para consular y modificar la informacion documentada, et. OPERACION 8.1 PLANIFICACION Y CONTROL OPERACIONAL La organizacién debe planificar, implementar y controlar los procesos necesarios para cumplir los requisitos de seguridad de la informacion y para implementar las acciones determinadas en el numeral 6.1. La organizacién también debe implementar planes para lograr los objetivos de la seguridad de la informacion determinados en el numeral 6.2.NORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacién) La organizacién debe mantener informacion documentada en la medida necesaria para tener la confianza en que los procesos se han llevado @ cabo segtin lo planificado. La organizacién debe controlar los cambios planificados y revisar las consecuencias de los cambios no previstos, tomando acciones para mitigar los efectos adversos, cuando sea necesario. La organizacién debe asegurar que los procesos contratados externamente estén controlados. 8.2 VALORACION DE RIESGOS DE LA SEGURIDAD DE LA INFORMACION La organizacion debe llevar a cabo valoraciones de riesgos de la seguridad de la informacion a intervalos planificados 0 cuando se propgngan u acurran cambios significativos, teniendo en cuenta los criterios establecidos en e} La organizacion debe const umentada de los resultados de las valoraciones de riesgos de I 8.3. TRATAMIENTO DE RI DE LA INFORMACION La organizacion informacién: La organiz; it 3s del tratamiento de a) a quées necesario -esario medir, incluidos los procesos y controles de la segl b) _los métodos de seguimient isis y evaluacion, segun sea aplicable, para asegurar resultados validos; NOTA Para ser considerades validos, los métodos seleccionades deberian producir resultados comparables y reprocucibes. ) cuando se deben llevar a cabo el seguimiento y la medicién; 4) quign debe llevar a cabo el seguimiento y la medici ) cuando se deben analizar y evaluar los resultados del seguimiento y de la medicion; y f) _quién debe analizar y evaluar estos resultados. La organizacién debe conservar informacién documentada apropiada como evidencia de los resultados del monitoreo y de la medicién 9NORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacién) 9.2 AUDITORIA INTERNA La organizacion debe llevar a cabo auditorias intemas a intervalos planificados, para proporcionar informacién acerca de si el sistema de gestion de la seguridad de la informacion: a) _esconforme con: 1) os propios requisitos de la organizacién para su sistema de gestion de la seguridad de la informacion; y 2) los requisites de esta Norma; b) _esté implementado y mantenido eficazmente. La organizacion debe: ©) __planificar, establecer, implementar y mantener uno 0 varios programas de auditoria que incluyan ‘la frecuencia, los métodos, las responsabilidades, los requisites de planificaci6n, y la elaboracién de informes. Los programas de auditoria deben tener en cuenta la importancia de los procesos involuctados y los resultados de las auditorias previas; d) para cada auditoria, definir los criterios y el alcance de ésta; fe) _seleccionar los auditores y llevar a cabo auditorias para asegurarse de la objetividad y la imparcialidad del proceso de auditoria; f) _asegurarse de que los resultados de las auditorias se informan a la direcoién pertinente; y 9) _conservar informacién documentada como evidencia de la implementacién del programa de auditoria y de los resultados de ésta NOTA Para mayor informacién consultar las normas NTC-ISO 18011 y NTCSO 27007 9.3 REVISION POR LA DIRECCION La alta direccién debe revisar el sistema de gestién de la seguridad de Ia informacion de la organizacién a intervalos planificados, para asegurarse de su conveniencia, adecuacion y eficacia continuas, La revisién por la direccién debe incluir consideraciones sobre: a) _elestado de las acciones con relaci6n a las revisiones previas por la direccion; b) los cambios en las cuestiones externas e internas que sean pertinentes al sistema de gestion de la seguridad de la informacién; ¢) _retroalimentacién sobre el desempefio de la seguridad de la informacion, incluidas las tendencias relatives 2 1) no conformidades y acciones correctivas; 2) __seguimiento y resultados de las ediciones; 10NORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacién) 3) resultados de la auditoria; y 4) cumplimiento de los objetivos de la seguridad de la informacion; 4) retroalimentacién de las partes interesadas; e) resultados de la valoracién de riesgos y estado del plan de tratamiento de riesgos; y f) __ las oportunidades de mejora continda. Los elementos de salida de la revision por la direccién deben incluir las decisiones relacionadas ‘con las oportunidades de mejora continua y cualquier necesidad de cambio en el sistema de gestion de la seguridad de la informacion, La organizacién debe conservar i ntada como evidencia de los resultados de las revisiones por la direccién. ‘conformidad, con el en otra parte, me Tdades similares, o que potencialmente odrian ocurri, ©) _implementar cualquier acci6 d) revisar la eficacia de las acciones correctivas tomadas, y e) hacer cambios al sistema de gesti6n de la seguridad de la informacién, si es necesario. Las acciones correctivas deben ser apropiadas a los efectos de las no conformidades encontradas. La organizacién debe conservar informacién documentada adecuada, como evidencia de: ) la naturaleza de las no conformidades y cualquier accién posterior tomada; y 9) Ios resultados de cualquier accién correctiva "NORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacién) 10.2. MEJORA CONTINUA La organizacién debe mejorar continuamente la conveniencia, adecuacién y eficacia del sistema de gestién de la seguridad de Ia informacién.NORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacion) ANEXO A (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA Los objetivos de control y controles enumerados en la Tabla A.1 se obtienen directamente de la ISOMEC 27002:2013[1], numerales 5 a 18 y estan alineados con ella, y se deben usar en contexto con el numeral 6.1.3. Tabla A.1. Objetivos de control y controle ‘AS __ POLITICAS DE LA SEGURIDAD DE LA INFORMACION, "AS.1_ Orlentacién de la direccién para la gestign de la seguridad de la informacion ‘Objetivo: Brindar orlentacin y soporte, por para la seguridad de la informacién de acuerdo con los requistos del negocio con las leyes, gies. Polticas para la segurid 'a informacién nto de politics para la seguridad de la la direccién, publicada y comunicada a los poltieas para Informacion DE LA SEGURIDAD DE de flBbepcia de gestion para in Ta operacion de la dent wanizacion, n definiry asignar todas| Rades de la seguridad racion, signfcativos, para asegurar f en conflcto se deben separar odebido de Is actvos de la organizacion Contacto con las autor las autoridades ontactos apropiados. con ‘6.14 | Contacto con grupos oe" interes especial net contactos apropiados con grupos de interés especial ‘asociaciones profesionales especializadas en seguridad. ‘AG:18 | Seguridad de Ia informacion | Contro! tenia gestion de proyectos | La eeguridad de la informacién se debe tratar en la gestién de proyectos, indepencientemente del tipo de proyecto. ‘A82 _Dispositivos méviles y teletrabajo ‘Objetive: Garantizar la seguridad del teletrabajoy el uso de dispositivos méviles, ‘A62A | Poltica para _dispositvos | Contro! mews ‘Se deben adopter una pollica y unas medidas de seguridad de soporte, para gestionar los rlaegos intoducidos por el uso de disposivos movies. Continda, 13NORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacion) Tabla A. (Continuacién) ‘A622 | Teletrabajo ‘Control ‘Se deben implementar una pollica y unas medidas de seguridad de soporte, para proteger la informacion a la que se tiene acceso, que es procesada o almacenada en los lugares en los que se realiza teletrabaj, ‘AT SEGURIDAD DE LOS RECURSOS HUMANOS ‘A74__ Antes de asumir el empleo Objetvo: Asegurar que los empleados y cantratstas comprenden sus responsabilidades y son idéneos en los roles para los que se consideran ATA | Seleccion Contro! Las verificaciones de los antecedentes de todos los candidates a un fempleo se deben llevar a cabo de acuerdo con las leyes, reglamentaciones y élica pertinentes, y deben ser proporcionales a los requistos de negocio, a la clasifcacion de le informacion a que se va a tener acceso, y alos rlesgos percbidos. ‘A712 | Términos y condiciones del | Contro! empleo Los acuerdos contractuales con empleados y contrtisias deen ‘establacer sus responsabiidades y las de la organizacion en cuanto ala seguridad de la informacion. AT Durante la ejecucién del empleo ‘Objetvo: de la informacion y las cumplan, “Asegurarse de que los empleados y contratistas tomen conciencia de sus responsabildades de seguridad ‘A721 | Responsabilidades de la | Conto! sireccion La direccion debe exigi a todos los empleados y contratstas la aplicacion de la seguridad de la informacién de acuerdo con las poliicas y procedimientos establecidos por la organizacién, A722 | Toma de conciencia, | Contro! fedueacion y formacion en la | Todas los empleados de la organizacién, y en donde sea pertinent, los seguridad de la informacion | contatistas, deben recibir la educacion y la formacion en toma de ‘onciencia apropiada, y actualzaciones reguiares sobre las politcas y procedimientos dela organizacion pertinentes para su cargo. ‘A723 | Proceso discipinario Control Se debe contar con un proceso formal, el cual debe ser comunicado, para ‘emprender acciones contra empleados que hayan cometido una violacion ala seguridad de la informacion. 'A7.3__Terminacién y cambio de empleo ‘Objetvo: Protager los inereses dela organizacién como parte del proceso de cambio o terminacion de empleo, ATA Terminacién © cambio de responsabiidades de empleo Cont Las responsabilidades y los deberes de seguridad de la informacién que permanecen validos después de la terminacién o cambio de empleo se eben defini, comunicar al empleado o contratsta y se deben hacer cumplr. 14NORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacién) Tabla A. (Continuacién) ‘AS GESTION DE ACTIVOS: ‘ABA Responsabilidad por los actives: Objetvo: Identificar los actives organizacionales y defini las responsabilidades de proteccion apropiads. ‘ABA4 | Inventario de] Controt actives ‘Se deben identficar los activos asociados con informacién @ instalaciones de procesamiento de Informacion, y $e debe elaborar y mantener un inventario de estos actives. ‘8:12 | Propiedad de tos | Contro! actives Los activos mantenidos en e!inventario deben tener un propietara, ‘AB:.3 | Uso aceptable de | Control los actives ventar @ implementar reglas para el uso aceptable de ‘asociades con informacion @ instalaciones de ‘A814 | Devoucen de actives partes extemas deben devolver todos los ntfen a Su. cargo, al erminar su empleo, jtos legales, valor, ada, jmientos para el de casificacion de para ol manejo de actvos, de informacion adoptado por la Manejo de medios Eviter la divulgacion, edo, ABA Gestion de medios removiles sdimientes para la gestion de medios removibles, de fe clasiicacion adoptado por a organizacién, A832 Disposicion de los medios, Control ‘Se debe cisponer en forma segura de los medios cuando ya no se requieren, utlizando procedimientos formales. A833 Transferencia de medios fisicos Canto! Los medios que contienen informacién se deben proteger contra acceso no autorizado, uso indebido o corrupcién durante el transport. 15NORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacién) AS (CONTROL DE AGCESO Tabla A. (Continuacién) Aga Requisitos del negocio para control de acceso (Objetvo:Limitar el acceso a informacion ya instalaciones de procesamiento de informacién a Pollica de controle ‘Cont ‘Se debe establecer, documentary revisar una politca de control de acceso con base en las requisitos del negocio y de seguridad de a informacién, la informacion ‘A9A.2 | Acceso a redes y a| Control servicios en red Solo se debe permitr acceso de los usuarios @ la red y a los servicios de red para los que hayan sido autorizados especificamente ‘A9.2 _ Gostién de acceso de usuarios bjetvo Asegurar el acceso de los usuarios autorizados y evar el acceso no autorzado a sistemas y servicios. ‘9.2.1 | Registoy_cancelacion | Contro! del registro de usuarios | se gebe implementar un proceso formal de registro y de cancelacién de registro de usuarios, para posibltar la asignacion de los derechos de acceso, ‘A922 | Suministro de acceso de | Cont! usuarios ‘Se debe implementar un proceso de suministro de acceso formal de usuarios para asignar 0 revocar los derechos de acceso para todo tipo de usuarios ara todos ls sistemas y servicios 'A9.23 | Gestion de derechos de | Control acceso priviegiado Se debe restringir y controlar Ia asignacién y uso de derechos de acceso rivlegiago. (A924 | Gestion de informacion | Control Ge autenticacion secreta | Ls asignacién de informacion de autenticacion secreta se debe controlar por e usuarios medio de un proceso de gestion formal ‘4.9.25 | Revision de los derechos | Contro! 0 acceso de usuaros | Los propistarios de los actvos deben revisar los derechos de acceso de los Usuarios, a inorvalos regulars. ‘A926 | Retiro o ajuste de los | Contro! erechos de acceso | Los derechos de acceso de todas los empleados y de usuarios externos a la informacion y a las instalaciones de procesamiento de informacion se deben retiar al terminar su empleo, contrato 0 acuerdo, 0 se deven ajustar cuando se hagan cambios. ‘8.3 Responsabilidades de los usuarios (Oajetivo: Hacer que los usuarios rindan cuentas por la salvaguarda de su informacion de autenticacion, "9.3.1 | Uso de informacion de | Contro! ‘utentcacion secreta | Se debe exigir a los usuarios que cumplan les précticas de la organizacién ara el uso de informacién de autenticacion secreta ‘9.4 Control de acceso a sistemas y aplicaciones Objetive: Evitar el acceso no autorizado a sistemas y aplicaciones. ‘9.4.1 | Resticcion de acceso a | Contro! El acceso a la informacion y a las funciones de los sistemas de las aplicaciones se debe restringir de acuerdo con la poltica de contol de 16NORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacién) Tabla A.. (Continuacion) AS42 | Procedimiento de | Contro! ingreso seguro Cuando lo requiere la politica de contol de acceso, el acceso a sistemas y aplicaciones se debe controlar mediante un procese de ingreso seguro. ‘A943 | Sistema de gestion de | Control contraseras Les sistemas de gestion de contrasefas deben ser interactvos y deben segura la calidad de las contraseias. ‘Ag44 [Uso de programas | Contr ubltaros priviegiados | Se debe restringir y controlar estrctament el uso de programas utitaios que podrian tener capacidad de anular ol sistema y los controles de las aplicaciones, ‘A945 | Control de acceso a | Control ‘cédigos fuente programas oe Integridad ‘10 _ CRIPTOGRAFIA ‘A101 Controles eriptogr ‘Objetivo: Asegurar el uso apropiado 99" a confidenciaidad, la autenticdad yio la de ia informacisg. Atoaa 6, y usaros para proteger areas ica, @instalaciones de manejo de ‘Ai2 | Contes do acs AA113 | Seguridad de ofcinas, recintos e instalaciones Bicar seguridad fisica a oficnas,recints ¢ nstalaciones. ‘Aa114 | Proteccién contra | Control amenazas externas y | Se debe disefar y aplicar proteccin fisica conta desastres naturales, ataques ambientales rmaliciosos 0 accidentes. ‘AA145 | Trabajo en @reas | Control seguras Se deben disefary aplcar procedimiontos para trabajo en éreas seguras. ‘AA1186 | Areas de despacho y | Contr! carga ‘Se deben controlar los puntos de acceso tales como areas de despacho y de Carga y o¥0s puntos en donde pueden entrar personas no autorizadas, y si es posible, aislarios de las instalaciones de procesamiento de informacion para evitar el acceso no avtorizado 7NORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacién) Tabla A. (Continuacién) ‘A112 Equipos ‘Objet: Prevenir la pérdida, dano, corganizacion robo © compromiso de actives, y la Interrupcion de las operaciones de la ‘AA1.24 | Ubieacién y proteccién de los equipos Control Los equipos deben estar ubicados y protegidos para reducir los riesgos de amenazas y peligros del entomo, y las pesiblidades de acceso no ‘autorizado, ‘A11.22 | Servicios de suministro Control Los equipos se deben proteger contra falas de energia y otras interrupciones causadas por fllas en los servicios de suministro. ‘A11.23 | Seguridad del cableado Control El cableado de energia elécrica y de telecomunicaciones que porta datos © brinda soporte a los servicios de Informacion se debe proteger conta interceptacion, interferencia 0 dao ‘11.24 | Mantenimionto oe ‘equipos onto! Los equipos se deben mantener correctamente para asegurar su isponiblidad e integridad continues. ‘AA1.25 | Retiro de actvos: Control Los equipos, informacién 0 sofware no se deben retirar de su sito sin autorizacion previa, ‘11.26 | Seguridad de equipos y actos fuera de las Instalaciones Control ‘Se deben aplicar medidas de seguridad a los actives que se encuentran fuera de 126 instalaciones de la organizacién, teniendo en cuenta los iferentes riesgos de trabalar fuera de dichas insalaciones, AN127 | Disposicién segura 0 reutiizacién de equipos Cont! ‘Se deben verficar todos los elementos de equipos que contengan mecios de. aimacenamiento para asegurar que cualquier dato confidencial o ‘software licenciado haya sido retrado o sobreescrito en forma segura antes de su disposicion 0 reuso. ‘A128 | Equipos de usuario desatendido Control Los usuarios deben asegurarse de que a los equipos desatendidos se les de Drotecci6n apropiada, AN129 | Police de _escrtorio. lipio y pantalla limpia Control ‘Se debe adopter una politica de escrtorialimpio para los papeles y medios de almacenamiento removibles, y una poliica de pantalla lmpia en las instaiaciones de procesamiento de informacion ‘A12__ SEGURIDAD DE LAS OPERACIONES: ‘A121 Procedimientos operacional 18s y responsabilidades (Objetivo: Asegurar las operaciones correctas y saguras Ge las intalaciones de provesamiento de informacion. ‘A214 | Procedimientos de operacién documentados. Control Los. procedimientos de operacién se deben documentar y poner a lisposicion de todos los usuarios que los necesitan ‘A12.1.2 | Gestion de cambios Cont! ‘Se deben contolar los cambios en la organizacién, en los provesos de negocio, en las instalaciones y en los sistemas de procesamiento de informacién que afectan la seguridad de la informacion. 18—_— NORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacién) ‘Tabla A. (Continuacion) "12.1.3 | Gestion de capacidad Control Se debe hacer seguimiento al uso de recursos, hacer los ajustes, y hacer proyecciones de los requisites de capacidad futura, para asegurar el desempefo requerido del sistema. ‘A.12.1.4 | Separacion de los ambientes | Contro! de desarrollo, pruebas, y operacién Se deben separar los ambientes de desartllo, prueba y operacion, para reduc los riesges de acceso o cambios no aulorizados al ambiente de operacion ‘A122 Proteccién contra cédigos maliciosos (Objetvo: Asegurarse de que la informacion y las instalaciones de procesamiento de informacion estén protegidas contra cédigos maiiciosos. Aaz24 Controls contra céigos malicosos ‘A123 Copias de respaldo ar controles de deteccién, de prevencion y de 10s con la toma de conciencia apropiada de los iva cédigos malciosos. rente los registtos falas y eventos de sttador y del operador del sistema se deben deben proteger y revisar con regularidad perry) ‘Sincronizacion de relojes 108 los sistemas de processmiento de informacién fro de una organizacién 0 Ambito de seguridad se deben SincroPI¥ar con una Unica fuente de referencia de tiempo. ‘A425 Control de software operacional ‘Objetvo: Asegurarse de la integridad de los sistemas operacionales. A1254 Instalacion de software en sistemas operatives Control ‘Se deben implementa procedimientos para controlar la instalacién de software en sistemas operatives. 19NORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacién) Tabla At, (Continuacién) ‘A126 Gestion de la vulnerabilidad técnica (Objetvo: Prevenir el aprovechamiento de las vulnerablidades técnicas, ‘A4264 | Gestion de las | Control vulnerabiliades técnices | se debe obtener oportunamente informacion acerca de las vulnerabilidades ‘eenicas de los sistemas de Informacion que se usen; evaluar la exposicion {de [a organizacion a estas vulnerablidades, y tomar las medidas apropiadas para trtar el riesgo asociado. "A12.62 | Resticciones sobre la | Control instalacién de sofware | Se debe establecere implementa las reglas para a instalacén de software por part de los usuarios ‘A412.7 _Considoraciones sobre auditorias de sistemas de informacién (Objetvo: Minimizar el impact de las actividades de audtoria sobre ls sistemas operatives. ‘A427 _| Contvoles de auditorias de | Control sistemas de informacion | Los requisites y actvidades de aucitoria que involucran la verficacién de los sistemas operatives se deben planificar y acordar cuidadosamente para minimizer la interrupciones en los procesos del negocio. ‘A13__ SEGURIDAD DE LAS COMUNICACIONES ‘Aq3.A_Gostién de la seguridad de las redes (Objetvo: Asegurar la proteccién de la informacion en las redes, y us instalaciones de provesamiento de informacion de soporte. ‘A13.1.4 | Controls de redes ‘Control Las redes se daben gestionar y controlar para proteger la informacion en sistemas y aplicaciones, ‘AA3.1.2 | Seguridad de os servicios | Control ered ‘Se deben identificar los mecanismos de seguridad, los niveles de servicio y los requistos de gestion de todos los servicios de red, incluircs en los ‘acuerdos de servicio de red, ya sea que los senicios se presten internamente o s2 contraten externamente ‘A413.1.3 | Separacion en las redes | Control Los grupes de servicios de informacion, usuario y sistemas de informacion se deben separar en ia redes. ‘A13.2 Transferencia d (Objetivo: Mantener la seguridad de la informacién transferida dentro de una organizacién y con cualquier entidad extema formacion ‘A132. | Polticas y proceaimientos | Control de transferencia de | se debe conter con polices, procedimientos y controles de transferencia informacion ferrales para proteger la vansferencia de informacion mediante el uso de toda tipo de instalaciones de comunicaciones. Aa3.22 | Acuerdos sobre | Contra’ transferencia | Los acuerdos deben tratar la transferencia segura de informacion del informacion negocio ente la organizacion y las partes externas, ‘A.413.23 | Mensajeria electronica | Contro! ‘Se debe proteger adecuadamente la informacion incuida en la mensajeria electronica ‘13.2.4 | Acuerdos de | Contror Confencialidad © de n0 | Se deben identifcar, revisar regularmente y documentar los requisites para divulgacion los acuerdos de confidencialidad 0 no divulgacién que teflejen las nacesidades de la organizacién para la proteccién dela informacion, 20NORMA TECNICA COLOMBIANA _ NTC-ISO-IEC 27001 (Primera actualizacién) Tabla A. (Continuacién) ‘Ait Adquisicién, desarrolio y mantenimiento de sistemas ‘A441 _Requisitos de seguridad de los sistemas de Informacion ‘bjetivo: Asegurar que la seguridad de la informacién sea una parte integral de los sistemas de informacién durante todo el ccio de vida. Esto incluye también los requistos para sistemas de informacion que prestan servicios sobre redes pablicas, ‘A444. | Analisis y especticacién de | Contro! requisites de seguridad de la | Log requisites relacionados con seguridad de la informacién se deben informacion inclu en los requisites para nuevos sistemas de informacion o para majoras @ os sistemas de informacion existentes. ‘Seguridad de servicios de las | Contr! ‘aplicaciones en redes involucrada en los servicios de las aplicaciones que publicas jes publicas se debe proteger de actividades Coniractuales y divulgacién y modifcacién no roteccién de tensa: de los servicios fen las transacciones de los servicios de las aplicaciones, jet para evitar la transmision incompleta, el del ciclo de vida de vida de desarrollo se ‘aplicaciones ‘de operacion, se deben revisar las cambios en la platato egacio, y someter a prueba para asegurar que operacién en las operaciones © seguridad de la alos paquetes de software. las modificaciones a los paquetes de software, os "821425 | Prndpios de constuction de les sistemas seguros Se deben establecer, documentary mantener principios para la construceon de sistemas seguros, y aplicaris a cuaiquler actvdad de implementacion de sistemas de informacion ‘A426 [Ambiente de desarelo | Contr seguro Llas organizaciones deben establecer y proteger adecuadamente los ambientes de desarrolo segues para las actvidedes de desarolo e integracon de sistemas que comprendan todo el ciclo de vida de desarralo de sistemas, ‘A1427 | Desarolo ___contaiado | Conor ertemarnente La organizacion debe supervisar y hacer seguimiento de la actividad de desarroo de sistemas conttatados entenamente 2NORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacién) Tabla A.1. (Continuacién) 1428 | Prusbas de segurided de] Control sistemas Durante el desarrollo se deben llevar a cabo pruebas de funcionalidad de la seguridad, ‘A422 | Prusba de aceptacion de | Contr sistemas Para los sistemas de informacién nuevos, actualzaciones y nuevas: versiones, 86 deben establecer programas de prueba para aceptacion y Citerios de aceptacin relacionados. ‘Aa43 Datos de prusba ‘Objetivo: Asegurar la proteccin de los datos usados para pruebas, "At434 | Proteccion de datos de | Contror prueba Los datos de prueba se deben seleccionar, proteger y controlar culdadosamente, "A18__ RELACIONES CON LOS PROVEEDORES "ASA Seguridad de la informacion en las relaciones con los proveedores ‘Objetvo: Asegurar la proteccién de los actvos de la organizacién que sean accesibles & los proveedores: ‘AAG.1A | Polica de seguridad de la | Control informacion para 185 | Los requisites de seguridad de la informacién para mitigar os resgos relaciones con proveedores. | asociados con el acceso de proveedores a los actives de la organizacion Se deben acorda con éstos y se deben documentar ‘AABAz | Tratamiento de la seguridad | Contro! dentro de los acuerdos con | se deben establecer y acordar todos los requisites de seguridad de la proveedores informacion pertinantes con cada proveedor que pueda tener acceso, | procesar, aimacenar, comunicar_ 0 suministrar componentes de Infraestrictura de TI para la informacion de la organizacién, A543 | Cadena de suminiso de | Contro! tecnologia de informacién y | Los acuerdos con proveedores deben incluir requisites para tatar los comunicacion fiesges de seguridad ce la informacion asociados con la cadena de Suministto de productos y servicios de tecnologia de informacién y A152 _Gostin de la prestacion de servicios de proveedores Objetivo: IMantener el nivel acordado de seguridad de la informacion y de prestacion del servicio en linea con les acuerdos con los proveedores. "A182. | Seguimiento y revsién de | Control los servicios de 168 | Las organizaciones deben hacer seguimiento, revisar y ausitar con proveedores regulardad la prestacién de servicios de los proveedores. ‘A15.2.2 | Gestion de cambios en los | Control servicios de los proveedores | se geben gestonar los cambios en el suminisiro de servicios por parte de los proveedores, inluido el mantenimiento y la mejora de las polticas, procedimisntes y contoles de seguridad de la informacion existentes feniendo en cuenta la ciicidad de la informacion, sistemas y procesos del negocio involucrados, yl reevaluacion de los iesgos, "A116 Gestién de incidentes de seguridad de la informacion [A.16.1 Gestion de incidentes y mejoras en la seguridad de la informacion ‘Objetivo: Asegurar un enfoque coherent y eficaz para la gestion de incidentes de seguridad de la informacion, includ la comunicacién sobre eventos de seguridad y debiidades. "AA6.1.4 | Responsabiidades y | Control procadimientes ‘Se deben establecer las responsabilidades y procedimientos de gestion ‘para asequrar une respuesta répida, efcaz y ordenada a los incdentes de Seguridad de la informacion. 22NORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacién) Tabla A. (Continuacion) AN6A2 | Reporte de eventos de ‘seguridad de la informacion Cont Los eventos de seguridad de la informacion se deben informar a través de los canales de gestion apropiados, tan pronto como sea posible ‘AA6.1.3 | Reporte de deblidades de seguridad de la informacion ‘Contr! ‘Se debe exigi a todos los empleados y contrtistas que usan los senicos y sistemas de informacion de la orgenizecién, que observen y feporten cualquier deblidad de seguridad de ia informacion (bservada o sospechada en los sistemas 0 servicios, ‘A614 | Evaluacion de eventos de seguridad de la informacion y decisiones sobre ellos. Control Los aventos de seguridad de la Informacion se deben evaluar y se Respuesta a incidentes. ‘seguridad de la informat ‘Aprendizaje. obtenido incidentes. de. los incidentes de seguridad de la informacion ralizar y resolver incidentes de usar para reduci la posibidad © ‘Objetve: de negoci Aaraa ‘AA7.1.2 | Implementacion Contnuided de ta seg la informacion uisitos para la seguridad de la ‘gestion de la seguridad de la 5, por ejemplo, durante una crisis 0 establecer, documentar. implementar y rocedimientos y contrles para asegurar el nivel ‘ATA | Verifcacién, revision cevaluacién de la continuided de Ta seguridad dela informacion ‘A172 Redundancias La erganizacion debe verificar a intervalos regulares los controles de continuidad de la seguridad de la informacién establecidos © Immplementadas, con el fin de asegurar que son validos y eficaces durante stuaciones adversas. (Objetivo: Asegurar la disponiblidag de instalaciones de procesamiento de informacién, ‘AAT.2.1 | Disponibiidad de instalaciones de procesamiento de Informacion, ‘Cont Las instalciones de procesamiento de informacion se_deben implementar con redundancia suficiente para cumplr ls requisites de isponibiidad 23NORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacién) Tabla A.1. (Continuacion) Ane (CUMPLIMIENTO Area ‘Cumplimionto de quisitos legales y contractuales (Objetivo: Evtar el incumplimiento de las obligaciones legales, estattarias, de reglamentacién o contractuales relacionadas con seguridad de la informacion y de cualquier requisto de seguridad intelectual ‘AABA.1 | Identfcacién de la legisiacin | Control aplicable y de los requisites | Todos Jos requisilos estatutarios, reglamentaros y contractuales contractuales pertinentes y el enfoque de la organizacién para cumplifos, se deben ‘entiicer y documentar explictamente, y mantenerios actualzados Ls para cada sistema de informacion y para la organizacion ‘A18.1.2 | Derechos de propiedad | Control ‘Se deben implementar procesimientos apropiados para asegurar el umplimiento de los requisites. legisiativos, de reglamentacion.y contractuales relacionados con los derechos de propiedad intelectual y el uso de productos de software patentados, Proteccién de registos Control Los registos se deben proteger contra pérdida, destuccion, falsticacién, acesso no autorzado y liberacién no autotizada, de ‘acuerdo con los _requistos lagislatives, de reglamentacin, Contractuales y de negocc. criptogréfices ‘AaB.14 | Privacidad y proteccion de | Control Informacion “de _—_detos | Se deben asegurar Ia privacidad y la proteccién de Ia informacion de personales datos personales, como se exige en la legislacion y la reglamentacién pertinentes, cvando sea apicable 'A.18.1.5 | Reglamentacién de contrles | Control ‘Se deben usar controles criptogrifices, en cumplimiento de todos los _acuerdos,legislacion y reglamentacion pertinentes Objetve: ‘A.18.2 Revisiones de seguridad de la informacion “Asegurar que la seguridad de la Informacion se implements y opere de acuerdo con las pollicas y procedimientos organizacionales. A1824 Revision independiente de la ‘seguridad de la informacion Control El enfoque de la organizacién para la gestion de la seguridad de la Informacion y su implementacion (28 decr, los objetivos de contol, los contrles, las pollteas, los proceses y los procedimientes. para Seguridad de la informacion) se deben revisar independientemente @ intervales planficadas 0 cuando ocurran cambios signfcatvos. AIBz2 Tumplimianto con las policas ynormas de seguridad ‘Control los directores eben revisar con regularidad el cumplimiento del procesamiento y procedimientos de informacion dentro de su area de Fesponsabiidad, con las politcas y normas de seguridad epropiadas, y Cualguier otro requisito de seguridad. RIBZS Raveién del eumpimiento técnica Control Los sistemas de informacién se deben revisar periédicamente para eterminar el cunplimiento con las polticas y normas de seguridad de la informacion 24a SsSSSSSSSSSSSSSSSSSSSSSSssses NORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacién) 1 2) 13] [4] [5] 6 BIBLIOGRAFIA. ISONEC 27002:2013, Information Technology. Security Techniques. Code of Practice for Information Secunty Controls. GTC-ISO/IEC 27003:2012, Tecnologia de la informacién. técnicas de seguridad. Guia de implementacién de un sistema de gestion de la seguridad de la informacion. ISO/IEC 27004:2009, Information Technology. Security Techniques. Information Security Management. Measurement. ISO/IEC 27005:2011, Information, Risk Management. nology. Security Techniques. Information Security NTC-ISO 31000:2011, ipios y directrices. ISO/IEC Directives, 2012. 25& icontec internacional BOGOTA —-MANIZALES Carera97 No, 52-95 Cale 20 No. 2227 Tellor: (1) 6078888. Edifico Cumanday fer 805 Foc (1) 222 1435 Telfon: (576) 8845172 togoia@iconer org Fax (6) 6608289 (obi: 313 8872008 manzalas cores org IMEDELLIN canasriro-go Sala SAN2, 39-90 “elon: )361s400 feono()3t6 8020 Fax 4) 3140678 Fax: 6) 3615499 arangula@iconicog — idelin@iconeccra ca BUCARAMANGA Aveta 4A Norte No 45 - 20, ate 42.2010 Tefono: @) 8540121 Telefon: (7) 634ss22 Fax (2) 864 1554 Foc 7) 6452008 cal@iorec oc calla 3108518960 bucaramanga@iconee.o —pepeigy Carera 17 No, 5-57 Local? neva Esa Moxecafo. Brio Carera No. 10-49 Ofna 108, Cento Comercial Paza Real “Wleforo: (6) 87158 336M. 118 (Cela 313 6572006 Fac (8) 871 9668 Et 152 seie@icortec og CARTAGENA Bocagrande Caera 4No.5A-17 Piso 2 Teton: () 692 51 15 Cell 313 87 20 20 meanoG@ia cate. 019 1BagUE (arrra3 No.3 47 Local 4 Hotel rtemaciona Casa Mores “eetono @) 2613462 Celia 313 8872 004 ibague@iconte. om PASTO Cale 18 No, 28 8, Piso 8 Olina B04 allo Camara de Comercio de Pasto “eoro: 2) 731 8843 Fac (2) 731 0583 sasomcoies. 019 vinLavicencio (carrera 48 No. 128 -30 P01 Baro La Esperanza tape th “elton: (8) 825002 eblar 313 887 2003, wil rt nares de San Marin “elton: (6) 381 71 54 bemia@icontec 019 cucu ‘venta Cero No, 13-81 Local 3 Efi Farin Telefon: (7) 572 0969 Celia 313 8872036 suela@icone.org BARRANCABERMELA Cale 48 No. 184.22 Baro Clonbia de Barrancabermeja ‘elton: (7) 6001168 (cedar $20 3896210 sarmiento@conec 0 ARMENIA Carer 14 No, 23-15, iso2 igo Camara de Comercio Telefon (6) 741 1423 Fac (6) 741 1423 ‘amenia@icontec na APARTADO Carera 107 No. 964-20 Eco de Seremgresa, Baro Orta - Apartado “eleono: 4) 828 8 03 - direct: ent. 4195, apartadod@contar ora monTeRia Centro comercial Plaza ela Castotana Locales 204 y 212 ‘elton: (4) 78520 97, ‘monteriag@icontec.org