NORMA TCNICA COLOMBIANA

TECNOLOGIA LA INFORMACIN TCNICAS B E SEGURIDAD. SISTEMAS GESTI~N/DE LA SEGURIDAD DE INFORMACI~N (SGSI). REQUISITOS

d~

INFORMATION TECHNOLOGY. SECURITY TECHNIQUES. INFORMATION SECURITY MANAGEMENT SYSTEMS. REQUlREMENTS

ICONTEC

CORRESPONDENCIA:

esta norma es una adopcin iddntica (IDT) por traduccibn, respecto a su documento de referencia, la norma ISOIIEC 27001.

DESCRIPTORES:

sistemas de gesbn - seguridad de la

inforrnacibn; seguridad informacibn - reauisitos. de la

I.C.S.: 35.040.00
Editada por el lnstltuto Colombiano de Normas Tdenicas y Cdficacibn (ICON-TEC) Apartado 14237 Bogoth, D.C. - Tel. 607- Fax 2221435

Pmhibida su repmtuccibn

Editada 20064443

NORMA TCNICA COLOMBIANA

NTC-ISOIIEC 27001

m. :

gi?i:r:
,.
**.h
+

9 ,

TECNOLOGCADE LA IMFORMACIN. TECNICAS DE SEGURIDAD. SISTEMAS . G E S ~ O N DE . LA SEGURIDAD' DE " INFORMACldN (SGSi). REQUISITOS

DE LA

E:
- ,

WF~RMATIONTECHNOLOGY. SECURITY TECHNIQUES.

'

INFORMATION SECURITY REQUt REMEMTS

A'

MANAGEMENT SYSTEMS.
.J.

'

kg..
s.

.
,-

, ,:
I

,t
I

. :

. " ,' ,., CORRESPONDENCIA:

& :

:
,

;
.

esta norma es una adopcin identica (1DT) por Waduccibn, respecto a su

Ii r . .
,a#,.:,'-;

documento de referencia, la nwma

ISOllEC 27001,
;

8'
ir?'?br: .

/ * - ' .

DESCRIPTORES:
i

e.

.,

:
;-

.:,

.--

. . ,. , ._.

..

..-

'

sistemas de gestin - seguridad de la informacibn: seguridad de la in?ormacibn- requlsltos.

. ._-

l.!

.'

-t

y % , :

>

j;

El Instituto Colombiano de Normas Tcnicas y Certificacibn, ICONTEC, es el organismo nacional de normalizacin, segn el Decreto 2269 de 1993.

ICONTEC es una entidad de caracter privado, sin nimo de lucro, cuya Misin es fundamental
para brindar soporte y desarrollo al productor y proteccibn al consumidor. Colabora con el sector gubernamental y apoya al sector privado dei pals, para lograr ventajas competitvas en -11. ' ... .. .. los mercados interno y externo,
, , d 5

'

La representacien de todos los sectores involucrados en el proceso de Normalizacidn f ecnica esta garantizada por los Comites Tcnicos y el perlodo de Consulta Pblica, este Qttimo caracterizado por la participacindel pblico en general.

La NTC-ISOIIEC 27001 fue ratificada por el Consejo Directivo del 2006-03-22.

Esta norma esta sujeta a ser actualizada permanentemente con el objeto de que responda en todo momento a las necesidades y exigencias actuales.

A continuacin se relacionan las empresas que colaboraron en el estudia de esta norma a traves de su participacidn en el Comitg Tenico 181 Tknicas de seguridad de la informacibn.
AV VILLAS ASOCIACIN BANCARIA DE COLOMBIA BANCO CAJA SOClAU COLMENA BCSC BANCO GRANAHORRAR BANCO DE LA REPUBLICA BANISTMO CO LSUBSlDlO D.S. SISTEMAS LTDA. ETB S.A. ESP
FLUlDSlGNAL GROUP S.A. IQ CONSULTORES IQ OUTSOURCING S.A. MEGABANCO NEW NET S.A. SOCIEDAD COLOMBIANA DE ARCHIVISTAS UNIVERSIDAD NACIONAL DE COLOMBIA

Ademss de las anteriores, en Consulta Pblica el Proyecto se puso a consideracidn de las siguientes empresas:

ABN AMRO BANK AGENDA DE CONECTIVIDAD AGP COLOMBIA ALPINA S.A, ASESORIAS EN SISTEMATIZACIN DE DATOS S.A. ASOCIACIM LATINOAMERICANA DE PROFESlONALES DE SEGURIDAD INFORMARCA COLOMBIA ATH

BANCAFE
BANCO AGRARIO DE COLOMBIA BANCO COLPATRIA RED MULTlaANCA COCPAlRIA

BANCO OAVlVl ENDA BANCO DE BOGOTA BANCO DE COLOMBIA BANCO DE CREDITO BANCO DE CREDITO HELM FINAFJC1AL SERWCES BANCO DE OCCIDENTE BANCO MERCANTIL DE COLOMBIA BANCO POPULAR BANCO SANTANDER COLOMBIA BANCO STANDARD CHARTERED COLOMBIA BANCO SUDAMERlS COLOMBIA BANCO SUPERIOR BANCO TEQUENDAMA

BANCO UNIN COLOMBIANO BANK BOSTON BANK OF AMERICA COLOMBIA BBVA BANCO GANADERO BFR S.A. CENTRO DE APOYO A LA TECNOLOGIA INFORMATICA -CATICITIBANK COlNFlN LTDA. COLGRABAR LTDa)r+;=;;2.3 t ,, ? q ; 2; ~ .~ , , ; . COMPAN~A AGRICOLA DE SEGUROS DE VIDA CONSTRUYECOOP CORPOWCION FINANCIERA COLOMBIANA CORPORACION FINANCIERA CORFINSURA CORPORACIN FINANCIERA DEL VALLE CREDIBANCO VISA CYBERlA S.A. ESCUELA DE ADMINISTRACION DE NEGOCIOS -EANFEDERACION COLOMBIANA DE LA INDUSTRIA DEL SOFTWARE - FEDESOFT-

DEFENSORIA DEL CLIENTE FINANCIERO FIMAMRICA S. A. FUNDACIN SOCIAL

INCOCREDITO
INDUSTRIAS ALIADAS S.A. INTERBANCO MINISTERIO DE COMERCIO, INDUSTRIA Y TURISMO MINISTERIO DE DEFENSA N.C.R. NEXOS SOFTWARE LTDA. REOEBAM MULTICOLOR SECRETARIA DE HACIENDA DlSTRlTAL SERVIBANCA SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO TMC & CIA UNIDAD DE SRVK:E TECNOLGm LTDA UNIVERSIDAD DE LOS ANDES UNIVERSIDAD JAVERIANA WORLDCAD ETDA.
"" '

,,

V N T E C cuenta con un Centro de Inforrnacidn que pone a disposicidn de los interesados normas Internacionales, regionales y nacionales y otros documentos relacionados. < .- ;:$c:, p?;y:, . ' - - a Q i ;?b- 4-a 5 - ;&qlot y*- ';k. DIRECCI~NDE NORMALIZACION
' 1

-.. ._

, ,

+ :',=:e. , ., *

.-.

:;,y

s.

imRoouw

.................................................................................................. l
................................................................................................
I

0.1 0.2
0.3

QEII#RALdDAES

.................................................................. 1 COMPATlBlLlDAO CON OTROS SISTEMAS DE GESllN ................................111 ...

E N F W E BASADO EN PROCESOS

1.1
1.2

.................................................................................................................... GENERALIDADES ....................................................................................................

OBJETO
MUCACK)W

1 1

................................. ......................................................................... 1

. .

REFERENCIA NORMATIVA

.....................................................................................

SRMINOS Y DEFIYICIOES

...................................................................................2
..................... 4
4

SISTEMA M G E S M N DE LA SEGRiDAD Df LA IMFORMACCN

4.1
4.2

REQHISITOS GENERALES

...................................................................................

ESTABLECIMIENTO Y GESTIN DEL SGSI REQUIS~TOS DOCUMENTACIN DE

............................................................

4
9
10
10

4.3

.......................................................................

RESPONSABILIDAD DE LA DIRECCIN
COMPROIIIIISO DE LA WRECC16N

..............................................................

....................................................................

AUWTORCAS INTERNAS M L SGSl

................................................................. 1 2

HL.

Pagina
.-*.A

7.1

7.2
7.3

....................................................... GENERALIDADES ............................................................................................ INFORMACIN PARA LA REVISION ..................................................................... RESULTAMIS DE LA REVISIN ........................................................................
R E V I S ~ ~DEL SGSI POR LA DIRECCIN AI
m

*m . . . .

12 1 2
12
13

U.
8.1
8.2

MElORA DEL SGSl ......... ......... .........

MEJORA CONTINUA

.............................................................. 13
13

8.3

........................................................................................... ACCWN CORRECTIVA........................................................................................... ACCIN PREVEAmVA ........................................................................................... .....................................................................

14 14

ANEXO A
OBJETlVOS DE CONTROL Y COMTROLES
ANEXO S

15

PRINCIPIOS DE LA OCDE Y DE ESTA NORMA

..........................................................

33

A~XO c
CORRESPONDENCIA ENTRE LA NTC-ISO 9001.2000. LA NTC-ISO 14001.2004. Y LA PRESENTE NORMA 34

.................................................................................. .. ..

1
/
.
i

NORMA TECMCA COLOMBIANA

NTC-IYUIEC 11001

0.1

GENERAUDADES

Esta norma ha sido elaborada para brindar un modelo para el establecimiento, irnplemeritacin, operacin, seguimiento, revisin, mantenimiento y mejora de un sistema de gestidn de la segurida de la informacin (SGSI). La adopcin de un SGSl deberfa ser una decisidn estratgica para una organizacin. El diseno e lrnplementacin del SGSl de una organizacion estan influenciados por las necesMades y objetlvos, los requisltos de seguridad, los procesos empleados y el tamailo y estructura de la organizacin. Se espera que estos aspectos y sus sistemas de apoyo camMen con el tiempo. Se espera que la implernentacibn de un SGSl se ajuste de acuerdo con las necesidades de la organizacin, por ejemplo, una situacin simple requiere una solucln de SGSl simple.

Esta norma se puede usar para evaluar la confwmidad, por las partes interesadas, tanto internas como externas.

0.2

ENFOQUE BASADO EN PROCESOS

.

1
j

Esta norma promuwe la adopcidn de un enfoque basado en procesos, para establecer, irnplementar, operar, hacer seguimiento, mantener y mejorar el SGCI de una organizacibn.

Para funcionar eficazmente, una organizacidn debe identificar y gestionar muchas actividades. Se puede considerar como un proceso cualquier actividad que use recursos y cuya gestidn permita la transformacin de entradas en salidas. Con frecuencia, el resultado de un proceso estituye directamente la entrada del proceso siguiente.
- -.

La aptlcacln de un sistema de procesos dentro de una organizacibn, junto con la identificacidn e interacciwies entre estos procesos, y su gestin, se puede denominar como un "enfque basado en procesos".

El enfoque basado en procesos para la gestidn de la seguridad de la informacibn, presentado

en esta norma, estimula a sus usuarios a hacer enfasls en la importancia de:

cc#nprender los requisitos de seguridad de la informacibn del negocio, y la mesidad de estab poltica y oQJetivos en reiacksn con la seguridad de la hiformacin:

irnpkmentar y operar controles para manejar los riesgos de seguridad de la infmacidn de una wganizacion en el contexto de los riesgos giobales del negocio de la organizacibn;
c)
'

el seguimiento y revisin del desernpeAo y eficacia del SGSI, y la mejora continua basada en la medicin de objetivoc.

Esta norma adopta el modelo de procesos "Planificar-Hacer-Verificar-Actuar"(PHVA), que se aplica para estructurar todos los procesos del SGSI. La Figura 1 ilustra cmo el SGSi torna como elementos de entrada los requisitos de seguridad de la informacin y las expectativas de las partes interesadas, y a traves de las acciones y procesas necesarios produce resultados de seguridad de la Informacin que cumplen estos requisitos y expectativas. L Figura 1 tambien a Ilustra los vfnculos en los procesos especlfkados en los numerales 4, 5, 6, 7 y 8.

La adopcin del modelo PHVA tambin reflejar8 los principios establecidos en las Directrices
OCDE (2002)' que controlan la seguridad de sistemas y redes de informacin. Esta norma
brinda un modelo robusto para implementar los principios en aquellas directrices que controlan la watuacibn de riesgos, diseo e irnplementacidn de la seguridad, gestin y reevaluacin de fa seguridad.
EJEMPLO 1 Un requisito - 8 1 ser que las vWaclones ei la segurldad de la infwmaci6n no causen dano nnanclero severa a una organizacion, ni sean motivo de premupaci&I para esta.

EJEMPLO 2 Una expeaadva podrla ser que SIa u r e wi Incidente serio, como pw ejemplo el Hacklng del sitio web de una organtzodbn, haya personas con capacitaci* suficiente en los pmcedimientos apropiarloc, para
minhnlzar el impacto.

__-e----

_-*-

Partes

,dd

~ntemdas
/ '

y , , 0

FlanW r

--__ %, .-.
x
% \

Panes
~~~~S

,'

'

I \
\ \ \ \
\

I Cii IqI--!
e SGSt l
""\\\ \

\ 1 1 1

i 1

1 t

/
\ \

Reqrikltw~ expectativas de de la kifwmach

,
'x

'. . -.
'

/ ,

revisar d SGSl
/M '

Seguridaa*
L9kAwmackki

-------__--__-----~
M

VerHbr

*-

geionada

W r e m k e s OCDE para le wgwtdad de slsiemas y re& de krfomiaelm.Hada wta eu9uira de la seguridad. Parfs: OCDE, Julio c 2002.winw,&.org. k

II

h w k a f (establecer el SGSI)

.Ibm(Impdemeniar y operar el SGSI)

+

7 del SGSI.

la poltica, los objeths, m e s o s y p"edhnientos de w d P W para ge9-r el riesgo y +ar la seguridad c la Infwmadbn, con e k l fin de emregar resultados aeardes cwr las polticas y o W h s qlobles de una aqsnlzacln. I m p l e m r y operer la poiltb, bs conaoles, p e s o s y

Esta-

Evaiwr, y, en dmuk sea ap#eable, meti& el del~contralapolftbyios~deseguldad y la przlcth, y r e p t a r los msultadw a la a d b n , para w mi?Wn.
b m r (mantener y r nr

e SGSI) i

en im res&&m
del SGSI.

kaerna del SGSI y la rwlslbn pw b f#red&& para lograr la * a cwianua

de la

COMPATislllDAD CON OTROS SISTEMAS DE GE

cta m a e m - alineada con la NTC-ISO 9001:2000 y la NTC-ISO 14001:2004, con el fin de dpyar la hnplememadh y operacibn, consistentes e integradas con sistemas de gestidn rebchados. Un sistema de gestldn diseado adecuadamente puede entonces satisfacer los fequ+sbsde todas estas m s . la Tabla C.1 taistra la rehcibn entre los numerabs de esta m, mNTC-tSO 9001:2000 y la NTC-ISO 14001:2004. !a

Esta norma esta disenada para'perrnitlr que una organizaclon alinee o integre su SGSl con los -8de los sistemas de gestin relacionados.

TECNOLOGIA DE LA INFORMACIN. SCMCAS DE SEGURtDAD. SlSTEMAS DE GESTIN M LA SEGURiDAD DE LA INFORMACION(SGSI). REQUISITOS

-ANTE

Mulr e s h s dlspwidones mmsmbs*de un m a t o . Lw esta puWm&n m t i i i S r t s i s w ~ ~ p l e % u ~ a p l i E e e ( a n . E l ~ e ~ i r i n a ~ e n ~ m i t w n a m

dem-wa-.

OBJETO

k a mmna cubse todo tlpo de organlackmes (por ejemplo: empresas comerciales, agencias -les, apanizacbms s nimo de -1. l Esta mxma especifica los requisitos pera m k r implementar, operar, hacer seguimiento, revisar, mantener y m b e, r un SGS1 d w m m m c b dentro dd contexto de los riesgos glabales del nqmb de la organizacbn. s los requis#os para la implementacbn de controles de seguridad adaptados a las &dd&s de !as organizeicbes individuab o a partes de ellas.
-Jan

B5GSI a disettado para asegurar c m m k de sqwidad w k h t e s y pqmcionales que los acvos de informacin y brinden confianza a las partes interesadas.
WTA 1
Las q se hacen en esta ma 'negado" se deberran Hqxetar a-merirs w acavldadesgue~%senelalcrspambexl~&Laarganltaei0n.
como

La ITC-1SMEC ,7799 twh&

m M sohe la impkmentarbn. que se pede usar ruar& r n

idos en esta mmna son genricos y estn prwkms para ser aptimbles a todas de su tipo, tamano y nalwaleza. No es acepable la las organizaciones, eitckision de cuakpma & b s requMm especiCicados en los numerales 4, 5, 6, 7 y 8 cuando una aganlzadn dedar8 confomiidad con b m m .

Cualquier exclusin de controles, cmslderada necesaria para satisfacer los criterios de aceptacin de rlesgos, necesita Justificarse y debe suministrarse evidencia de que los riesgos asociados han sido aceptados apropiadamente por las personas responsables, En donde se exchya cualquier control, las declaraciones de conformidad con esta norma no son aceptables a menos que dichas exclusbnes rm afecten la capacidad de la wganizaci6n y10 la responsabilidad para ofrecer seguridad de la informacin que satisfaga los requisitos de segwkiad determinados por la valoracidn de riesgos y los requisitos reglamentarios aplicables,
SI una organlzacldnya tiene en ~ ~ m l e nun s i m a de gestkln de los v e s o s de su negmlo (por t o en relacln can la NTC-ISO 9001 o NTC-ISO 14001), en la maywla de bs casos es p e n k satisfacer los reqisitos de la presente m e dentro de este sistema de g e s t h exlaente.
-0:

MITA

S4;lguiente d o c u referenciada es indispensable para la aplicacidn de esta nwrna. Para ~ Mkwencias fechadas, solo se aplica la edicln citada. Para referencias no fechadas. se aplica
1
'

@ Otrna edicim del documento referenciado (incluida cualquter correccin).

YTC-ISO/IEC 17799.2006. T e a d q f a de la infamcxii.Twnlces de seguridad. Ckkp de practica r f-pata~delasecfliridaddelainfc)mia~.

h a ios propositos de esta norma, se aplican los Siguientes trminos y definiciones:

CWriesgo
r'

de asumir un riesgo.

1 b

~ s d l k r h q p uso sistemdtico de la Infwmacidn para identifm las fuentes y estimar el riesgo.

.. ,>:.-..
F

<

.--

. . ,'

midad m i e d a d que determina que la infomiacrn no este disponible ni sea revelada a individuos, ! b c i e s o procesos no autorizados.

N-5411-1:2006]

.t..m

-,. .

LJp

I r,

- > i-

. .,

,. .. ,.:;*

:.

34

..

L.

dm ip4icabilSdad
@xummto que describe los objetivos de control y b s controles pertinentes y aplicables para el %SI de b organizaclbn,. , . ,. , . ,, . y 3f1 . . , .., , . . .,* ' . . .. ... ,
.
:l.:
L.

, .

Loa obyetivos de m d y los ctmtmles se basan en los resultados y cwclusonss de los procesos de y tratamiento de riesgos, requlsltos legales o reglamentarios, obligaciones contractuales y los requlsltoc $Mm w o de la organizaciW en Ut8tUO a la -dad de la infwmecln.

#~TA
-clbn

3*7
waluacibn del riesgo pmeso de comparar el riesgo estimado contra criterios de riesgo dados, para determinar la importancia del riesgo.

'

3.8 ifentode seguridad de Irt Informacidn

presencia WentMcada de una candicln de un slstema, servlclo a red, que Indica una posible vblacidn de la polRlca de seguridad de la informacion o la falla de las salvaguardas, o una situacidn desconocida previamente que puede ser pertinente a la seguridad.

C TR 18044:2004]
t

dn ciei riesgo

coordinadas para dirigir y controlar una organizacin en relacin con el riesgo.

r
b

8.10 h i m e de seguridad de Is lnformacidn cd t un evento o serie de eventos de seguridad de la informacin no deseados o inesperados, que tknen una probabilidad significativa de comprometer las operaciones del negocio y amenazar la seguridad de la informacin. . '
' 1
>
3

[ISOHEC TR 18044: 2004)

.
ek,,

. .
,

-: ,&rnT,

'?

c,,

i, , L . '

3.3 1
1

Lhfesrw

,:<:::

r,.

-!

propiedad de salvaguardar la exactitud y estado completo de los activos.

'

b5411-1:2006]
.'
7

;:,

.
,.
t.

'

. f .

1,
i

k
3.12

..

sgo residual

"

. ' .. :

*,

..

, .

>,

<

,
,

-,

el restante de riesgo despus del tratamiento del riesgo.

:
, ' m

..

[Gura ISOIIEC 73:2002].

preservacidn de la confidencialidad, la integridad y la disponibilidad de la informacin; adems, puede involucrar otras propiedades tales como: autenticidad, trazabllidad (Accountability), m .- r repudio y fiabilidad.
S

INTC-ISOIIEC 17799:2006]
.

rt

-, , F . +

*--F..

.
,

t-%'

13.14

L-:~a(yx-.

de gestin de la seguridad de la informacin

.
& S - ' * ,

pSne M sistema de gestWn global, basada en un enfaque hada b s r i e w globales de un wgmio, cuyo fin es establecer, irnpkmentar, operar, hacer seguimiento, revisar, mantener y mpar la seguridad de la informacin.

D M A TCNICA COLOMBIANA
OTA

NTC-ISOIIEC 27001

El sistema de gestibn Incluye la estructura organizacional, pollticas, actividades de planlficacibn, !sponsabllldades, practicas, procedimientos, procesos y recursos.

'atamiento del riesgo ., roceso de seleccin e implementacion de medidas para modificar el riesgo.
V.

b'

-#m

:,

:'

OTA

En la presente nwma el trmino "conaor"se usa como sinonirno de "medida".

.10

4,

In del riesgo global de analisis y evaluaclOn del riesgo,

.
'

. ..
*,"
.
: f . , ' - '

SISTEMA DE GESTldN DE LA SEGURIDAD DE LA INFORMACION

,;,

REQUISITOS GENERALES

.a organizacin debe establecer, irnplementar, operar, hacer seguimiento, revisar, mantener y nejwar un SGSl documentado, en el contexto de las actividades globales del negocio de la irganizacin y de los rlesgos que enfrenta. Para l s propsitos de esta norma, el proceso o tsado se basa en el modelo PHVA que se ilustra en la Figura l .
ESTABLECIMENTO Y GESTldN DEL SGSl
Establecimiento del SGSl
I .

irganizacin debe:
a)

Definir el alcance y ltmites del SGSl en trminos de las caracterlsticas del negocio, la organizacin, su ubicacin, sus activos, tecnologra, e incluir los detalles y justificacin de cualquier exclusidn del alcance (vease el numeral 1,2). Definir una polftica de SGSl en terminos de las caracterlsticas del negocio, la organlracibn, su ubfcactbn, sus acttvos y tecnologfa, que: incluya un marco de referencia para fijar objetivos y establezca un sendo general de dlreccldn y principios para la accin con relacin a la seguridad de la infwmacln;

2)

tenga en cuenta los requisttos del negoclo, los legales a reglamentarios, y las obligaciones de seguridad contractuales;
. . . ..

3)
4)
-.
,-_
.J

este alineada con el contexto organizacional estrategiro de gestfon del rlesgo en el cual tendra lugar el establecimiento y mantenimiento del SGSI;
establezca los criterios contra los cuales se evaluar el riesgo. (Vease el numpr l 4 2 1 literal c) y; . . &, O < * i < , ' --**..u*-:.' Lf,

Ir.

-. b .>

y ar & rym

* . + i v ~ ; , . ~ ~ : , r ~ x r . r u > . r

rQ Wt rq

:'

. '< ;-

.- '.f

'

f.

5)
c)

haya sido aprobada por la direccibn.

Definir el enfque organizacknal para la valwocibn del riesgo.

1)

Identificar una metodologia de valoracidn del riesgo que sea adecuada al SGSl y a los requisitos reglamentarlos, legales y de seguridad de la Informacl6n del negocio, identificados.

2)

Desamollar criterios para la aceptacidn de riesgos, e identificar los niveles de riesgo aceptables. (Vase el numeral 5.1, llteral f).

La metodologra seleccionada para valoracidn de riesgos debe asegurar que dichas valoraciones producen resultados comparables y reproducibles.
NOTA Enlsien dlferentes metodologlas para la valoracidn de riesgos, En el documento ISOIIEC TR 13335-3, Informatlon iechno/ogy.Gulddlnes for tite Management of IT Securlty Techniques for t h e Management of IT Securlty se presentan algunos ejemplos.

Identif~ar riesgos los

1)

identificar los activos dentro del alcance del SGSl y los propietarlos2 de

estos activos,
2)
identificar las amenazas a estos activos.

3)
4)
e)

identificar las vulnerabilidades que podrran ser aprovechadas por las amenazas. Identificar los impactos que la p&dida de confidencialidad, integridad y disponibilidad puede tener sobre estos activos.

Analizar y evaluar los riesgos.

1)

valwar el impacto de negocios que podra causar una falla en la seguridad, sobre la organizacin, teniendo en cuenta las consecuencias de la p&dlda de confidencialidad, integridad o disponibilidad de los

acths.
2)
v a h a r la posibilidad realista de que ocurra una falla en la seguridad, consldersndo las amenazas, las vulnerabilidades, los impactos asociados con estos activos, y los controles imptementa#os actualmente.

3)
4)

estimar los niveles de los riesgos. determinar la aceptacidn del riesgo o la necesidad de su tratamiento a partir de los crlterlos establecidos en el numeral 4,2.1, literal c),

Identificar y evaluar las opciones para el tratamiento de los riesgos.

Las poslbles acciones Incluyen:

Ident#fePj a un lnivldw o entidad que me la responsablkkd, &SQmda p la El Wrnlmi gerencia, de eonrrolsr #af o u c , x c mdewrrollo, mantenlmlento, usa y seguddad de tos xvus, El #rl p mrealmente tenga aQUn derecho de propklad sake el actka a "progleterkr"rm qulem decir

IORMA SCNICA COLOMBIANA

1)
2)
aplicar los controles apropiados.
aceptar los riesgos con conmlmlento y objetMdad, siempre y cuando satisfagan claramente la polrca y b s criterios de la wganizacidn para la aceptacln de riesgos (vdeise el numeral 4,2,1, literal c));
evitar riesgos, y

3)
4)

transferir a otras partes los riesgos asociados con el negocio, por ejemplo: aseguradoras, proveedores, etc.

SeOecclanar los obJetivos de control 'y los controtes para el tratamiento de los desgos.

Los obpttvos de control y los controles se deben seleccionar e implementar de manera que cumplan los requisitos IdeMicados en el proceso de vabacibn y tratade riesgos. Esta se!eccMn debe tener en cuenta los criterios para la aceptaclm de riesgos (vase el numeral 4.2.1. literal c)), al igual que los requisitos legales, reglamentarios y contractuales.
Los objetivos de control y los controles del Anexo A se deben seleccionar como parte de este proceso, en tanto sean adecuados para cubrir estos requisitos,

Los objetivos de control y los controles presentados en el Anexo A no son exhaustivos, por lo que puede ser necesario seleccionar objetivos de control y controles adicionales.
NOTA
El Anexo A m e n e una lista ampia de objetivos de control y controles que comnmente se han encontrada pertinentes en las wganlmciwies. Se sugiere a los usuarios de esta norma consultar el Anexo A como punto de partida para la selecclon de controles, con e fin de l
asegurarse de que no se pasan por alto opciones de contrd Importantes.

Obtener la aprobacin de la direccin sobre los riesgos residuales propuestos.

Obtener autorizacin de la direccidn para implementar y operar el SGSI,

j)

Eiabwar una declaracibn de aplicaMIWad.

Se debe elabwar una ddaraclbn de apkabWad que kicluya:

Laexckisindecualquier~decantrolycwitrdesenumeradosmel

Ahexo AylajuWkacim para suex-.

NOTA La declsraclOn da a p k a H W proporcloaa un wwrnen de las ckckbnes concwnlentes
a
sa kema

&

i organizacin debe:

a)

formular un plan para el tratamiento de riesgos que identifique la accidn de gestin apropiada, los recursos, responsabilidades y prioridades para manejar los riesgos de seguridad de la informacin (vease el numeral 5); implementar el plan de tratamiento de riesgos para lograr los objetivos de control identificados, que incluye considerar la financiacfn y la asignacidn de funciones y respnsabitidades; i m p l m t a r los controles seteccionados en el numeral 4.2.1, literal g) para cumplir los objetivos de control; definir cbmo medi la eficacia de los controles o grupos de controles seleccionaclos, y especMcar cmo se van a usar estas medkiones con el fin de vabrar la eficacia de los controles para producir resultados comparables y reproducibles (vease el numeral 4.2.3 literal c));
La rwdicldn de la Mcacia de los controks permite a los germes y al personal determinar la medida en que se cumplen los objevos de cont~d planiffcadoC.

c)

/'
'

d)

NOTA

e)

implementar programas de f0~1ack)n y de toma de conciencia, (vease el numeral 5.2.2);

gestionar la operacion del SGSI;

fl
g)
h)

gestionar los recursos ei SGSI (v8ase el numeral 5.21:

Hnplementar procedimientos y otros controles para detectar y dar respuesta wibi.tuna a los kldentes de seawldad (s -e el numeral 4.2.31.

23

Seguknisnto y rwisian del SGSi

a mganizacidn debe:
Ejecubr f.wocedIMieriAOs de seguimiento y rwlsidn y otros controles para:

1)

r rapidamente e m e s en los resultados del pmcesamiento;

2 )
3)

identificar con p n t h d los incidentes e intentos de vioiacbn a la seguridad, U t los que twleron exito como los que fracasaron: na
posibilitar que la dkeccidn determine si las actividades de seguridad deBegadas a las personas o irnplementadas mediante tecnolqra de la informacin se estsn ejecutando en la forma esperada:

4) 5)

ayudar a d e t w r eventos de seguridad, y de esta manera impedir incidentes de seguridad mediante el uso de indicadores, y
determinar si ias accfones tomadas para solucionar un probbma de violacitlii a la seguridad fueron eflcaces.

FL(
L

Emprender revisiones regulares de la eficacia del SGSl (que incluyen el cumplimiento de la poltica y obmvos del SGSI, y la revisin de los conboles de seguridad) teniendo en cuenta los resultados de las auditwias de seguridad, incidentes, medlcldn de la eficacia sugerencias y retroalimentacidn de todas las partes interesadas.

c)

Medir f efikacia de los controles para verificar que se han curnplkh los a re$uIsbs de seguridad.

d)

Rwisar las valoraciones de los riesgos a Intervalos planif~ados, revisar el nivel y de riesgo residual y riesgo aceptable identificado, teniendo en cuenta los cambios en:

3)

los objetivos y procesos del negocio,

1)
las amenazas identlflcadas,
b eficacia de los controles tmplementados, y

2)
3)

eventos extanos, tales como cambios m el entorno legal o reglamentario, en las obiigacbnes contractuaks, y en el clima social.
el nwnerat 6).

e)

Realizar a w f a s kitemas del SGSl a m a l o s pbnificados (s -e

...
*

MOTA Las audltw(as Internas, d m l n a d a s atgunas veces auc?imlas de prlmera parte, las realiza la propia organlzacldn u oaa organlzaclbn en su nombre. para prop&sltos hiternos.

8 ' '
g)

E m p m k r una revlsi6n del SGSI, realizada pw la direa%n, en fwma regular para a w a r que el abnce siga sk& suficiente y c se Idena#iquen -as p al procecodeSGSl [v&sednwnsral7.1).
Actualizar los planes de seguridad para tener en cuenta las conciuslones de las aahridedes d@ seguimiento y revisiOn, Rqistrar acciones y eventos que podrran tener impacto en la eficacia o el desempeno del SGSl (vase el numeral 4.3.3).

h)

4 Mantenimiento y mejora dei SGSl

I
!A

wganizaci6n debe, regularmente:

a)
b)

tmplementar las mejrwas ldentlflcadas en el SGSI; Emprender las acciones correctivas y preventivas adecuadas de acuerdo con los numerales 8.2 y 8.3. Aplicar las lecciones aprendidas de las experiencias de seguridad de otras organizaciones y las de la propia organlzscln;
Comunicar las acciones y mejoras a todas las partes interesadas, con un nivel de detalle apropiado a las circunstancias, y en donde sea pertinente, llegar a acuerdos sobre cmo proceder;

c)

~ R M TLCNICA COLOMBIANA A
d)

NTC-ISOIIEC 27MH

Asegurar que las mejoras logran los objetivos previstos.

REQUISITOS DE DOCUMEMTACION
. T

ntacidn del SGSl debe incluir registros de las decisiones de la direccion, asegurar iones sean trazabtes a las decisiones y poltticas de la gerencia, y que los resultados

S del proceso de valoracidn y tratamiento de riesgos, y seguidamente, con la etivos del SGSI. . - l
. '

4 q docwimentacin del

SGSI debe incluir:

a)

declaraciones documentadas de la poltica y objetivos del SGSl (vease el numeral 4.2.1, literal b));
el alcance del SGSl (vease el numeral 4.2.1, literal a))

b)

--,

e)

el informe de valoracidn de riesgos (vease el numeral 4.2.1, literales c ) a g));

el plan de tratamiento de riesgos {vease el numeral 4.2.2, literal b));

g)

Los procedimientos documentados que necesita la organizacin para asegurar la eficacia de la planificacin, operacidn y control de sus procesos de seguridad de la informacin, y para describir como medir la eficacia de los controles (vease el, numeral 4.2.3, literal c));
Losregls~osexigidosporestanorma(vaseelnumerai4.3.3),y
'

h)

:,-

-,.

u:.,

..

La declaracidn de aplicabilidad.
A1

En esta m a , e temiino 'pmcedirnknto documentado" slgnlfka que e procedlmlento esta estabecklo, l l do, irnplememadoy mantenido.
El akance de h docurnentaclm ciei SGSl puede ser diferente de una wganizacibn a otra debido a: . . . El tamam de la wganizacibn y e Elpo de sus aabidades, y l
5

TA 2

El alcance y complejidad de los requlsltos de seguridad y del sistema que se est gestionando.

NOTA 3

Lo5 documentos y registros pueOen tener cuslqWer forma a estar en cualquier tlpo de medio.
l,{

4.3.2 Control de documentos

..

1 Los documentos exigidos par el SGSI se deben proteger y controlar. Se debe establecer un
edimiento documentado para definir las acciones de gestin necesarias para:
dw~s>z .

a)
.

aprobar l s documentos en cuanto a su suficiencia antes de su publicack5n; o

b)

revisar y actualizar los Wumentos segian sea necesario y reapbarlos:

d]

asegwar que las versiones ms rechtes de los documentos pmnentes estn disponibles en b s puntos de uso;
asegurar que los documentos permanezcan leg-S

e)

y fdcilmente Wentlficabk;

--

que se apliquen los procedimientos pertinentes, de acuerdo con su clasificaci6n, para su transferencia, almacenamiento y disposkibn Rnal.

g)
h)

asegurar que los documentos de wigen extemo estn identificados;

asegurar que la distrihcion de documentos este controlada;
impedir d uso no previsto de los dacurnentos obsoietos, y

aplicar Ia identifmcibn adecuada a los documentos obsdetos, si se retienen para cualquier propsito.

.3 Controidemgistnis

ebe tener en cuenta cualquier requisito legal o reglamentario y las obligaciones

deben llevar registros del desemdel proceso, como se esboza en el numeral 4.2, y de los casos de incidentes de seguridad significativos relacionados con el %SI.
PLO Aigumrc ejemplos de registros son: un libro de vlsltantes, informes de auditwlas y lwmatos de zacldn de acceso diligenciados.

COMPROMISO M LA M R E C C W

, f .

'

t..::,.',..

..-c

a) b) c)

mediante el estabiecirniento de una polltica del SGS1;

2

asegurando que se establezcan b s objetivos y planes del SGSI;

i;

rtai.di4jri ;pax

estableciendo funciones y respwisabilidades de seguridad de la infwmackn;

10

e)

brindando lr recursos suficientes para establecer, implementar, operar, hacer cs m m n ,revisar, mantener y mejwar un SGSI ( a s e e numwai 5.2.1); d l t e o l

asegurando que se ~ H r a aud#aras internas del SGSl (s n -e

d numeral 6), y

efectuando bs revisiones por la dkeccicki, del SGSl (aase el numeral 7).

G&ON

DE RECURSOS

wganizacibn debe determinar y suministrar los recursos necesarios para:

a)
. . .'

establecer, irnplementar, operar, hacer seguimiento, revisar, mantener y mejorar

un SGSI;

...
' 1

.:

. .
b:.

..
,

13)

asegurar que tos procedimientos de seguridad de la informacfin brindan apoyo a los requisitos del negocio; ,. ,
identificar y atender los requisitos legales y reglamentarios, asl como las obligaciones de seguridad contractuales;
1 '

c)

d)
+

mantener la seguridad suficiente mediante la aplkacibn correcta de todos los

llevar a c a b revisiones cuando sea,necesario, y reaccionar apropiadamente a los resultados de estas revisiones; y

e)

'.'

f)
l ;
- , , .

en donde se requiera, rnejmar la eficacia del SGSI.

'.. ' .. .
:.1

.,

.:

' - " '

*-'

,:

'L."

2 Fomiacian, toma de conciencia y -a

-4 .
,%

: ,--, -

-.- .

organizacin debe asegurar que todo el personal al que se asigne responsabilidades Mdas en el SGSl sea competente para realizar las tareas exigidas, mediante:
L determlnacim de t s competencias necesarias para el personal que W t el a a u e trabajo que afecta el SGSI; , .., . .. . ! i r , ..; :...+-. .. - . * .-r7vc 4 . .: ,\: el suministro de formacin o realizacin de otras acciones (por ejemplo, la b) ! fi contratacin de persond competente) para satisfacer estas necesidades;

a)

.,

i1

c) d)

la evatuacibn de la eftcacia de las acciones emprendidas, y

el mantenimiento de rtqistros de la educacMn, fwmacibn, habilidaes, ex periencla y califtcaciones (vease el numeral 4.3.3).
;
. , > m ,

,.

'

,T.

?N -a

v*.:t. -

-: '

e. -

11

-, - .:A2-'3c.3

. :b>+2:L:

e importancia de sus acvMades de seguridad de la informacidn y como ellas al logro de los objetivos del SGSI.

a)

cumplen los requisitos de la presente reglamentaciones pertinentes;

mwma y de la legislacidn d

cumplen los requisitos Identificados de seguridad de la informacin;

estn implementados y se mantienen eficaxmente, y

as areas que se van a auditar, ast como los resultados de las auditorlas previas. Se Ir (OS criterios, el alcance, la frecuencia y los metodos de la auditorla. seieccion uditares y la realizacin de las auditorras deben asegurar la objetividad e imparcialidad eso de auditorla. Los auditores m, deben auditar su propio trabajo.
finir en un procedimiento documentado las responsabilidades y requisitos para la y reallzacbn de las auditorras, para Infamar los resultados, y para mantener los (*ase el numeral 4.3.3).

dos de la verifkaci0n.

..,.-

: .

..

Mmtar orientsdniPU para la rwltzziclbnde audkmas h t r n a s del SGSI. .;,

REWSION DEL SGSI POR LA MRECCION GENERALIDADES

ci6n debe revisar el SGSl de la ohganizacidn a intervalos planificados(pw lo menos una

M), para asegurar su conveniencia, suficiencia y eficacia continuas. Esta revlsion debe
evaluaclm de las oportunidades de mejora y la necesidad de cambios del %S!, la polltica de seguridad y los objetivos de seguridad. Los resultados de las revisiones dmumentar claramente y se deben Hevar registros (vease el numeral 4.3.3).

tAIFORMACIH PARA LA REVISION

entradas para la rwisibn por la direccion deben incluir:
--

'

:!~:?. !

l . L ?

h .

,:

:.,

l.,&,.

i..

:,m

..-!f..,,

:j.,r

a)

resultados de las auditorlas y revisiones del SGSI;

.-::i3. .. tgg

a~.wias

NTC-ISOIIEC 27001

1 '*.,

c)

tcnicas, productos o procedimientos que se pueden usar en la organiracidn para mejorar el desernpeno y eficacia del SGSI;

E:;4
1 e) i,
k

estado de las acciones correctivas y preventivas;

vulnerabilidades o amenazas no tratadas adecuadamente en la valwacidn prwis de los riesgos; I . resultados de las mediciones de eficacia; accbnes de seguimiento resultantes de revisiones anteriores por la direccibn; cualquier cambio que p u d a afectar el SGSI; y recomendaciones para mejoras.

$ fi

& 6
Y

g>
,h

$m~uitados de la revisi& sklonada con: a)

por la direccidn deben incluir cualquier decisidn y accidn

la mejora de la e r ~ a c i a SGSI; del

la actualiracion de la evaluacin de riesgos y del plan de tratamiento de riesgos.

c)

La modificacibn de los procedimientos y controles que afectan la seguridad de la informacin, segQn sea necesario, para responder a wentos internos o externos que pueden tener impacto en el SGSI, incluidos cambios a:

1) 2)
3)
1

l s requisitos del negocio, o

los requisitos de seguridad, los procesos del negocio que afectan los requisitos del negocio existentes,
los requisitos reglamentarios o legales,

4) 5)
6)

las obligaciones contractuales, y

los niveles de riesgo y o niveles de aceptacidn de riesgos. l

l s recursos necesarios. o
= ,

la mejora a la manera en que se mlde la eficacla de los controles.

MEJORA DEL SGSl

C' 1

MEJORA CONTINUA
nizacin debe mejorar continuamente la eficacia del SGSl mediante el uso de la poltica ridad de la informacibn, l s objetiwos de seguridad de la informacin, los resultados de o rla, el andlisis de l s wentos a los que se les ha hecho seguimiento, las acciones o vas y preventivas y la revisidn por !a direccin.

13

SCMCA COLONlBiANA
ACCCCY CORRECTWA

NTC-ISOIIEC 27001
,#.

L. organizacin debe emprender acciones para eliminar

a

la causa de no conformidades Liadas con los requisitos del SGSI. con el fin de prevenir que ocurran nuevamente. El @miento documentado para la accin correctiva debe definir requisitos para:

identificar las no conformidades;

determinar las causas de las rm conformidades;
evaluar la necesidad de acciones que a w e n que las m confamidades rm , vuelven a mrrir;

darmmar e i
~ b ~

~ la acci6n COrrecWa mcewrle; ~ r . d e

4rwmwd 4.3.3); y r C

-.

w l # u @ r b - w * ~ ~ ~ ~ b n a - - . e t@mm&w b accin preventiva m ;

1

4 3:., 4 7

~~trsr~resu~~~ada\tomade(&se*-~~~3.31,y

.&m&& ;* ' < * . .

-4

La oignizacidn debeidentificar los cambios en los riesgos e identificar los requisitos en

cuanto acciones preventivas, concentrando la atencin en los riesgos que han cambiado significativamente. prioridad de las acciones preventivas se debe determinar con base en los resuitados de la haclbn de los rlesgos.

b Las acciones para prevenir m confaimldades con frecuencia son mas rentabies que la accldn correctlva.

ANEXO A
(Mwrnativo)

08JEtWOS DE CONTROL Y CONTROLES 1mmDWCK)N

S de apoyo a

los comoles especiflcadw wi d kml A.5 a A.15.

a b h A . l . ~ d i l e m t m i y ~

direccin debe aprgbar un documentla de psllctca de seguridad de. la kaopmactbn y lo

Lapdfacade~detalrdamacldn~

-slgn#icaplvos, sigue siendo adecuada, sufic

claro, u comprom(ca , i -

una

seguridaddela infamacin.

Se asben defwr c b m m a w ta&s

bs

15

TCNICA COLOMBIANA

NTC-ISOIIEC 27001

Tabla A.1. (Cmnuae-n)

A8 SEGURIDAD DE LOS RECURSOS HMANOS A8.1.2 Seieccion ., . . , Control

Se deben realizar revidones para la verincacin de antecedentes de los candidatos a ser empleadas, coniraristas o usuarios de terceras partes, de acuwdo con los regiamemoc, la etka y las leyes pertinentes, y deben cer proporcionales a los requisitos del negoclo. la ciasitcacita de la infmdbn a la cual se va a tener acceso y los riesgos percibklos

3.8.1.3

T&nnlnos

condiciones Control

. , ?

.:i ,
4 ,

Como parte de su obligacibn contractual,

los empleados, contratistas y usuarlos de terceras partes deben estar de acuerdo y

flrmar los trminos y condiciones de su contrato laboral, el cual debe establecer sus respmsabllldades y las de la organizaclbn con relacidn a la seguridad de la Inforrnacirin.

AA2 k

% la vigencia

de la

iaboral

., ObJetlvo:asegurar que todos los empleados, contratistas y usuarlos de terceras partes &en conscientes de las amenazas y preocupaciunes respecto a la seguridad de la inkrrnaclbn, sus recponsabllldadesy sus deberes. y que esten equipados para apoyar

usuarios de terceras partes deben recibir fwmacbn adecuada en conclentlzact6n y

,; :

4.;

Ir...'

."-j , . -

-.

. t ' *

7.-

.p-w:

A>: . . -y

--.,a--

----.d -

.-

-'

ta

A TECNICA COLOMBIANA

NTC-ISOIIEC 27001

A.10 GESTldN DE COMUNICACIONES Y OPERACIONES A. 10.1.3 1 Diciribucibn de 1 Confrol

b s func1ones y Las areas de responsabYdad se deben dlctiibulr para reduclr las opmtunldades de rnodificacibn no autorlrada o w intencional, o el uso inadecuado de los activos de la organizacin. A.f0,1.4 SeparaciOn de las Control Instalaciones de desarrollo, ensayo y b s Instalaciones de desarmllo, ensayo y operaclbn. operacion deben estar separadas para reducir los 1. riesgos de acceso o cambios no autorizados en el sistema operativo. A.10.2 Geistian de la prestacin del sewico por ierceras parLes

-L~bj~bjetivo: irnplementar y mantener un grado adecuado e leseguridad de la Inforrnacl6n y de la prestacion d d l &vicio, de conformidad con los acuerdos de prestacrbn del servicio por terceras partes.

A 10.2.1 Prestaclbn del servicio +. .. 1

Conud

w y m i * d e I w servidos pa -S

se detsen garantizar que los conboles de seguridad, las definlclones del servklo y los niveles de prestacion del swvklo Incluldoc en el acuerdo, sean Irnplementados, mantenidos y operados por las terceras partes. C ~ O I
Los swvkios, reportes y reglcmis suministrados por tarceras partes se deben wntrolar y revisar con regularidad y las audkorias se deben llevar a calm a

Los cambios en la prestacldn de los servicios, incluyendo mantenimiento y rnejwa de las pdlticas existentes de q u r l d a d de la inforrnacion, en los procedlmlentos y los controles se deben gestionar tenimdo en cuenta la lmportancla de los sisternas y procesos del negmio Involucrados, as1 como la rewaluacldn de los riesgos.
1

-10.3 Planmwc& y aceptacm del sistema

1

Objetivo: minlmlzar el riesqo de fa' i s de los sistemas. A.10.3.1 Gestbn de la Control

1 1
r

capacidad.
+.'.

Se debe hacer seguimiento y adaptacidn dd wo de los recursos, asf como proyecciones de los
requisitos de la capacidad futura para asegurar el desempeAo requerido del sistema.
,

A.10 3.2 Aceptacbn del sistema. c a m i

. .

..
,

:1c

Se deben estabimer criterios de aceptacidn para sistemas de inbrmacin nuevo!%, actualizaciones y m a s v e r s i e s y llevar a cabo los ensayos adecuados dei sistema durante el desarrollo y antes de ia aceptacion.

.,
0

.
,

.., ,
-..
',:
'

>
8 .

'
- ,

.
,>

,? .,
A

.>,

S :.

e , ,

,.-.a~~,r,.-~,

. -. : .

a ?+ c .

--

*j

-* :

i '

NORMA TCNICA COLOMBlANA

Para redes compartidas, especialmente aquellas que se extienden m8s alla de las fronteras de la

?:

El acceso a los sistemas operatlvos se debe

. ' .

ones en los tiempos de

R2.3 integridad del mensaje.

l Control

Se deben Identlflcar los requisitos para asegurar la

autenticidad y pmteger la Integridad dei mensaje en las aplkaciwies, as1 como Idienancar e I m p l m t a r Iw m adecuados.

Vaiidacion de los datos Control de sallda. Se deben valldar los datos de ~ N d de una aplkacion a para asegurar que el pracesamiento de la Informacin almacmda es correcto y adecuado a las circunstancias
1,

b: proteger la
glos cripwrkos.

confktemialkiad, autenticidad o integridad de la inforrnacln, por

R3,I

Poirtlca sobra e uso c Conwol i k cmrotes crlgtogr8ficos. . ,.._ Se debe desarrollar e lmplementar una polftlca S O W ~

l. .

-Gestian de llaves, 12.3.2

1
.

el uso de controles criptogr&flcos para la proteccl&n

de la lnformacian.
Control

. 14

debe lmplementar un stcterna de gestin de llaves para apoyar el uso de las tcnicas crlptcqrficas pr parte de la orc)antzacidn. Segrsidsd do 10sarchivos del sistemi , ,., . ..v -. ,. ., ,..,
....
-.

1 Se

._,; .

garantizar la sequridad de tos archivos d l sistema. e C m d del software Control , .F. - . . , operativo. ,.. . = ..: Se deben imptmentar procedlmtentos para controlar la instalacldn de sodtware en sistemas 1 o9eratlvoc. I Proteccin de los datos control - - -. . de prueba d d sistema. Los dams de prueba deben seiecclonarse culdadosarnente, asl como prot-se y controlarse .. r A. . Control de acceso al Contrd cdigo Fuente de los . ' . ' , +. ,, ! ', . .< ,-: ., Se debe restrlnglr el accesa al cddlgo fuente de los programas

1 programas.
l1 -are e
Control

I 1

d m loa

de desarrollo y
y de la InformaciOn dei sistema de

Miw:

mantener la segwldad kaciones.

comol de carnblos.

Se deben controlar la impkrnentaclbn de cambios utilizanda procedlmtentoc fwmales de cwmol de

apiicaclones despus de
sistema operativo.

--

v.-

,.

Cuando se cambian los cist~naasoperattvos, las apilcaclms aRicas para el negacio se deben revlcsr y someier a prueba para asegurar qqu no hay ""-"-"'-' Impacto adverso en las operdones nl en la sewidad de la organizaciCm.

DESARROLLO Y MANTENlMlETO DE SISTEMAS MIIYFOWIIIACIO 5 3 ( Restrkclones en los 1 Control 1

carnblos a los paquetes de suftware. Se debe desalentar b reallzacldn de -lones a los paquetes de software, fknitarlas a los cambios necesarios, y todos 105 C B ~ M O S se ckk?n canrolar -mente. Fuga de Informacin Control ,

Se deben evitar las oportunkiack para que se proair- fuqa de Irirormaciki. . t U . 5 Desarrollo de software C m 0 4
,-,..t
I>*

-,..

contratado ex ternamente

I
1

$eim reducir Iw riesgos rewltai es de la exploiacin de las vuinerabilidades tcnicas publtcadas.

12,6.1(Contrd
de

c m

Se debe

kifrxmaclon opwaina coke las

nilnerabilkiades mnlcas de los slstemas de lnlamacedn gue estan en uso, evaluar la exposlcln de la qafilzaddn a d c h s vulnerabilidades y m a r las amimes apropiadas para iratar los riwgw

13 G S EDE LOS IWC#)ENTESW LA SEGWIIDAD DE LA WFORMACaM 13.1 ~ ~ l o s ~ y l a s d a # l k l s d e s d @ b ~ a d d u b i n f ~ i a n

m

acegurar que los eventos ! las ckbilldades de la segwldad de la Infwrnaclbn asa lados con los sistemas Mwmacin se m u n l c a n de f l a tal que permitentomar las acclones ccmxtlvas apc mnamente. m ccfmoi .+ " . , .A*. . .
a,

wentos de seguridad de
la inlomiaddn

Los eveiaos c -&id k de la i&madbn se debwi infonnar a mvs de los canales de gestin a m a d o s tan prwito como sea -Me.

Reporte sobre debildadec de

-F"Yad .

las Coarol la Se debe exlgir a taios !os empleados. ctmtraHstas y I lusuarios de m a s partes de los sistemas y servidos de iraomiacibn que observen y reporten todas las debM&&s observadas o sospechadas en los CIstemas o s?wkKis.
i

i a s i r i . J w w m b ~ d a l a i ~ i o r r

Wvo: asegurar que se aplica un enfoque cmlstente y eficaz para la gestlbn de Iw incidentesde seguridad de

Se deben establecer las respwisaMlldadeC y los procedsmisntos de gestin para aseguar una
Pespuecia dplda, dicaz y wdenada a los Incidentes

deldad de ia Inwmaclon. Aprendizaje debido a 1 5 0 Imldentes de segwidad de la IriTorrnaclbn Deben existir mecanismos que pemdtan cuankar y mwiltmear mos los t)pos, voiornenes y costos de los ~ d e s e g u l d a d d e l a ~ .

Tabla Al. (Cmnmclbn)

L13.2.3 R w + q l ~widencia ( Control .-,

Cuando una accln e seguimiento contra una persona u wganlzacin desp&s de un lncldente de seguridad de la lnbrmackla Implica acciones legales (cMles o penales), la evidmcla se debe recolectar, retener y presentar para cumplk con las regias para la wldewia estabiddas en la JurisdlcclOn

L14 GESll6N DE LA CONTIMUDAD DEL WEGOCiO L1$1 AW-CI la-k ,r k

#@va

tiectos

ewitrarrectar las interrupclones en las octivkiades del negmlo y proteger suk procesos crticos contra los fallas knpwtantes en los sistemas de inlormaclbn o coma desastres, y asegurar su recuperaclcin

- -

la

del nsgocb

h.li.1.1 lincluslbn de la seguridad 1 Como! , , 1 de la inlorrnactm- en el . - , proceso de gestm de la Se debe desarrollar y r a nun proceso de continuidad del iiegocio gestldn para la continuidad del n e g m en t d a la organlzacibn e! cual trate b s requisitos de segurldad de la irmmaclbn necesarios para la cominuldad del ) rw&o de la oi?qanizaclbn. 1 u I 4.14.1.2 1 continuidad del negocb 1 Cwwol y waluacldn de riesgos

ocasroMr Intenupciones en ios procesos del negocio junto con la probabilidad y el impacto de dichas interrupclones, ast como sus consecuencias para la -dad de b infamacin.

Desatrdio e lrnplementacidn de planes de m l n u i d a d que incluyen la seguridad de la infomiacl~

Control

Se deben Uesarrollar e lmptementar planes para mantener o v a r las operaciones y asegumr la

UiyionlbiHdad de la infamiacin en el grado y la escala de tiempo requeridos, despu& de la h-itemipdn o la falla de los procesos altrcos para el
,

plardflcaciCa

para la de b Se debe mantener una cola esbuctura de los planes conUnuldad del negocro de cor~irwideid negodo, para asegurar que iodos del los planes son condstemes, y mslderar los requlcltns de la segurkiad de la irif0m7aclbn cte fwma mlstente, as1 mtdensificar las prior&&s para pruebas y rnantenimlento Controt y reevaluactbn de los planes de continuidad del Los planes de continuidad del rmgoclo se deben somaer a pniebas y misiones perldkas para aa -r su ackmlzaelbny su eftcPida. - ,
Estructura

ANEXO B
( nformativo) 1

I
fr
-

PRlNCIPIOS DE LA OCDE Y DE ESTA NORMA

principios presentados en la Directrices de la OCDE para la Seguridad de Sistemas y de lnformacibn se apllcan a todos los niveles de polftica y operaciwiales que controlan ad de l s sistemas y redes de informacin. Esta norma imernacionai brinda una o del sistema de gestin de la seguridad de la informacin para implementar algunos ipios de la OCDE usando el modelo PHVA y los procesos descritos en los numerales 4, 5, , como se indica en la Tabla 6.1.

Tabla B.1. Pmipbs d i la OCOE y e modelo PHVA l

P r de SGSl eorrsspondbm y faw a PHVA Esta actividad es parte de la fa* Hacer ( v e m e los numerales 4.2.2 y 5.2.2)
ipantes deben estar conscientes de la de segurldad de los slstemas y redes de la n y de lo que pueden hacer para mejorar la

RespaniMIWad
Todw los prtktpantes son responsables p la -dad de los slctemas y redes de Infamacin.

Esta actividad e5 parte de la fase Hacer (vanse los nwnwates 4.2.2 y 5.1)

Esta es en parte una actividad de seguimiento de la fase V ~ B (veanse los numerales 4.2.3 y 6 a 7.3 y una T clpeims deberlan actuar de una manera amldad de respuesta de la fase bar ( ~ a n s e los numerales 4.2.4 y 8.1 s 8.3). Esto tarnblm se puede cuklr por aQunos aspectos de las fases m n i f i w y Verlkar. Esta actividad es parte de la fase flanifmr (vease el numeral 4.2.1) y la rewaluaclbn del rlesgo es parte de la llos participantes deberlan realizar valoraciones de fase Verificar (&ame los nurneales 4.2.3 y 6 a 7.3).

seleccionan conwoles para el tratamiento de los riesgos deberan incwporar la seguridad como pane cie la fase RaniWar (vgace el numeral 4.2.1). La un alemento esenctal de los slsternas y redes fase Hacer (veanse los numerales 4.2.2 y 5.2) cubre la Implementaclon y el usa operachal de estos m o l e s . abndoI8La gestibn de riesgos es un proceso que incluye la p;evencion, deteccidn y respuesta a incidenies, rtlclpantes deberran adoptar un enfoque ampllo mantenimiento, auditorlas y reviskki continuos. Todos estor a gestlbn de la seguridad. aspectos estan cobijados en las fases de Phnlficar, Hacer, VwiRar y Actuar. La reevaluacldn de la seguridad de la InfwmaclOn es una pnede la fase V&kx(v~ancelos numerales 4.2.3 y 6 a 7.3), partklpantes deberlan rwlsar y reevaluar la en donde se deberlan realirar revtdmm regulares pan Mad de los sistemas y redes de InFmnacif?,y vwMcar la dicada del sktema de gestin de la seguridad de k er las mdificaclones apropiadas a las polltlcas, inomiackin; y la mejora d la seguridad es parte de fa facf e Ac~iar (v&mse !osw a i e s 4.2.4 y 8.1 a 8.3). Wcticas, medidas y procedimientos de seguridad.
S

FT'
f-

eImplen#ntleldn de I regurid.d r

Una vez que se ha reallzodo la evaluacin de los riesgos, se

MoRmA TCMA

COL-ANA
. .- . . .

NTC-ISOnEC 27001
ANEXO C (Informativo)

. .,

. ..

..

. -

--

..

CORRESPONDENCfA EMTRE LA m - [ S O 9001:2800, Y LA PRESEMTE NORMA

l NTC-ISO 14001:2W4, A

presente mxma intsmacional.

0.1 Generalidades

0.2 Enfaque basado en p e s o s

0.2 Enfoque basado en procesos

0.3 Relacibn c m la norma Im 9004

1.1 Generalidades

1.1 Generaldades

,.

4.1 Requisitos genwaks

4.1 Requlsltos generales

.
.
+ j

-y

-.+;

...

.-

:.

, .:

..

.
,
.

,,

. , - . . ~ ' - x w ~ - % ~ . ~ . . . . . -

.-

.-*

- -

,.

- <.

+ 1 . .. -.-..

.. __ .. . .<
. .

.
.<

* .F-

. .--

34

N l G S U E C 2 ~

.2.1 Gemralkhks

4.3.2

Conaddedoewfientos

4.2.3 Cwitroi

ios dowmmms

Iso de la dlreccbn

5.1 h p m m b de b dlreccln 5.2 Eritoque a clieme i

5.3 PdWce de la calWd
4.2 P o l W a nl r-

4.3 b n i k a c l a n
Wlbdad, autoridad

5.2.1 Prwisbn de rensos

6.1 Provlsh de recursos

6.2 Recusas hwnami~

6.3 Infraeskructwa

7.1 GmmMades

5.6.1 hmakiades 5.6.2 I n f o m i d pera le r d c i b n

35

-A

T~CMGAC O L ~ M A N A
,',,VI&

NTC-tw~c 27001
BIBLIOGRAF~A
*

:. ,
'

, ,

:1
I

11 1
[21
[3]

NTC-tSO 9001:2000, Sistemas de gestin de la calidad. Requisitos. NTC-ISO 14001:M04. Sistemas de gestidn ambiental. Requisitos morientacidn para su usa, NTC-ISO 19011:2002, Directrices para la auditwia de los sistemas de gestin de la calidad

36 Requlsrtos generales para organismos que realizan evaluacidn y caciddregistro de sistemas de calidad. (ISOIIEC Guide 62)
NTC 5411-1Tecmiogra de la informacibn. T-nicos de seguridad, Gestion de la segffidad de la tecndogla de la informaciony las comunicaciones, Parte 1: Conceptos y rmdelos para la gesn de la tecmiogra de la informackny las comunicaciones ( ISOllEC 13335-1:2004).
[6] ISOIIEC TR 13335-3:1998, lnformation Technology, Guidelines for the Management of IT Security. Part 3: Technlques fw the Management of IT Security. ISOIIEC TR 13335-4:2000, lnformation Technology. Guidellnes for the Management of IT Security. Part 4: Seiection o Safeguards. f ISOllEC TR 18044:2004, lnforrnation Technology. Security Techniques. lnformation Security lncident Management. ISOAEC Guide 73:2002, Risk Management. Vocabulary. Guidelines for use in Standards.

171
[8] 11 9

Otras publicac~ones
-

OECD. Guidelines for the Security of lnforrnation Systems and Networks. Twards a Cukure of Security, Paris: OECD, July 2002. www.oecd.org.
NlST SP 800-30, Risk Management Guide for lnformation Technology Systems.

[2]

., Out of the Crisis, Cambridge, Mass: MIT, Center for Advanced Engineerig

* <

36

- ij-* t

'5

NORMA TeCNlCA COLOMBIANA

DOCUMENTO DE REFERENCIA
INTERNATIONAL ORGANIZAT1ON FOR STANDARDIZATION. Inforrnation Technolqy. Security Techniques. lnfwmatbn Security Management Systems. Requirements. Geneva, !SO. 34 pp (ISOIIEC 27001 : 2005)