February 24, 2023 | Author: Anonymous | Category: N/A
Download c073906 ISO IEC 27000 2018.en - Es...
INTERNACIONAL ESTÁNDAR
ISO/CEI 27000 Quinta edición
2018-02
Tecnología de la información — Técnicas de seguridad — Sistemas de gestión de la seguridad de la información — Visión general y vocabulario Technologies de l'information — Techniques de sécurité — Systèmes de management de la sécurité de l'information — Vue d'ensemble et vocabulaire
Número de referencia
ISO/IEC 27000:2018(E) ©ISO/CEI 2018
ISO/IEC 27000:2018(E)
DOCUMENTO PROTEGIDO POR DERECHOS DE AUTOR
© ISO/CEI 2018 Reservados todos los derechos. A menos que se especifique lo contrario, o se requiera en el contexto de su implementación, ninguna parte de esta publicación puede ser reproducida o utilizada de ninguna forma o por ningún medio, electrónico o mecánico, incluidas las fotocopias, fot ocopias, o la publicación en Internet o en una intranet, sin previo aviso. permiso escrito. El permiso se puede solicitar a ISO en la dirección que se indica a continuación o al organismo miembro de ISO en el país del solicitante. oficina de derechos de autor ISO
CP 401 • Cap. de Blandonnet 8 CH-1214 Vernier, Ginebra, Suiza Tel. +41 22 749 01 11 Fax +41 22 749 09 47
[email protected] www.iso.org
Publicado en Suiza
yo
© ISO/IEC 2018 – Todos los derechos reservados
ISO/IEC 27000:2018(E)
Contenido
Página
Prefacio.................................................... .................................................... .................................................... .................................................... ................................ IV Introducción.................................................... .................................................... .................................................... .................................................... ..........................v
1 2 3 4
Alcance.................................................... .................................................... .................................................... .................................................... .........................1
Referencias normativas.................................................... .................................................... .................................................... ................................1 Términos y definiciones.................................................... .................................................... .................................................... ...............................1 Sistemas de gestión de la seguridad de la información.................................................... .................................................... .....................11 4.1 Generalidades.................................................... .................................................... .................................................... ....................................................11
4.2 ¿Qué es un SGSI? .................................................... .................................................... .................................................... ..........................11
4.2.1 Resumen y principios.................................................... .................................................... .....................................11 4.2.2 Información.................................................... .................................................... .................................................... ..................12 4.2.3 Seguridad de la información....................................................
.................................................... .............................................................12
4.2.4 Gestión.................................................... .................................................... .................................................... ...............12 4.2.5 Sistema de gestión.................................................... .................................................... .............................................................13 4.3 Enfoque basado en procesos....................................................
.................................................... .................................................... ......................... 13
4.4 Por qué es importante un SGSI .................................................... .................................................... .................................................... ....13
4.5 Establecimiento, seguimiento, mantenimiento y mejora de un SGSI.................................................... ..............14 4.5.1 Resumen.................................................... .................................................... .................................................... ........................14 4.5.2 Identificación de los requisitos de seguridad de la información.................................................... ...............................14 4.5.3 Evaluación de los riesgos de seguridad de la información....................................................
.................................................... ......15
4.5.4 Tratamiento de los riesgos de seguridad de la información.................................................... .................................................... ..........15 4.5.5 Selección e implementación de controles.................................................... .................................................... .....15
4.5.6 Supervisar, mantener y mejorar la eficacia del SGSI............................................................. dieciséis 4.5.7 Mejora continua.................................................... .................................................... ......................................dieciséis 4.6 Factores críticos de éxito del SGSI .................................................... .................................................... ..........................................................17
4.7 Beneficios de la familia de estándares ISMS .................................................... .................................................... ...................17
5
Familia de normas SGSI.................................................... .................................................... .................................................... .....................18
5.1 Información general.................................................... .................................................... .................................................... ..................18
5.2 Norma que describe una descripción general y terminología: ISO/IEC 27000 (este documento).........19 5.3 Normas que especifican requisitos.................................................... .................................................... ...............................19 5.3.1 ISO/CEI 27001.................................................... .................................................... .................................................... ..........19 5.3.2 ISO/CEI 27006.................................................... .................................................... .................................................... ..........20 5.3.3 ISO/CEI 27009.................................................... .................................................... .................................................... ..........20 5.4 Normas que describen las directrices generales .................................................... .................................................... ..................20
5.4.1 ISO/CEI 27002.................................................... .................................................... .................................................... ..........20 5.4.2 ISO/CEI 27003.................................................... .................................................... .................................................... ..........20 5.4.3 ISO/CEI 27004.................................................... .................................................... .................................................... ..........21 5.4.4 ISO/CEI 27005.................................................... .................................................... .................................................... ..........21 5.4.5 ISO/CEI 27007.................................................... .................................................... .................................................... ..........21 5.4.6 ISO/IEC TR 27008.................................................... .................................................... .................................................... .21 5.4.7 ISO/CEI 27013.................................................... .................................................... .................................................... ..........22 5.4.8 ISO/CEI 27014.................................................... .................................................... .................................................... ..........22 5.4.9 ISO/IEC TR 27016.................................................... .................................................... .................................................... .22 5.4.10 ISO/CEI 27021.................................................... .................................................... .................................................... ..........22 5.5 Normas que describen las directrices específicas del sector .................................................... ....................................................23
5.5.1 ISO/CEI 27010.................................................... .................................................... .................................................... ..........23 5.5.2 ISO/CEI 27011.................................................... .................................................... .................................................... ..........23 5.5.3 ISO/CEI 27017.................................................... .................................................... .................................................... ..........23 5.5.4 ISO/CEI 27018.................................................... .................................................... .................................................... ..........24 5.5.5 ISO/CEI 27019.................................................... .................................................... .................................................... ..........24 5.5.6 ISO 27799.................................................... .................................................... .................................................... ......................25 Bibliografía.................................................... .................................................... .................................................... .................................................... .....................26
© ISO/IEC 2018 – Todos los derechos reservados
iii
ISO/IEC 27000:2018(E)
Prefacio ISO (Organización Internacional de Normalización) es una federación mundial de organismos nacionales de normalización (organismos miembros de ISO). El trabajo de preparación de Normas Internacionales normalmente se lleva a cabo a través de los comités técnicos de ISO. Cada organismo miembro interesado en un tema para el cual se ha establecido un comité técnico tiene derecho a estar representado en ese comité. Las organizaciones internacionales, gubernamentales y no gubernamentales, en coordinación con ISO, también participan en el trabajo. ISO colabora estrechamente con la Comisión Electrotécnica Internacional (IEC) en todos los asuntos de normalización electrotécnica. Los procedimientos utilizados para desarrollar este documento y los destinados a su posterior mantenimiento se describen en las Directivas ISO/IEC, Parte 1. En particular, se deben tener en cuenta los diferentes criterios de aprobación necesarios para los diferentes tipos de documentos ISO. Este documento fue redactado de acuerdo con las reglas editoriales de las Directivas ISO/IEC, Parte 2 (verwww.iso.org/directivas (verwww.iso.org/directivas ). ). Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento puedan ser objeto de derechos de patente. ISO no será responsable de identificar cualquiera o todos los derechos de patente. Los detalles de cualquier derecho de patente identificado durante el desarrollo del documento estarán en la Introducción y/o en la lista ISO de declaraciones de patentes recibidas (verwww.iso.org (ver www.iso.org/patents /patents ). ). Cualquier nombre comercial utilizado en este documento es información proporcionada para la comodidad de los usuarios y no constituye un respaldo.
Para obtener sobre de las normas, el significado desobre los términos y expresiones específicos deuna ISOexplicación relacionados con la la naturaleza evaluación voluntaria de la conformidad, así como información la adhesión de ISO a los principios de la Organización Mundial del Comercio (OMC) en las Obstáculos técnicos al comercio (TBT), consulte el siguiente siguie nte URL:www.iso.org/iso/prefacio.html URL:www.iso.org/iso/prefacio.html . Este documento fue preparado por el Comité Técnico ISO/IEC JTC 1,Tecnologías de la información , SC 27,Técnicas de seguridad informática .
Esta quinta edición anula y reemplaza la cuarta edición (ISO/IEC 27000:2016), que ha sido revisada técnicamente. Los principales cambios con respecto a la edición anterior son los siguientes:
— se ha reformulado la Introducción; — se han eliminado algunos términos y definiciones;
— Cláusula 3 se ha alineado con la estructura de alto nivel para MSS; — Cláusula 5 se ha actualizado para reflejar los cambios en las normas en cuestión; — Se han suprimido los anexos A y B.
IV
© ISO/IEC 2018 – Todos los derechos reservados
ISO/IEC 27000:2018(E)
Introducción 0.1 Resumen Las Normas Internacionales para sistemas de gestión proporcionan un modelo a seguir para establecer y operar un sistema de gestión. Este modelo incorpora las características sobre las que los expertos en la materia han llegado a un consenso como estado del arte internacional. ISO/IEC JTC 1/SC 27 mantiene un comité de expertos dedicado al desarrollo de estándares de estándares sistemas dedel gestión internacionales la seguridad de la información, info rmación, conocida como la familia de sistema de gestión depara seguridad de la información (ISMS).también Mediante el uso de la familia de estándares ISMS, las organizaciones pueden desarrollar e implementar un marco para administrar la seguridad de sus activos de información, incluida la información financiera, la propiedad intelectual y los detalles de los empleados, o la información que les confían conf ían los clientes o terceros. Estos estándares también se pueden utilizar para prepararse para una evaluación independiente de su SGSI aplicado a la protección de la información. 0.2 Propósito de este documento
La familia de estándares ISMS incluye estándares que: a) definir los requisitos para un SGSI y para quienes certifiquen tales sistemas; b) proporcionar apoyo directo, orientación detallada y/o interpretación para el proceso general para establecer, implementar, mantener y mejorar un SGSI; c) abordar las directrices específicas del sector para SGSI; y d) abordar la evaluación de la conformidad para SGSI.
0.3 Contenido de este documento
En este documento, se utilizan las siguientes formas verbales:
— “deberá” indica un requisito; — “debería” indica una recomendación;
— “puede” indica un permiso; — “can” indica una posibilidad o una capacidad. La información marcada como "NOTA" es una guía para comprender o aclarar el requisito asociado. Las “Notas a la entrada” utilizadas en la Cláusula 3 brindan información adicional que complementa los datos terminológicos y pueden contener disposiciones relacionadas con el uso de un término.
© ISO/IEC 2018 – Todos los derechos reservados
v
ESTÁNDAR INTERNACIONAL
ISO/IEC 27000:2018(E)
Tecnología de la información — Técnicas de seguridad — Sistemas de gestión de la seguridad de la información — Visión general y vocabulario 1 Alcance Este documento proporciona una descripción general de los sistemas de gestión de seguridad de la información (SGSI). También proporciona términos y definiciones comúnmente utilizados en la familia de estándares ISMS. Este documento se aplica a todos los tipos y tamaños de organizaciones (por ejemplo, empresas comerciales, agencias gubernamentales, organizaciones sin fines de lucro). Los términos y definiciones proporcionados en este e ste documento
— cubrir términos y definiciones de uso común en la familia de estándares ISMS; — no cubren todos los términos y definiciones aplicados dentro de la familia de estándares SGSI; y — no limitar la familia de estándares SGSI en la definición de nuevos términos de uso.
2 Referencias normativas No hay referencias normativas en este documento.
3 Términos y definiciones ISO e IEC mantienen bases de datos terminológicas para su uso en la normalización en las siguientes direcciones:
— Plataforma de navegación ISO Online: disponible en enhttps://www.iso.org/obp https://www.iso.org/obp
— Electropedia IEC: disponible enh enhttps://www.electropedia.org/
3.1 control de acceso
medios para garantiz garantizar ar que el acceso a los activos esté autorizado y restringido en función del negocio y la sitos (3.56 seguridad requi sitos 3.56 ) )
3.2 ataque
intentar destruir, exponer, alterar, deshabilitar, robar u obtener acceso no autorizado o hacer un uso no autorizado de un activo
3.3 auditoría
sistemático, independiente y documentadoproceso (3.54 3.54 ) ) para para obtener obtener evidencia de auditoría y evaluarla objetivamente para determinar en qué medida se cumplen los criterios de auditoría Nota 1 a la entrada: Una auditoría puede ser una auditoría interna (primera parte) o una auditoría externa (segunda parte o tercera parte), y puede ser una auditoría combinada (que combina dos o más disciplinas).
Nota 2 a la entrada: La auditoría interna la realiza la propia organización o un tercero en su nombre. Nota 3 a la entrada: "Evidencia de auditoría" y "criterios de auditoría" se definen en la Norma ISO 19011.
© ISO/IEC 2018 – Todos los derechos reservados
1
ISO/IEC 27000:2018(E)
3.4 alcance de auditoría
extensión y límites de unauditoría (3. 3.33 ) [ORIGEN: ISO 19011:2011, 3.14, modificada — Se eliminó la nota 1 a la entrada.]
3.5 autenticación provisión de seguridad de que una característica declarada de una entidad es correcta
3.6 autenticidad propiedad de que una entidad es lo que dice ser
3.7 disponibilidad
propiedad de ser accesible y utilizable bajo demanda por una entidad autorizada
3.8 medida base medida (3. 3.42 42 ) ) definido definido en términos de un atributo y el método para cuantificarlo Nota 1 a la entrada: Una medida base es funcionalmente independiente de otrasmedidas .
[ORIGEN: ISO/IEC/IEEE 15939:2017, 3.3, modificado — Se eliminó la Nota 2 a la entrada.]
3.9 competencia capacidad de aplicar conocimientos y habilidades para lograr los resultados previstos
3.10 confidencialidad
propiedad de que la informació información n no se pone a disposición ni se revela a personas, entidades o procesos (3.54 3.54 )
3.11 conformidad
cumplimiento de unrequisito (3. 3.56 56 ) )
3.12 consecuencia
resultado de unevento (3.21 3.21 ) ) afectandoobjetivos (3.49 .49 ) ) Nota 1 a la entrada: Un evento puede llevar a una variedad de consecuencias.
Nota 2 a la entrada: Una consecuencia puede ser cierta o incierta y, en el contexto de la seguridad de la información, suele ser negativa. Nota 3 a la entrada: Las consecuencias pueden expresarse cualitativa o cuantitativamente. Nota 4 a la entrada: Las consecuencias iniciales pueden escalar a través de efectos en cadena.
[ORIGEN: Guía ISO 73:2009, 3.6.1.3, modificado — La Nota 2 a la entrada se ha cambiado después de “y”.]
3.13 mejora continua actividad recurrente para mejoraractuación (3. 3.52 52 ) )
2
© ISO/IEC 2018 – Todos los derechos reservados
ISO/IEC 27000:2018(E)
3.14 control
medida que modificariesgo (3.6 3.611 ) Nota 1 a la entrada: Los controles incluyen cualquierproc eso eso (3.54 .54 ), ),polític a a (3.53 3.53 ), ), dispositivo, práctica u otras acciones que modifican riesgo (3.61 3.61 ).
Nota 2 a la entrada: Es posible que los controles no siempre ejerzan el efecto modificador pretendido o asumido.
[FUENTE: ISO Guide 73:2009, 3.8.1.1 — Se ha cambiado la nota 2 a la entrada.]
3.15 objetivo de control declaración que describe lo que se logrará como resultado de la implementacióncontrol S (3.14 3.14 ) )
3.16 corrección acción para eliminar un detectadodisconformidad (3.47 .47 ) )
3.17 acción correctiva acción para eliminar la causa de un disconformidad (3.4 3.477 ) y para prevenir la recurrencia
3.18 medida deriv derivada ada medida (3. 3.42 42 ) ) que que se define como una función de dos o más valores de medidas base (3.8 3.8 ) [ORIGEN: ISO/IEC/IEEE 15939:2017, 3.8, modificado — Se eliminó la Nota 1 a la entrada.]
3.19 información documentad documentada a
información requerida para ser controlada y mantenida por un organización (3.50 .50 ) ) y y el medio en el que está contenido Nota 1 a la entrada: La información documentada documentada puede estar en cualquier formato y medio y de cualquier fuente. Nota 2 a la entrada: La información documentada puede referirse a
- lasistema de gestión (3.41 3.41 ), ), inclui incluidos dos los relacionadosprocesos (3.54 .54 ); );
— información creada para que laorganización (3.50 3.50 ) ) ope operar rar (documentació (documentación); n); — pruebas de los resultados obtenidos (registros).
3.20 eficacia medida en que se realizan las actividades planificadas y se logran los resultados planificados
3.21 evento
ocurrencia o cambio de un conjunto particular de circunstancias Nota 1 a la entrada: Un evento puede ser una o más ocurrencias y puede tener varias causas. Nota 2 a la entrada: Un evento puede consistir en algo que no sucede. Nota 3 a la entrada: A veces se puede hacer h acer referencia a un evento como un "incidente" o "accidente".
[ORIGEN: Guía ISO 73:2009, 3.5.1.3, modificada — Se eliminó la nota 4 a la entrada.]
© ISO/IEC 2018 – Todos los derechos reservados
3
ISO/IEC 27000:2018(E)
3.22 contexto externo
entorno externo en el que la organizació organización n busca lograr susobjetivos (3.49 3.49 ) ) Nota 1 a la entrada: El contexto externo puede incluir lo siguiente:
— el entorno cultural, social, político, legal, regulatorio, financiero, tecnológico, económico, natural y competitivo, ya sea internacional, nacional, regional o local; — impulsores y tendencias clave que tienen un impacto en laobjetivos del delorganización (3.50 3.50 );
— relaciones con, y percepciones y valores de, externopartes interesadas (3.37 3.37 ) )..
[FUENTE: Guía ISO 73:2009, 3.3.1.1]
3.23 gobernanza de la seguridad de la información guridad de información (3.2 sistema por el cual unde la organización (3.5 3.500 )se guridad 3.288 ) las actividades las actividades son dirigidas y
controladas
3.24 Órgano rector persona o grupo grupo de de personas que son responsables de laactuación (3.52 3.52 ) ) y la conformidad conformidad de los 3.50 ) organización (3.50 Nota 1 a la entrada: El órgano de gobierno puede, en algunas jurisdicciones, ser una junta directiva.
3.25 indicador medida (3.4 3.422 ) que que proporciona una estimación o evaluación
3.26 necesidad de información
conocimientos necesarios para gestionarobjetivos (3.49 3.49 ) ),, metas, riesgos y problemas
[FUENTE: ISO/IEC/IEEE 15939:2017, 3.12]
3.27 instalaciones de procesamiento de información
cualquier sistema, servicio o infraestructura de procesamiento de información, o la ubicación física que lo alberga
3.28 seguridad de información preservación deconfidencialidad (3.10 3.10 ),integridad (3.36 3.36 ) ydisponibilidad (3. 3.77 ) de información ad ( Nota 1 a la entrada: Además, otras propiedades, comoautenticidad (3.6 3.6 ), ), respo responsabilidad, nsabilidad,no repudio (3.48 3.48 ), ), yfiabilid ad 3.55 ) ) también puede 3.55 pueden n estar involucrados.
3.29 continuidad de la seguridad seguridad de la información
procesos (3.5 3.544 ) y procedimientos para garantizar la continuidadseguridad de información (3.28 .28 ) ) operaciones operaciones
3.30 evento de seguridad de la información
ocurrencia identificada de un sistema, servicio o estado de la red que indica una posible violación deinformación seguridad (3.28 (3.28 ) )política (3. 3.53 53 ) ) o fallo decontrol S (3.14 3.14 ), ), o una una situación situación previamente desconocida que puede ser relevante para la seguridad
3.31 incidente de seguridad de la información ón (3.3 único o una serie de eventos no deseados o inesperadoseventos de seguridad de la informaci ón 3.300 ) que tienen tienen una una probabilidad significativa de comprometer las operaciones comerciales y amenazarseguridad de información (3.28 3.28 ) )
4
© ISO/IEC 2018 – Todos los derechos reservados
ISO/IEC 27000:2018(E)
3.32 gestión de incidentes de seguridad de la información
conjunto deproce sos 3.54 ) ) para detectar, informar, evaluar, responder, tratar y aprender deincidentes sos (3.54 3.31 ) ) de seguridad de la información (3.31
3.33 profesional del sistema de gestión de seguridad de la información (SGSI)
persona que establece, implementa, mantiene y mejora continuamente uno o más sistemas de gestión de seguridad de la informaciónprocesos (3.54 3.54 ) )
3.34 comunidad de intercambio de infor de información mación grupo deorganizaciones (3. 3.50 50 ) ) que aceptan compartir información
Nota 1 a la entrada: Una organización puede ser un individuo.
3.35 sistema de informacion conjunto de aplicaciones, servicios, activos de tecnología de la información u otros componentes de manejo de información
3.36 integridad
propiedad de exactitud y completitud
3.37 parte interesada(término interesada(término preferido) preferido) Interesado(término Interesado (término admitido)
persona oorganización (3. 3.50 50 ) ) que puede afectar, verse afectado o percibirse afectado por una decisión o actividad
3.38 contexto interno medio interno en el que se encuentra elorganizació n n( 3.5 3.500 ) busca lograr sus objetivos Nota 1 a la entrada: El contexto interno puede incluir:
— gobernanza, estructura organizativa, funciones y responsabilidades;
— políticas (3.53 3.53 ), ),objetivos (3.49 .49 ), y las estrategias que existen para lograrlos; — las capacidades, entendidas en términos de recursos y conocimientos (por ejemplo, capital, tiempo, personas, procesos (3.54 .54 ), ), sistemas y tecnologías);
—
sistemas de información (3.35 3.35 ), ), flujos de información y toma de decisionesprocesos (tanto (tanto formales como informales);
— relaciones con, y percepciones y valores de, internospartes interesadas (3.37 3.37 ); ); — la cultura de la organización;
— normas, directrices y modelos adoptados por la organización; — forma y alcance de las relaciones contractuales.
[FUENTE: Guía ISO 73:2009, 3.3.1.2]
3.39 nivel de riesgo
magnitud de de unriesgo (3.61 3.61 ) ) expresado expresado en términos de la combinación deconsecuencias (3.12 3.12 ) ) y ellos ellos probabilida d d( 3.4 3.400 ) [ORIGEN: Guía ISO 73:2009, 3.6.1.8, modificado — “o combinación de riesgos” ha sido eliminado en la definición.]
© ISO/IEC 2018 – Todos los derechos reservados
5
ISO/IEC 27000:2018(E)
3.40 probabilidad
posibilidad de que algo suceda [ORIGEN: Guía ISO 73:2009, 3.6.1.1, modificada — Se han eliminado las Notas 1 y 2 de la entrada.]
3.41 sistema de gestión organiz ació ació n n( 3.50 ticas (3.53 conjunto de(3elementos interrelacionados o que interactúan 3.50 ) ) para establecerpolí ticas 3.53 ) ) y objetivos .49 ) ) yprocesos .49 (3.54 3.54 ) ) para para lograr lograr esos objetivosde un
Nota 1 a la entrada: Un sistema de gestión puede abordar una sola disciplina o varias disciplinas. Nota 2 a la entrada: Los elementos del sistema incluyen la estructura, roles y responsabilidades, planificación y operación de la organización.
Nota 3 a la entrada: El alcance de un sistema de gestión puede incluir la totalidad de la organización, funciones específicas e identificadas de la organización, secciones específicas e identificadas de la organización, o una o más funciones en un grupo de organizaciones.
3.42 medida variable a la que se le asigna un valor como resultado de medición (3.43 3.43 ) ) [ORIGEN: ISO/IEC/IEEE 15939:2017, 3.15, modificado — Se eliminó la nota 2 a la entrada.]
3.43 medición medició n proceso (3.54 .54 ) ) para para determinar un valor
3.44 función de medición algoritmo o cálculo realizado para combinar dos o másmedidas base (3.8 3.8 ) [FUENTE: ISO/IEC/IEEE 15939:2017, 3.20]
3.45 método de medida secuencia lógica de operaciones, descritas genéricamente, genéricamente, utilizadas para cuantificar un atributo at ributo con respecto a una escala específica Nota 1 a la entrada: El tipo de método de medición depende de la naturaleza de las operaciones utilizadas para cuantificar un atributo (3.4 3.4 ). ). Se Se pueden distinguir dos tipos:
— subjetivo: cuantificación que involucra el juicio humano; y — objetivo: cuantificación basada en reglas numéricas.
[ORIGEN: ISO/IEC/IEEE 15939:2017, 3.21, modificado — Se eliminó la Nota 2 a la entrada.]
3.46 vigilancia determinar el estado de un sistema, un proceso (3.5 3.544 ) o una una actividad Nota 1 a la entrada: Para determinar el estado, puede ser necesario verificar, supervisar u observar críticamente.
3.47 disconformidad
incumplimiento de unrequisito (3.56 .56 ) )
3.48 no repudio capacidad de probar la ocurrencia de un reclamo evento (3.21 3.21 ) o acción y sus entidades originarias
6
© ISO/IEC 2018 – Todos los derechos reservados
ISO/IEC 27000:2018(E)
3.49 objetivo resultado a lograr Nota 1 a la entrada: Un objetivo puede ser estratégico, táctico u operativo. Nota 2 a la entrada: Los objetivos pueden relacionarse con diferentes disciplinas (como metas financieras, de salud y seguridad y ambientales) ambiental es) y pueden aplicarse a diferentes niveles [como estratégico, de toda la organización, de proyecto, de producto y proceso (3.54 .54 )]. )].
Nota 3 a la entrada: Un objetivo puede expresarse de otras formas, por ejemplo, como un resultado previsto, un propósito, un criterio operativo, como un objetivo de seguridad de la información o mediante el uso de otras palabras con un significado similar (por ejemplo, fin, meta o destino). ). Nota 4 a la entrada: En el contexto de los sistemas de gestión de seguridad de la información, la organización establece los objetivos de seguridad de la información, de acuerdo con la política de seguridad de la información, para lograr resultados específicos.
3.50 organización persona o grupo de personas que tiene sus propias funciones con responsabilidades, autoridades y relaciones para lograr suobjetivos (3.49 3.49 ) ) Nota 1 a la entrada: El concepto de organización incluye pero no se limita a comerciante único, compañía, corporación, firma, empresa, autoridad, asociación, caridad o institución, o parte o combinación de las mismas, ya sea incorporada o no, pública o privada.
3.51 subcontratar
hacer un arregl arreglo o donde un externoorganización (3.50 3.50 ) ) reali realiza za parte de la función de una organización o proceso (3.5 3.544 ) Nota 1 a la entrada: Una organización externa está fuera del alcance de lasistema de gestión (3.41 3.41 ), ), aunqu aunquee la función o proceso subcontratado está dentro del alcance.
3.52 actuación resultado medible Nota 1 a la entrada: El desempeño puede relacionarse con hallazgos cuantitativos o cualitativos. Nota 2 a la entrada: El desempeño puede relac relacionarse ionarse con la gestión de actividades,procesos (3.54 3.54 ) ),, productos productos (incluidos los servicios), sistemas oorganizaciones (3.50 3.50 ).
3.53 política
intenciones y dirección de unorganización (3.50 3.50 ), ), tal tal como lo expresa formalmente sualta dirección (3.7 3.755 )
3.54 proceso conjunto de actividades interrelacionadas o que interactúan que transforma entradas en salidas
3.55 fiabilidad propiedad de comportamiento y resultados consistentes previstos
3.56 requisito necesidad o expectativa declarada, generalmente implícita u obligatoria Nota 1 a la entrada: “Generalmente implícito” significa que es costumbre o práctica común para la organización y las partes interesadas que la necesidad o expectativa bajo consideración esté implícita. Nota 2 a la entrada: Un requisito especificado es uno que se establece, por ejemplo, en información documentada.
© ISO/IEC 2018 – Todos los derechos reservados
7
ISO/IEC 27000:2018(E)
3.57 riesgo residual riesgo (3.61 3.61 ) restante despuéstratamiento de riesgos (3.72 3.72 ) ) Nota 1 a la entrada: El riesgo residual puede contener un riesgo no identificado.
Nota 2 a la entrada: El riesgo residual también puede denominarse “riesgo retenido”.
revisión 3.58 actividad emprendida para determinar la idoneidad, adecuación yeficacia (3.20 3.20 ) ) de la materia para lograrobjetivos (3.49 3.49 ) )
[ORIGEN: Guía ISO 73:2009, 3.8.2.2, modificado — Se eliminó la Nota 1 a la entrada.]
3.59 objeto de revisión artículo específico que se está revisando
3.60 objetivo de revisión
declaración que describe lo que se logrará como resultado de unarevisión (3.59 3.59 )
3.61 riesgo
efecto de la incertidumbre sobreobjetivos (3. 3.49 49 ) ) Nota 1 a la entrada: Un efecto es una desviación de lo esperado, ya sea positivo o negativo. Nota 2 a la entrada: La incertidumbre es el estado, incluso parcial, de deficiencia de información relacionada con, comprensión o conocimiento de un evento, su consecuencia o probabilidad.
Nota 3 a la entrada: El riesgo a menudo se caracteriza por referencia a posibles "eventos" (como se define en la Guía ISO 73:2009, 3.5.1.3) y "consecuencias" (como se define en la Guía ISO 73:2009, 3.6.1.3), o una combinación de estos. Nota 4 a la entrada: El riesgo a menudo se expresa en términos de una combinación de las consecuencias de un evento (incluidos los cambios en las circunstancias) y la "probabilidad" asociada (como se define en e n la Guía ISO 73:2009, 3.6.1.1) de ocurrencia. Nota 5 a la entrada: En el contexto de los sistemas de gestión de seguridad de la información, los riesgos de seguridad de la información pueden expresarse como efecto de la incertidumbr incertidumbree sobre los objetivos de seguridad de la información.
Nota 6 a la entrada: El riesgo de seguridad de la información está asociado con la posibilidad de que las amenazas exploten las vulnerabilidades de un activo de información o grupo de activos de información y, por lo tanto, causen daño a una organización.
3.62 aceptación del riesgo
decisión informada de tomar una determinada riesgo (3.61 .61 ) ) Nota 1 a la entrada: La aceptación del riesgo puede ocurrir sintratamiento de riesgos (3.72 .72 ) ) o durante elproceso (3.54 3.54 ) ) del tratam t ratamiento iento del riesgo.
Nota 2 a la entrada: Los riesgos aceptados están sujetos a vigilancia (3.46 3.46 ) ) yrevisión (3.58 3.58 ). ).
[FUENTE: Guía ISO 73:2009, 3.7.1.6]
3.63 análisis de riesgo
proceso (3.54 3.54 ) ) para para comprender la naturaleza derie sgo sgo (3.61 3.61 ) ) y determinar lanivel de riesgo (3.39 .39 ) ) Nota 1 a la entrada: El análisis de riesgos proporciona la base para evaluación de riesgo (3.67 3.67 ) ) y y decisiones sobre tratamiento de riesgos (3.72 3.72 ) ).. Nota 2 a la entrada: El análisis de riesgo incluye la estimación del riesgo.
[FUENTE: Guía ISO 73:2009, 3.6.1]
8
© ISO/IEC 2018 – Todos los derechos reservados
ISO/IEC 27000:2018(E)
3.64 Evaluación de riesgos generalproceso (3.5 3.544 ) deidentificación de riesgo (3. 3.68 68 ), ),a nálisis nálisis de riesgo (3.63 .63 ) ) yevaluación de riesgo (3.67 3.67 ) )
[FUENTE: Guía ISO 73:2009, 3.4.1]
3.65 comunicación de riesgos y consulta procesos (3.54 conjunto de continuosy entablar e iterativos .54 ) ) que lleva a cabo una7 )organización parade proporcionar, partes interesada s s( 3.3 riesgo (3.61 obtener información un diálogo con 3.37 sobre la gestión 3.61 ) ) compartir u
Nota 1 a la entrada: La información puede relacionarse con la existencia, naturaleza, forma,probabilidad (3.4 3.411 ), significado, significado, evaluación, aceptabilidad y tratamiento del riesgo. Nota 2 a la entrada: La consulta es un proceso bidireccional de comunicación informada entre unorganización (3.50 3.50 ) ) y sus sus partes partes interesadas sobre un tema antes de tomar una decisión o determinar una dirección sobre ese tema. La consulta es
- aproceso que que impacta en una decisión a través de la influencia en lugar del poder; y — una aportación a la toma de decisiones, no una toma de decisiones conjunta.
3.66 criterios de riesgo
términos de referencia contra los cuales la importancia de riesgo (3.6 3.611 ) es evaluado es evaluado 3.22 22 ) ) ycontexto interno (Nota 3.38 ). 3.38 ).1 a la entrada: Los criterios de riesgo se basan en los objetivos de la organización, y contexto externo (3. icas (3.53 Nota 2 a la entrada: Los criterios de riesgo pueden derivarse de estándares, leyes, leyes,polít icas 3.53 ) ) y otrarequisitos (3.56 .56 ). ).
[FUENTE: Guía ISO 73:2009, 3.3.1.3]
3.67 evaluación de riesgo
3.54 ) de comparar los resultados deanálisis de rie sgo 3.63 ) ) concriterios de riesg o 3.66 ) ) para proceso (3.54 sgo (3.63 o (3.66 determinar si elrie sgo sgo (3.61 3.61 ) ) y/o su magnitud es aceptable o tolerable Nota 1 a la entrada: La evaluación de riesgos ayuda en la decisión sobre tratamiento de riesgos (3.72 3.72 ) )..
[FUENTE: Guía ISO 73:2009, 3.7.1]
3.68 identificación de )riesgo proceso (3.54 3.54 de encontrar, reconocer y describirriesgos (3. 3.61 61 ) ) tos (3.21 Nota 1 a la entrada: La identificación de riesgos implica la identificación de fuentes de riesgo, even tos .21 ), ), sus causas y su potencialconsecuencias (3.1 3.122 ).
Nota 2 a la entrada: La identificación de riesgos puede involucrar datos históricos, análisis teóricos, opiniones informadas y de expertos, y partes interesadas' (3.37 3.37 ) ) necesidade necesidades. s.
[FUENTE: Guía ISO 73:2009, 3.5.1]
3.69 gestión de riesgos actividades coordinadas para dirigir y controlar unorganización (3.50 3.50 ) ) con con respecto ariesgo (3.61 3.61 ) )
[FUENTE: Guía ISO 73:2009, 2.1]
© ISO/IEC 2018 – Todos los derechos reservados
9
ISO/IEC 27000:2018(E)
3.70 proceso de gestión de riesgos
aplicación sistemática de la gestiónpolíticas (3.5 3.533 ), procedimiento procedimientoss y prácticas a las actividades de comunicar, comunic ar, consultar, contextualiz contextualizar ar e identificar, analizar, evaluar, tratar, monitorear y revisar riesgo (3.61 3.61 ) ) Nota 1 a la entrada: ISO/IEC 27005 27005 utiliza utiliza el término “proceso ” (3 (3.54 .54 ) ) para para describir la gestión de riesgos en general. Los elementos dentro de lagestión de riesg riesg os os (3.69 3.69 ) ) proceso se denominan “actividades”.
[FUENTE: Guía ISO 73:2009, 3.1, modificada — Se agregó la Nota 1 a la entrada.]
3.71 dueño del riesgo
persona o entidad con la responsabilidad y autoridad para administrar un riesgo (3.61 3.61 )
[FUENTE: Guía ISO 73:2009, 3.5.1.5]
3.72 tratamiento de riesgos
proceso (3.54 3.54 ) ) Modificar Modificarriesgo (3.61 3.61 ) ) Nota 1 a la entrada: El tratamiento del riesgo puede implicar:
— evitar el riesgo decidiendo no iniciar o continuar con la actividad que genera el riesgo; — asumir o aumentar el riesgo para aprovechar una oportunidad; — eliminar la fuente de riesgo;
- cambiando elprobabilidad (3.40 .40 ); );
- cambiando elconsecuencias (3. 3.12 12 ); ); — compartir el riesgo con otra parte o partes (incluidos los contratos y la financiación del riesgo); — retener el riesgo mediante una elección informada.
Nota 2 a la entrada: Los tratamientos de riesgos que se ocupan de las consecuencias negativas a veces se denominan "mitigación de riesgos", "eliminación de riesgos", "prevención de riesgos" y "reducción de riesgos". Nota 3 a la entrada: El tratamiento del riesgo puede crear nuevos riesgos o modificar los existentes.
[FUENTE: Guía ISO 73:2009, 3.8.1, modificada — "decisión" ha sido reemplazada por "elección" en la Nota 1 a la entrada.]
3.73 estándar de implementación de seguridad documento que especifica las formas autorizadas para realizar la seguridad
3.74 amenaza
causa potencial de un incidente no deseado, que puede resultar en daño a un sistema o organización (3.50 3.50 )
3.75 alta dirección persona o grupo de personas que dirige y controla unaorganización (3.50 3.50 ) al más alto nivel Nota 1 a la entrada: La alta dirección tiene el poder de delegar autoridad y proporcionar recursos dentro de la organización. Nota 2 a la entrada: Si el alcance de lasistema de gestión (3.41 3.41 ) ) cubre cubre solo una parte de una organización, entonces la alta dirección se refiere a aquellos que dirigen y controlan esa parte de la organización.
10
© ISO/IEC 2018 – Todos los derechos reservados
ISO/IEC 27000:2018(E)
Nota 3 a la entrada: La alta dirección a veces se denomina dirección ejecutiva y puede pu ede incluir directores ejecutivos, directores financieros, directores de información y roles similares.
3.76 entidad confiable de comunicació comunicación n de información información autónomoorganización (3.50 3.50 ) ) apoyar apoyar el el intercambio de información dentro de uncomunidad de intercambio de información (3.34 .34 ) )
3.77 vulnerabilidad debilidad de un activo ocontrol (3.14 3.14 ) que pueden que pueden ser explotados por uno o más amenazas (3.7 3.744 )
4 Sistemas de gestión de la seguridad de la información 4.1 Generalidades
Organizaciones de todo tipo y tamaño: a) recopilar, procesar, almacenar y transmitir información;
b) reconocer que la información y los procesos, sistemas, redes y personas relacionados son activos importantes para lograr los objetivos de la organización; c) enfrentar una gama de riesgos que pueden afectar el funcionamiento de los activos; y d) abordar su exposición al riesgo percibido mediante la implementación de controles de seguridad de la información.
Toda la información mantenida y procesada por una organización está sujeta a amenazas de ataque, error, naturaleza (por ejemplo, inundaciones o incendios), etc., y está sujeta a vulnerabilidades inherentes a su uso. El término seguridad de la información generalmente se basa en que la información se considera un activo que tiene un valor que requiere una protección adecuada, por ejemplo, contra la pérdida de disponibilidad, confidencialidad e integridad. Permitir que la información precisa y completa esté disponible de manera oportuna para aquellos con una necesidad autorizada es un catalizador para la eficiencia comercial. La protección de los activos de información a través de la definición, el logro, el mantenimiento y la mejora de la seguridad de la información de manera efectiva es esencial para permitir que una organización logre sus objetivos y mantenga y mejore su imagen y cumplimiento legal. Estas actividades coordinadas que dirigen la implementación de controles adecuados y tratan los riesgos de seguridad de la información inaceptables se conocen generalmente como elementos elementos de gestión de seguridad de la información. A medida que los riesgos de seguridad de la información y la eficacia de los controles cambian según las circunstancias cambiantes, las organizaciones deben:
a) monitorear y evaluar la efectividad de los controles y procedimientos implementados;
b) identificar los riesgos emergentes a tratar; y c) seleccionar, implementar y mejorar los controles apropiados según sea necesario.
Para interrelacionar y coordinar tales actividades de seguridad de la información, cada organización necesita establecer su política y objetivos para la seguridad de la información y lograr esos objetivos de manera efectiva mediante el uso de un sistema de gestión.
4.2 ¿Qué es un SGSI? 4.2.1 Resumen y principios Un SGSI consiste en las políticas, procedimientos, directrices y recursos y actividades asociados, asociados, administradoss colectivamente por una organización administrado organización,, en la búsqueda de proteger sus activos de información. Un SGSI es un enfoque sistemático para establecer, implementar, operar, monitorear, revisar, mantener © ISO/IEC 2018 – Todos los derechos reservados
11
ISO/IEC 27000:2018(E)
y mejorar la seguridad de la información de una organización para lograr los objetivos comerciales. Se basa en una evaluación de riesgos y los niveles de aceptación de riesgos de la organización diseñados para tratar y gestionar los riesgos de manera eficaz. Analizar los requisitos para la protección de los activos de información y aplicar los controles apropiados para garantizar la protección de estos activos de información, según sea necesario, contribuye a la implementación exitosa de un SGSI. Los siguientes principios fundamentales también contribuyen a la implementación exitosa de un SGSI: a) conciencia de la necesidad de seguridad de la información; b) asignación de responsabilidad por la seguridad de la información;
c) incorporar el compromiso de gestión y los intereses de las partes interesadas; d) mejorar los valores sociales; e) evaluaciones de riesgo que determinen los controles apropiados para alcanzar niveles aceptables de riesgo;
f) la seguridad incorporada como elemento esencial de las redes y sistemas de información; g) prevención y detección activa de incidentes de seguridad de la información;
h) garantizar un enfoque integral para la gestión de la seguridad de la información; i) reevaluación continua de la seguridad de la información y realización de modificaciones según corresponda.
4.2.2 Información La información es un activo que, al igual que otros activos comerciales importantes, es esencial para el negocio de una organización y, en consecuencia, debe protegerse adecuadamente. La información se puede almacenar en muchas formas, que incluyen: forma digital (p. ej., archivos de datos almacenados en medios electrónicos u ópticos), forma material (p. ej., en papel), así como información no representada en forma de conocimiento de los empleados. La información puede transmitirse por varios medios, incluidos: mensajería, comunicación electrónica o verbal. Cualquiera que q ue sea la forma que q ue adopte la información, o los medios por los que se transmita, siempre necesita una protección adecuada.
En muchas organizaciones, la información depende de la tecnología de la información y las comunicaciones. Esta tecnología suele ser un elemento esencial en la organización y ayuda a facilitar la creación, el procesamiento, el almacenamiento, la transmisión, la protección y la destrucción de la información. 4.2.3 Seguridad de la información
La seguridad de la información garantiza la confidencialidad, disponibilidad e integridad de la información. La seguridad de la información implica la aplicación y gestión de controles apropiados que implican la consideración de una amplia gama de amenazas, con el objetivo de garantizar el éxito y la continuidad del negocio sostenido, y minimizar las consecuencias de los incidentes de seguridad de la información. La seguridad de la información se logra a través t ravés de la implementación de un conjunto aplicable de controles, seleccionados a través del proceso de gestión de riesgos elegido y gestionado mediante un SGSI, que incluye políticas, procesos, procedimientos, estructuras organizativas, software y hardware para proteger los activos de información identificados. Estos controles deben especificarse, implementarse, monitorearse, revisarse y mejorarse cuando sea necesario, para garantizar que se cumplan los objetivos comerciales y de seguridad de la información específicos de la organización. Se espera que los controles de seguridad de la información relevantes se integren perfectamente con los procesos comerciales de una organización.
4.2.4 Gestión La gestión implica actividades para dirigir, controlar y mejorar continuamente la organización dentro de las estructuras apropiadas. Las actividades de Las gestión incluyendeelgestión acto, la se manera o la práctica de persona organizar, dirigir, supervisar y controlar los recursos. estructuras extienden desde una enmanejar, una organización pequeña hasta jerarquías de gestión compuestas por muchas personas en organizaciones grandes.
12
© ISO/IEC 2018 – Todos los derechos reservados
ISO/IEC 27000:2018(E)
En términos de un SGSI, la gestión implica la supervisión y la toma de decisiones necesarias para lograr los objetivos comerciales a través de la protección de los activos de información de la organización. La gestión de la seguridad de la información se expresa a través de la formulación y el uso de políticas, procedimientos y directrices de seguridad de la información, que luego se aplican en toda la organización por todas las personas asociadas con la organización.
4.2.5 Sistema de gestión Un sistema de gestión utiliza un marco de recursos para lograr los objetivos de una organización. El sistema de gestión incluye la estructura organizativa, las políticas, las actividades de planificación, las responsabilidades, las prácticas, los procedimientos, los procesos y los recursos. En términos de seguridad de la información, un sistema de gestión permite a una organización:
a) satisfacer los requisitos de seguridad de la información de los clientes y otras partes interesadas; b) mejorar los planes y actividades de una organización; c) cumplir con los objetivos de seguridad de la información de la organización;
d) cumplir con los reglamentos, la legislación y los mandatos de la industria; y
e) administrar los activos de información de una manera organizada que facilite la mejora continua y el ajuste a las metas organizacionales actuales. 4.3 Enfoque basado en procesos
Las organizaciones necesitan identificar y administrar muchas actividades para funcionar de manera efectiva y eficiente. Cualquier actividad que utilice recursos debe gestionarse para permitir la transformación de entradas en salidas utilizando un conjunto de actividades interrelacionadas o que interactúan; esto también se conoce como un proceso. La salida de un proceso puede formar directamente la entrada de otro proceso y, por lo general, esta transformación se lleva a cabo en condiciones planificadas y controladas. La aplicación de un sistema de procesos dentro de una organización, junto con la identificación e interacciones de estos procesos y su gestión, puede denominarse “enfoque basado en procesos”.
4.4 Por qué es importante un SGSI Es necesario abordar los riesgos asociados con los activos a ctivos de información de una organización. Lograr la seguridad de la información requiere la gestión del riesgo y abarca los riesgos de amenazas físicas, humanas y relacionadas con la tecnología asociadas con todas las formas de información dentro o utilizadas por la organización.
Se espera que la adopción de un SGSI sea una decisión estratégica para una organización y es necesario que esta decisión se integre, escale y actualice a la perfección de acuerdo con las necesidades de la organización. El diseño y la implementación del SGSI de una organización están influenciados por las necesidades y los objetivos de la organización, los requisitos de seguridad, los procesos comerciales empleados y el tamaño y la estructura de la organización. El diseño y la operación de un SGSI deben reflejar los intereses y los requisitos de seguridad de la información de todas las partes interesadas de la organización, incluidos clientes, proveedores, socios comerciales, accionistas y otros terceros relevantes. En un mundo interconectado, la información y los procesos, sistemas y redes relacionados constituyen activos comerciales críticos. Las organizaciones y sus redes y sistemas de información se enfrentan a amenazas de seguridad de una amplia gama de fuentes, incluido el fraude asistido por computadora, el espionaje, el sabotaje, el vandalismo, los incendios y las inundaciones. Los daños a los sistemas sistemas y redes de información información causados por códigos maliciosos, piratería piratería informática y ataques de denegación de servicio se han vuelto más comunes, más ambiciosos y cada vez más sofisticados. Un SGSI es importante tanto para las empresas del sector público como del privado. En cualquier industria, un ISMS es un habilitador que respalda el comercio electrónico y es esencial para las actividades de gestión de riesgos. La interconexión de redes públicas y privadas y el intercambio de activos de información aumentan la dificultad de controlar © ISO/IEC 2018 – Todos los derechos reservados
13
ISO/IEC 27000:2018(E)
acceso y manejo de la información. Además, la distribución de dispositivos móviles de almacenamiento que contienen activos de información puede debilitar la eficacia de los controles tradicionales. Cuando las organizaciones adoptan la familia de estándares ISMS, se puede demostrar a los socios comerciales y otras partes interesadas la capacidad de aplicar principios de seguridad de la información consistentes y mutuamente reconocibles.
La seguridad de la informaci información ón no siempre se tiene en cuenta en el diseño y desarrollo de los sistemas de información. Además, a menudo se considera que la seguridad de la informació información n es una solución técnica. técnica. Sin embargo, la seguridad de la información que se puede lograr a través de medios técnicos es limitada y puede ser ineficaz sin el respaldo de una gestión y procedimientos adecuados dentro del contexto de un SGSI. La integración de la seguridad en un sistema de información informaci ón funcionalmente funcionalmente completo puede ser difícil y costosa. Un SGSI implica identificar qué controles existen y requiere una planificación cuidadosa cuidadosa y atención a los detalles. A modo de ejemplo, los controles de acceso, que pueden ser técnicos (lógicos), físicos, administrativos (gerenciales) o una combinació combinación, n, La adopción exitosa de un SGSI es importante para proteger los activos de información que permiten a una organización: a) lograr una mayor seguridad de que sus activos de información están adecuadamente protegidos contra amenazas de manera continua;
b) mantener un marco estructurado y completo para identificar y evaluar los riesgos de seguridad de la información, seleccionar y aplicar los controles aplicables y medir y mejorar su eficacia; c) mejorar continuamente su entorno de control; y d) lograr efectivamente el cumplimiento legal y normativo.
4.5 Establecimiento, seguimiento, mantenimiento y mejora de un SGSI
4.5.1 Resumen Una organización necesita llevar a cabo los siguientes pasos para establecer, monitorear, mantener y mejorar su SGSI: a) identificar los activos de información y sus requisitos de seguridad de la información asociados (ver4. (ver4.5.2 5.2 ); ); b) evaluar los riesgos de seguridad de la información (ver4.5.3 (ver4.5.3 ) ) y tratar los riesgos de seguridad de la información (ver4. (ver4.5.4 5.4 ); );
c) seleccionar e implementar los controles pertinentes para gestionar los riesgos inaceptables (ver4 (ver 4.5.5 .5.5 ); );
d) monitorear, mantener y mejorar la efectividad de los controles asociados con los activos de información de la organización (ver4.5.6 (ver4.5.6 ). Para garantizar que el SGSI protege de manera efectiva los activos de información de la organización de manera continua, es necesario que los pasos a) a d) se repitan continuamente para identificar cambios en los riesgos o en las estrategias u objetivos comerciales de la organización. 4.5.2 Identificación de los requisitos de seguridad de la información
Dentro de la estrategia general y los objetivos comerciales de la organización, su tamaño y distribución geográfica, los requisitos de seguridad de la información se pueden identificar mediante la comprensión de lo siguiente:
a) activos de información identificados identificados y su valor; b) las necesidades empresariales de procesamiento, almacenamiento y comunicación de la información;
c) requisitos legales, reglamentarios y contractuales. Llevar a cabo una evaluación metódica de los riesgos asociados con los activos de información de la organización implica analizar las amenazas a los activos de información, las vulnerabilidades y la probabilidad de una amenaza.
14
© ISO/IEC 2018 – Todos los derechos reservados
ISO/IEC 27000:2018(E)
materialización de los activos de información, y el impacto potencial de cualquier incidente de seguridad de la información en los activos de información. Se espera que el gasto en controles relevantes sea proporcional al impacto comercial percibido de la materialización del riesgo. 4.5.3 Evaluación de los riesgos de seguridad de la información
La gestión de los riesgos de seguridad de la información requiere una evaluación de riesgos adecuada y un método de tratamiento de riesgos que puede incluir una estimación de los costos y beneficios, los requisitos legales, las preocupaciones de las partes interesadas y otras entradas y variables, según corresponda.
La evaluación de riesgos debe identificar, cuantificar y priorizar los riesgos frente a los criterios de aceptación de riesgos y los objetivos relevantes para la organización. Los resultados deben guiar y determinar la acción de gestión adecuada y las prioridades para gestionar los riesgos de seguridad de la información y para implementar los controles seleccionados para proteger contra estos riesgos. La evaluación de riesgos debe incluir:
— el enfoque sistemático de estimación de la magnitud de los riesgos (análisis ( análisis de riesgos); y — el proceso de comparar los riesgos estimados con los criterios de riesgo para determinar la importancia de los riesgos (evaluación de riesgos).
La evaluación de riesgos debe realizarse periódicamente para abordar los cambios en los requisitos de seguridad de la información y en la situación de riesgo, por ejemplo, en los activos, amenazas, vulnerabilidades, impactos, la evaluación de riesgos y cuando ocurren cambioscomparables significativos. Estas evaluaciones de riesgos deben realizarse de manera metódica capaz de producir resultados y reproducibles. La evaluación de riesgos de seguridad de la información debe tener un alcance claramente definido para ser eficaz y debe incluir relaciones con evaluaciones de riesgos en otras áreas, si corresponde. ISO/IEC 27005 proporciona una guía de gestión de riesgos de seguridad de la información, incluidos consejos sobre evaluación de riesgos, tratamiento de riesgos, aceptación de riesgos, informes de riesgos, supervisión de riesgos y revisión de riesgos. También se incluyen ejemplos de metodologías de evaluación de riesgos. 4.5.4 Tratamiento de los riesgos de seguridad de la información
Antes de considerar el tratamiento de un riesgo, la organización debería debería definir criterios para determinar si los riesgos pueden aceptarse o no. Los riesgos pueden aceptarse si, por ejemplo, se evalúa que el riesgo es bajo o que el costo del tratamiento no es rentable para la organizació organización. n. Tales decisiones deben ser registradas. Para cada uno de los riesgos identificados después de la evaluación de riesgos, se debe tomar una decisión sobre el tratamiento del riesgo. Las posibles opciones para el tratamiento del riesgo incluyen las siguientes:
a) aplicar los controles apropiados para reducir los riesgos; b) aceptar riesgos con conocimiento y objetividad, siempre que satisfagan claramente la política y los criterios de la organización para la aceptación de riesgos;
c) evitar riesgos al no permitir acciones que causarían que ocurran los riesgos; d) compartir los riesgos asociados con otras partes, por ejemplo, aseguradoras o proveedores. Para aquellos riesgos en los que la decisión de tratamiento del riesgo haya sido aplicar controles apropiados, estos controles deben seleccionarse e implementarse.
4.5.5 Selección e implementación de controles Una vez identificados los requisitos de seguridad de la información (ver4.5.2 (ver4.5.2 ), ), los los riesgos riesgos de seguridad de la información para los activos de información identificados han sido determinados y evaluados (ver4.5.3 (ver4.5.3 ) ) y decisiones decisiones para el
© ISO/IEC 2018 – Todos los derechos reservados
15
ISO/IEC 27000:2018(E)
se ha realizado un tratamiento de los riesgos de seguridad de la información (ver4 (ver4.5.4 .5.4 ), ), luego luego se aplica la selección e implementación de controles para la reducción de riesgos.
Los controles deben garantizar que los riesgos se reduzcan a un nivel aceptable teniendo en cuenta lo siguiente:
a) requisitos y restricciones de la legislación y los reglamentos nacionales nacionales e internaciona internacionales; les;
b) objetivos organizacionales;
c) requisitos y restricciones operacionales; operacionales; d) su costo de implementación y operación en relación con los riesgos que se reducen y siguen siendo proporcionales proporcional es a los requisitos y limitaciones de la organización; e) sus objetivos para monitorear, evaluar y mejorar la eficiencia y eficacia de los controles de seguridad de la información para apoyar los objetivos de la organización. La selección e implementación de controles debe documentarse dentro de una declaración de aplicabilidad para ayudar con los requisitos de cumplimiento; f) la necesidad de equilibrar la inversión en la implementación y operación de los controles contra la pérdida probable que resulte de los incidentes de seguridad de la información.
Los controles especificados en ISO/IEC 27002 se reconocen como las mejores prácticas aplicables a la mayoría de las organizaciones y se adaptan fácilmente para adaptarse a organizaciones de diversos tamaños y complejidades. Otros estándares en la familia de estándares ISMS brindan orientación sobre la selección y aplicación de controles ISO/IEC 27002 para el ISMS. Los controles de seguridad de la información deben considerarse en la etapa de especificación y diseño de los requisitos de los sistemas y proyectos. No hacerlo puede generar costos adicionales y soluciones menos efectivas y, en el peor de los casos, la incapacidad de lograr la seguridad adecuada. Los controles se pueden seleccionar de ISO/IEC 27002 o de otros conjuntos de control. Alternativamente, se pueden diseñar nuevos controles para satisfacer las necesidades específicas de la organización. Es necesario reconocer la posibilidad de que algunos controles no sean aplicables a todos t odos los sistemas o entornos de información, y no sean practicables para todas las organizaciones. A veces, implementar un conjunto de controles elegido lleva tiempo y, durante ese tiempo, el nivel de riesgo puede ser más alto de lo que se puede tolerar a largo plazo. Los criterios de riesgo deben cubrir la tolerabilidad de los riesgos a corto plazo mientras se implementan los controles. Las partes interesadas deben ser informadas de los niveles de riesgo que se estiman o anticipan en diferentes momentos a medida que se implementan los controles de manera progresiva. Debe tenerse en cuenta que ningún conjunto de controles puede lograr la seguridad completa de la información. Se deben implementar acciones de gestión adicionales para monitorear, evaluar y mejorar la eficiencia y eficacia de los controles de seguridad de la información para respaldar los objetivos de la organización.
La selección e implementación de controles debe documentarse dentro de una declaración de aplicabilidad para ayudar con los requisitos de cumplimiento.
4.5.6 Supervisar, mantener y mejorar la eficacia del SGSI Una organización necesita mantener y mejorar el SGSI a través del seguimiento y la evaluación del desempeño frente a las políticas y los objetivos de la organización, e informando los resultados a la gerencia para su revisión. Esta revisión del SGSI verifica que el SGSI incluya controles específicos que sean adecuados para tratar los riesgos dentro del alcance del SGSI. Además, con base en los registros de estas áreas monitoreadas, proporciona evidencia de verificación y trazabilidad de las acciones correctivas, preventivas y de mejora.
4.5.7 Mejora continua El objetivo de la mejora continua de un SGSI es aumentar la probabilidad de lograr los objetivos relacionados con la preservación de la confidencialidad, disponibilidad e integridad de la información. El enfoque de la mejora continua es buscar oportunidades de mejora y no asumir que las actividades de gestión existentes son lo suficientemente buenas o tan buenas como pueden.
dieciséis
© ISO/IEC 2018 – Todos los derechos reservados
ISO/IEC 27000:2018(E)
Las acciones de mejora incluyen las siguientes:
a) analizar y evaluar la situación s ituación existente para identificar áreas de mejora; b) establecer los objetivos de mejora; c) buscar posibles soluciones para lograr los objetivos; d) evaluar estas soluciones y hacer una selección; e) implementar la solución seleccionada;
f) medir, verificar, analizar y evaluar los resultados de la implementación para determinar que se han cumplido los objetivos; g) formalización de cambios. Los resultados se revisan, según sea necesario, para determinar más oportunidades de mejora. De esta forma, la mejora es una actividad continua, es decir, las acciones se repiten con frecuencia. Los comentarios de los clientes y otras partes interesadas, las auditorías y la revisión del sistema de gestión de la seguridad de la información también se pueden utilizar para identificar oportunidades de mejora.
4.6 Factores críticos de éxito del SGSI Una gran cantidad de factores son críticos para la implementación exitosa de un SGSI para permitir que una organización cumpla con sus objetivos comerciales. Ejemplos de factores críticos de éxito incluyen los siguientes: a) política de seguridad de la información, objetivos y actividades alineadas con los objetivos;
b) un enfoque y marco para diseñar, implementar, monitorear, mantener y mejorar la seguridad de la información consistente con la cultura organizacional; c) apoyo y compromiso visibles de todos los niveles de gestión, especialmente especialmente de la alta dirección; d) una comprensión de los requisitos de protección de activos de información logrados mediante la aplicación de la gestión de riesgos de seguridad de la información (ver ISO/IEC 27005); e) un programa efectivo de concientización, capacitación y educación en seguridad de la información, informando a todos los empleados y otras partes relevantes de sus obligaciones de seguridad de la información establecidas en las políticas, estándares, etc. de seguridad de la información, y motivándolos a actuar en consecuencia; f) un proceso eficaz de gestión de incidentes de seguridad de la información;
g) un enfoque eficaz de gestión de la continuidad del negocio; h) un sistema de medición utilizado para evaluar el desempeño en la gestión de la seguridad de la información y sugerencias de retroalimentación para la mejora. Un SGSI aumenta la probabilidad de que una organización logre constantemente los factores críticos de éxito necesarios para proteger sus activos de información.
4.7 Beneficios de la familia de estándares ISMS Los beneficios de implementar un SGSI resultan principalmente de una reducción en los riesgos de seguridad de la información (es decir, la reducción de la probabilidad y/o el impacto causado por incidentes de seguridad de la información). Específicamente, los beneficios que una organización obtiene para lograr un éxito sostenible a partir de la adopción de la familia de estándares ISMS incluyen los siguientes:
a) un marco estructurado estructur ado que respalde el proceso de especificación, implementación, operación y mantenimiento de un SGSI integral, rentable, que cree valor, integrado y alineado que satisfaga las necesidades de la organización en diferentes operaciones y sitios;
© ISO/IEC 2018 – Todos los derechos reservados
17
ISO/IEC 27000:2018(E)
b) asistencia para la gerencia en la gestión y operación consistentes de manera responsable de su enfoque hacia la gestión de la seguridad de la información, dentro del contexto de la gestión y el gobierno de riesgos corporativos, incluida la educación y capacitación de los propietarios de sistemas y empresas sobre la gestión holística de la seguridad de la información; c) promoción de buenas prácticas de seguridad de la información globalmente aceptadas de manera no prescriptiva, dando a las organizaciones la libertad de adoptar y mejorar los controles relevantes que se adapten a sus circunstancias específicas y mantenerlos frente a cambios internos y externos; d) provisión de un lenguaje común y una base conceptual para la seguridad de la información, lo que facilita la confianza en los socios comerciales con un SGSI compatible, especialmente si requieren la certificación ISO/IEC 27001 por parte de un organismo de certificación acreditado; e) aumento de la confianza de las partes interesadas en la organización;
f) satisfacer las necesidades y expectativas de la sociedad;
g) una gestión económica más eficaz de las inversiones en seguridad de la información.
5 Familia de normas SGSI 5.1 Información general La familiauna de estándares ISMS constaestructurales de estándares interrelacionados, ya publicadosestán o en desarrollo, y contiene serie de componentes significativos. Estos componentes enfocados en: — normas que describen los requisitos del SGSI (ISO/IEC 27001); — requisitos del organismo de certificación (ISO/IEC 27006) para aquellos que certifican la conformidad con ISO/IEC 27001; y — marco de requisitos adicionales adicionales para implementaciones sectoriales específicas del SGSI (ISO/IEC 27009). Otros documentos brindan orientación para varios aspectos de la implementación de un SGSI, abordando un proceso genérico así como orientación específica del sector.
Las relaciones entre la familia de estándares ISMS se ilustran enFig enFigura ura 1 . 1 .
18
© ISO/IEC 2018 – Todos los derechos reservados
ISO/IEC 27000:2018(E)
Vocabulario estándar Cláusula 5.2
I S G S s a m r o n e d a i l i m a F
Requisito normas -
27000
27001
27006
27009
27002
27003
27004
27005
27013
27014
TR 27016
27021
27010
27011
27017
27018
Cláusula 5.3
27007
TR 27008
Directrices estándares
Cláusula 5.4
Específico del sector
pautas estandares -
27019
Cláusula 5.5
2703x
Normas de directrices especí icas de control
2704x
(fuera del alcance de este documento)
Figura 1 — Relaciones de la familia de estándares SGSI Cada uno de los estándares de la familia ISMS se describe a continuación por su tipo (o función) dentro de la familia de estándares ISMS y su número de referencia.
5.2 Norma que describe una descripción general y terminología: ISO/IEC 27000 (este documento) Tecnología de la información — Técnicas de seguridad — Sistemas de gestión de la seguridad de la información — Visión general y vocabulario
Alcance:Este documento proporciona a las organizaciones e individuos: a) una descripción general de la familia de estándares ISMS;
b) una introducción a los sistemas de gestión de seguridad de la información; y
c) términos y definiciones utilizados en toda la familia de estándares ISMS. Objetivo:Este documento describe los fundamentos de los sistemas de gestión de la seguridad de la información, que forman el tema de la familia de estándares ISMS y define los términos relacionados.
5.3 Normas que especifican requisitos 5.3.1 ISO/CEI 27001 Tecnología de la información — Técnicas de seguridad — Sistemas de gestión de la seguridad de la información — Requisitos
Alcance:Este documento especifica los requisitos para establecer, implementar, operar, monitorear, revisar, mantener y mejorar los sistemas de gestión de seguridad de la información (SGSI) formalizados dentro del contexto de los riesgos comerciales generales de la organización. Especifica los requisitos para la implementación de controles de seguridad de la información personalizados para las necesidades de organizaciones individuales o partes de ellas. Este documento puede ser utilizado por todas las organizaciones, independientemente de su tipo, tamaño y naturaleza. © ISO/IEC 2018 – Todos los derechos reservados
19
ISO/IEC 27000:2018(E)
Objetivo:ISO/IEC 27001 proporciona requisitos normativos para el desarrollo y operación de un SGSI, incluido un Objetivo:ISO/IEC conjunto de controles para el control y la mitigación de los riesgos asociados con los activos de información que la organización busca proteger mediante la operación de su SGSI. Las organizaciones que operan un SGSI pueden tener su conformidad auditada y certificada. Los objetivos de control y los controles de ISO/IEC 27001:2013, Anexo A, se seleccionarán como parte de este proceso SGSI según corresponda para cubrir los requisitos identificados. Los objetivos de control y los controles enumerados en ISO/IEC 27001:2013, Tabla A.1, se derivan directamente y están alineados con los enumerados en ISO/IEC 27002:2013, Cláusulas 5 a 18.
5.3.2 ISO/CEI 27006 Tecnología de la información. Técnicas de seguridad. Requisitos para los organismos que proporcionan auditoría y certificación de los sistemas de gestión de la seguridad de la información.
Alcance:Este documento especifica los requisitos y brinda orientación para los organismos que brindan auditoría y Alcance:Este certificación ISMS de acuerdo con ISO/IEC 27001, además de los requisitos contenidos en ISO/IEC 17021. Está destinado principalmente a respaldar la acreditación de organismos de certificación que brindan certificación ISMS IS MS de acuerdo con ISO/IEC 27001. ISO/CEI 27001. Los requisitos contenidos en este documento deben ser demostrados en términos de competencia y confiabilidad por cualquier persona que brinde la certificación SGSI, y la orientación contenida en este documento proporciona una interpretación adicional de estos requisitos para cualquier persona que brinde la certificación SGSI. Objetivo:ISO/IEC 27006 complementa a ISO/IEC 17021 al proporcionar los requisitos por los cuales las Objetivo:ISO/IEC organizaciones de certificación están acreditadas, lo que permite a estas organizaciones proporcionar certificaciones de cumplimiento consistentes con los requisitos establecidos en ISO/IEC 27001.
5.3.3 ISO/CEI 27009 Tecnología de la información. Técnicas de seguridad. Aplicación específica del sector de ISO/IEC 27001. Requisitos.
Alcance:Este documento define los requisitos para el uso de ISO/IEC 27001 en cualquier sector específico (campo, área de aplicación o sector de mercado). Explica cómo incluir requisitos adicionales a los de ISO/IEC 27001, cómo perfeccionar cualquiera de los requisitos de ISO/IEC 27001 y cómo incluir controles o conjuntos de controles además de ISO/IEC ISO/IEC 27001:2013, Anexo A. Objetivo:ISO/IEC 27009 asegura que los requisitos adicionales o refinados no entren en conflicto con los requisitos de ISO/IEC 27001. 5.4 Normas que describen las directrices generales
5.4.1 ISO/CEI 27002 Tecnología de la información. Técnicas de seguridad. Código de prácticas para los controle controless de seguridad de la información información..
Alcance:Este documento proporciona una lista de objetivos de control comúnmente aceptados y controles de mejores prácticas que se utilizarán como guía de implementación al seleccionar e implementar controles para lograr la seguridad de la información. Objetivo: ISO/IEC 27002 proporciona orientación sobre la implementación de controles de seguridad de la información. Objetivo:ISO/IEC Específicamente, las Cláusulas 5 a 18 brindan asesoramiento de implementación específico y orientación sobre las mejores prácticas en apoyo de los controles especificados en ISO/IEC 27001:2013, A.5 a A.18.
5.4.2 ISO/CEI 27003 Tecnología de la información — Técnicas de seguridad — Gestión de la seguridad de la información — Orientación
Alcance:Este documento proporciona una explicación y orientación sobre ISO/IEC 27001:2013.
20
© ISO/IEC 2018 – Todos los derechos reservados
ISO/IEC 27000:2018(E)
Objetivo:ISO/IEC 27003 proporciona antecedentes antecedentes para la implementación exitosa del SGSI de acuerdo con ISO/IEC 27001. 5.4.3 ISO/CEI 27004 Tecnología de la información — Técnicas de seguridad — Gestión de la seguridad de la información — Seguimiento, medición, análisis y evaluación
Alcance:Este documento proporciona pautas destinadas a ayudar a las organizaciones a evaluar el desempeño de la seguridad de la información y la efectividad del SGSI para cumplir con los requisitos de ISO/ IEC 27001:2013, 9.1. Se dirige a: a) el seguimiento y la medición del desempeño de la seguridad de la información;
b) el seguimiento y la medición de la eficacia de un sistema de gestión de la seguridad de la información (SGSI), incluidos sus procesos y controles;
c) el análisis y la evaluación de los resultados del seguimiento y la medición. Objetivo:ISO/IEC 27004 proporciona un marco que permite medir y evaluar la eficacia del SGSI de acuerdo con ISO/IEC 27001. 5.4.4 ISO/CEI 27005 Tecnología de la información — Técnicas de seguridad — Gestión de riesgos de seguridad de la información
Alcance:Este documento proporciona directrices para la gestión de riesgos de seguridad de la información. El enfoque descrito en este documento respalda los conceptos generales especificados en ISO/IEC 27001. Objetivo:ISO/IEC 27005 proporciona orientación sobre la implementación de un enfoque de gestión de riesgos orientado a procesos para ayudar a implementar y cumplir satisfactoriamente los requisitos de gestión de riesgos de seguridad de la información de ISO/IEC 27001.
5.4.5 ISO/CEI 27007 Tecnología de la información. Técnicas de seguridad. Directrices Directrices para la auditoría de los sistemas de gestión de la seguridad de la información.
Alcance:Este documento proporciona orientación sobre la realización de auditorías de SGSI, así como orientación sobre la Alcance:Este competencia de los auditores de sistemas de gestión de la seguridad de la información, además de la orientación contenida en la norma ISO 19011, que se aplica a los sistemas de gestión en general.
Objetivo:ISO/IEC 27007 brindará orientación a las organizaciones que necesiten realizar auditorías internas o externas de un SGSI o gestionar un programa de auditoría de SGSI según los requisitos especificados en ISO/ IEC 27001.
5.4.6 ISO/IEC TR 27008 Tecnología de la información. Técnicas de seguridad. Directrices para los auditores sobre los controles de seguridad de la información.
Alcance:Este documento brinda orientación sobre la revisión Alcance:Este r evisión de la implementación y operación de los controles, incluida la verificación del cumplimiento técnico de los controles del sistema de información, de conformidad con los estándares de seguridad de la información establecidos por una organización. Objetivo:Este documento proporciona un enfoque en las revisiones de los controles de seguridad de la información, incluida la Objetivo:Este verificación del cumplimiento técnico, frente a un estándar de implementación de seguridad de la información establecido por la organización. No tiene la intención de proporcionar p roporcionar ninguna guía específica sobre la verificación del cumplimiento con respecto a la medición, evaluación de riesgos o auditoría de un SGSI como se especifica en ISO/IEC 27004, ISO/IEC 27005 o ISO/IEC 27007, respectivamente. Este documento no está destinado a auditorías de sistemas de gestión.
© ISO/IEC 2018 – Todos los derechos reservados
21
ISO/IEC 27000:2018(E)
5.4.7 ISO/CEI 27013 Tecnología de la información. Técnicas de seguridad. Orientación sobre la implementación integrada de ISO/ IEC 27001 e ISO/IEC 20000-1.
Alcance:Este documento proporciona orientación sobre la implementación integrada de ISO/IEC 27001 e ISO/IEC 20000-1 para organizaciones que tienen la intención de:
a) implementar ISO/IEC 27001 cuando ISO/IEC 20000-1 ya está implementado, o viceversa; b) implementar tanto ISO/IEC 27001 como ISO/IEC 20000-1 juntas; c) integrar los los sistemas de gestión existentes existentes basados en ISO/IEC 27001 e ISO/IEC ISO/IEC 20000-1. Este documento se centra exclusivamente en la implementación integrada de un sistema de gestión de seguridad de la información (SGSI) como se especifica en ISO/IEC 27001 y un sistema de gestión de servicios (SMS) como se especifica en ISO/IEC 20000-1.
En la práctica, ISO/IEC 27001 e ISO/IEC 20000-1 también se pueden integrar con otros estándares de sistemas de gestión, como ISO 9001 e ISO 14001. Objetivo:Proporcionar a las organizaciones una mejor comprensión de las características características,, similitudes y diferencias de ISO/IEC 27001 e ISO/IEC 20000-1 para ayudar en la planificación de un sistema de gestión integrado que cumpla con ambas Normas Internacionales.
5.4.8 ISO/CEI 27014 Tecnología de la información — Técnicas de seguridad — Gobernanza de la seguridad de la información
Alcance:Este documento brindará orientación sobre los principios y procesos para la gobernanza de la seguridad de la información, mediante los cuales las organizaciones pueden evaluar, dirigir y monitorear la gestión de la seguridad de la información. Objetivo: La seguridad de la información se ha convertido en un tema clave para las organizaciones. No solo existen requisitos Objetivo:La reglamentarios cada vez mayores, sino que también el fracaso de las medidas de seguridad de la información de una organización puede tener un impacto directo en la reputación de una organización. Por lo tanto, los órganos de gobierno, como parte de sus responsabilidades de gobierno, deben supervisar cada vez más la seguridad de la información para garantizar que se logren los objetivos de la organización.
5.4.9 ISO/IEC TR 27016 Tecnología de la información — Técnicas de seguridad — Gestión de la seguridad de la información — Economía organizacional
Alcance:Este documento proporciona una metodología que permite a las organizaciones comprender mejor Alcance:Este económicamente cómo valorar con mayor precisión sus activos de información identificados, valorar los riesgos potenciales para esos activos de información, apreciar el valor que los controles de protección de la información brindan a estos activos de información y determinar el nivel óptimo de recursos. aplicarse para asegurar estos activos de información. Objetivo:Este documento complementa la familia de estándares ISMS Objetivo:Este IS MS superponiendo una perspectiva económica en la protección de los activos de información de una organización en el contexto del entorno social más amplio en el que opera una organización y brindando orientación sobre cómo aplicar la economía organizacional de la seguridad de la información a través del uso de modelos y ejemplos.
5.4.10 ISO/CEI 27021 Tecnología de la información. Técnicas de seguridad. Gestión de la seguridad de la información. Requisitos de competencia para los profesionales de los sistemas de gestión de la seguridad de la información.
22
© ISO/IEC 2018 – Todos los derechos reservados
ISO/IEC 27000:2018(E)
Alcance:Este documento especifica los requisitos de competencia para los profesionales de SGSI que lideren o participen en el establecimiento, implementación, mantenimiento mantenimiento y mejora continua de uno o más procesos del sistema de gestión de seguridad de la información conforme a la norma ISO/IEC 27001:2013. Objetivo:Este documento está destinado a ser utilizado por:
a) personas que deseen demostrar su competencia como profesionales del sistema de gestión de seguridad de la información (SGSI), o que deseen comprender y lograr la competencia requerida para trabajar en esta área, así como que deseen ampliar sus conocimiento conocimientos, s, b) organizaciones que buscan posibles candidatos profesionales de ISMS para definir la competencia requerida para puestos en roles relacionados con ISMS, c) organismos para desarrollar la certificación de profesionales de ISMS que necesitan un cuerpo de conocimiento (BOK) para las fuentes de examen, y
d) organizaciones de educación y formación, tales como universidades e instituciones vocacionales, para alinear sus planes de estudios y cursos con los requisitos de competencia para los profesionales de SGSI.
5.5 Normas que describen las directrices específicas del sector
5.5.1 ISO/CEI 27010 Tecnologías de la información — Técnicas de seguridad — Gestión de la seguridad de la información para las comunicaciones intersectoriales e interinstitucionales
Alcance:Este documento proporciona pautas además de la orientación proporcionada en la familia de estándares ISO/IEC 27000 para implementar la gestión de la seguridad de la información dentro de las comunidades de intercambio de información.
Este documento proporciona controles y orientación relacionados específicamente con el inicio, la implementación, el mantenimiento y la mejora de la seguridad de la información info rmación en las comunicaciones interinstitucionales e intersectoriales. Objetivo:Este documento es aplicable a todas las formas de intercambio y distribución de información sensible, Objetivo:Este tanto pública como privada, a nivel nacional e internacional, dentro de la misma industria o sector del mercado o entre sectores. En particular, puede ser aplicable a los intercambios de información relacionados con la provisión, el mantenimiento y la protección de la infraestructura crítica de una organización o estado.
5.5.2 ISO/CEI 27011 Tecnología de la información. Técnicas de seguridad. Código de prácticas para los controles de seguridad de la información basado en ISO/IEC 27002 para organizaciones de telecomunicaciones.
Alcance:Este documento proporciona pautas que respaldan la implementación de controles de seguridad de la información en las organizaciones de telecomunicaciones. Objetivo:ISO/IEC 27011 permite a las organizaciones de telecomunicaciones cumplir con los requisitos básicos de gestión de seguridad de la información de confidencialidad, integridad, disponibilidad y cualquier otra propiedad de seguridad relevante.
5.5.3 ISO/CEI 27017 Tecnología de la información — Técnicas de seguridad — Código de prácticas para los controles de seguridad de la información basado en ISO/IEC 27002 para servicios en la nube
Alcance:ISO/IEC 27017 brinda pautas para los controles de seguridad de la información aplicables a la provisión y el uso de Alcance:ISO/IEC servicios en la nube al proporcionar: — orientación de implementación adicional para los controles relevantes especificados en ISO/IEC 27002;
© ISO/IEC 2018 – Todos los derechos reservados
23
ISO/IEC 27000:2018(E)
— controles adicionales con orientación de implementación que se relacionan específicamente con los servicios en la nube.
Objetivo: Este documento proporciona controles y orientación de implementación tanto para proveedores de servicios en la nube Objetivo:Este como para clientes de servicios en la nube.
5.5.4 ISO/CEI 27018 Tecnología de la información — Técnicas de seguridad — Código de prácticas para la protecció protección n de información de identificación identificación personal (PII) en nubes públicas que actúan como procesadores de PII
Alcance:ISO/IEC 27018 establece objetivos de control, controles y pautas comúnmente aceptados para Alcance:ISO/IEC implementar medidas para proteger la información de identificación personal (PII) de acuerdo con los principios de privacidad de ISO/IEC 29100 para el entorno de computación en la nube pública. Objetivo: Este documento es aplicable a organizaciones, incluidas empresas públicas y privadas, entidades gubernamentales y Objetivo:Este organizaciones sin fines de lucro, que brindan servicios de procesamiento de información como procesadores de PII a través de la computación en la nube bajo contrato con otras organizaciones. Las pautas de este documento también pueden ser relevantes para las organizaciones que actúan como controladores de PII. Sin embargo, es posible que los controladores de PII estén sujetos a leyes, reglamentos y obligaciones adicionales de protección de PII, que no se aplican a los procesadores de PII, y estos no están cubiertos en este documento.
5.5.5 ISO/CEI 27019 Tecnología de la información — Técnicas de seguridad — Controles Controles de seguridad de la información para la industria de servicios públicos de energía
Alcance:Este documento proporciona una guía basada en ISO/IEC 27002:2013 aplicada a los sistemas de control de procesos utilizados por la industria de servicios públicos de energía para controlar y monitorear la producción o generación, transmisión, almacenamiento y distribución de energía eléctrica, eléctrica, gas, petróleo y calor, y para la control de los procesos de soporte asociados. Esto incluye en particular lo siguiente:
— tecnología de control, supervisión y automatización de procesos centralizados y distribuidos, así como sistemas de información utilizados para su funcionamiento, como dispositivos de programación y parametrización; — controladores digitales y componentes de automatización, como dispositivos de control y de campo o controladores lógicos programables (PLC), incluidos sensores digitales y elementos actuadores; — todos los sistemas de información de apoyo adicionales utilizados en el dominio de control de procesos, por ejemplo, para tareas de visualización de datos suplementarios y para fines de control, seguimiento, archivo de datos, registro histórico, elaboración de informes y documentación;
— tecnología de comunicación utilizada en el dominio de control de procesos, por ejemplo, redes, telemetría, aplicaciones de telecontrol y tecnología de control remoto; — componentes de infraestructura de medición avanzada (AMI), por ejemplo, medidores inteligentes;
— dispositivos de medición, por ejemplo, para valores de emisión;
— sistemas digitales de protección y seguridad, por ejemplo, relés de protección, PLC de seguridad, mecanismos reguladores de emergencia;
— sistemas de gestión de la energía, por ejemplo, de recursos energéticos distribuidos (DER), infraestructuras inf raestructuras de carga eléctrica, en viviendas particulares, edificios residenciales o instalaciones de clientes industriales; — componentes distribuidos de entornos de redes inteligentes, por ejemplo, en redes de energía, en hogares privados, edificios residenciales o instalaciones de clientes industriales; — todo el software, el firmware y las aplicaciones instaladas en los sistemas mencionados anteriormente, por ejemplo, aplicaciones DMS (sistema de gestión de distribución) u OMS (sistema de gestión de interrupciones);
— cualquier local que albergue los equipos y sistemas antes mencionados;
24
© ISO/IEC 2018 – Todos los derechos reservados
ISO/IEC 27000:2018(E)
— sistemas de telemantenimiento para los sistemas mencionados. Este documento no se aplica al dominio de control de procesos de las instalaciones nucleares. Este dominio está cubierto por IEC 62645. Este documento también incluye un requisito para adaptar los procesos de evaluación y tratamiento de riesgos descritos en ISO/ IEC 27001:2013 a la orientación específica del sector de la industria de servicios públicos de energía proporcionada en este documento. Objetivo:Además de los objetivos y medidas de seguridad que se establecen en ISO/IEC 27002, este documento proporciona Objetivo:Además pautas para los sistemas utilizados por las empresas de energía y los proveedores de energía sobre controles de seguridad de la información que abordan requisitos especiales adicionales.
5.5.6 ISO 27799 Informática de la salud — Gestión de la seguridad de la información en salud utilizando ISO/IEC 27002
Alcance:Este documento brinda pautas para los estándares de seguridad de la información de la organización y las Alcance:Este prácticas de gestión de la seguridad de la información, incluida la selección, implementación y gestión de controles teniendo en cuenta los entornos de riesgo de seguridad de la información de la organización. Este documento proporciona una guía de implementación para los controles descritos en ISO/IEC 27002 y los complementa donde sea necesario, para que puedan usarse de manera efectiva para administrar la seguridad de la información de salud.
Objetivo:ISO 27799 brinda a las organizaciones de salud una adaptación de las pautas de ISO/IEC 27002 únicas para su s u sector industrial, que son adicionales a la orientación brindada para cumplir con los requisitos de ISO/IEC 27001:2013, Anexo A.
© ISO/IEC 2018 – Todos los derechos reservados
25
ISO/IEC 27000:2018(E)
Bibliografía [1] ISO 9000:2015,Sistemas de gestión de la calidad — Fundamentos y vocabulario [2] ISO/CEI/IEEE 15939:2017,Ingeniería de sistemas y software — Proceso de medición [3] ISO/CEI 17021,Evaluación de la conformidad: requisitos para los organismos que proporcionan auditoría y certificación de sistemas de gestión
[4] ISO 19011:2011,Directrices para la auditoría de los sistemas de gestión
[5] ISO/CEI 20000-1:2011,Tecnología de la información. Gestión de servicios. Parte 1: Requisitos del sistema de gestión de servicios. [6] ISO/CEI 27001,Tecnología de la información — Técnicas de seguridad — Gestión de la seguridad de la información
sistemas — Requisitos [7] ISO/CEI 27002,Tecnología de la información. Técnicas de seguridad. Código de prácticas para los controles de seguridad de la información.
[8] ISO/CEI 27003,Tecnología de la información — Técnicas de seguridad — Gestión de la seguridad de la información
- Guía
[9] ISO/CEI 27004,Tecnología de la información — Técnicas de seguridad — Gestión de la seguridad de la información — Seguimiento, medición, análisis y evaluación
[10] ISO/CEI 27005,Tecnología de la información — Técnicas de seguridad — Gestión de riesgos de seguridad de la información
[11] ISO/CEI 27006,Tecnología de la información. Técnicas de seguridad. Requisitos para los organismos que proporcionan auditoría y certificación de los sistemas de gestión de la seguridad de la información.
[12] ISO/CEI 27007,Tecnología de la información. Técnicas de seguridad. Directrices para la auditoría de los sistemas de gestión de la seguridad de la información.
[13] ISO/CEI TR 27008,Tecnología de la información. Técnicas de seguridad. Directrices para los auditores sobre los controles de seguridad de la información.
[14] ISO/CEI 27009,Tecnología de la información — Técnicas de seguridad — Aplicación específica al sector de ISO/IEC 27001 — Requisitos [15] ISO/CEI 27010,Tecnología de la información — Técnicas de seguridad — Gestión de la seguridad de la información para comunicaciones intersectoriales e interorganizacionales
[16] ISO/CEI 27011,Tecnología de la información. Técnicas de seguridad. Código de prácticas para los controles de seguridad de la información basado en ISO/IEC 27002 para organizaciones de telecomunicaciones.
[17] ISO/CEI 27013,Tecnología de la información. Técnicas de seguridad. Orientación sobre la implementación integrada de ISO/IEC 27001 e ISO/IEC 20000-1.
[18] ISO/CEI 27014,Tecnología de la información — Técnicas de seguridad — Gobernanza de la seguridad de la información
[19] ISO/CEI TR 27016,Tecnología de la información — Técnicas de seguridad — Gestión de la seguridad de la información — Economía organizacional [20] ISO/CEI 27017,Tecnología de la información — Técnicas de seguridad — Código de prácticas para los controles de seguridad de la información basado en ISO/IEC 27002 para servicios en la nube
[21] ISO/CEI 27018,Tecnología de la información — Técnicas de seguridad — Código de prácticas para la protección de información de identificación personal (PII) en nubes públicas que actúan como procesadores de PII
26
© ISO/IEC 2018 – Todos los derechos reservados
ISO/IEC 27000:2018(E)
[22] ISO/CEI 27019,Tecnología de la información. Técnicas de seguridad. Controles de seguridad de la información para la industria de servicios públicos de energía.
[23] ISO/CEI 27021,Tecnología de la información. Técnicas de seguridad. Requisitos de competencia para profesionales de sistemas de gestión de seguridad de la información
[24] ISO 27799,Informática de la salud — Gestión de la seguridad de la información en salud utilizando ISO/IEC 27002
[25] Guía ISO 73:2009,Gestión de riesgos — Vocabulario
© ISO/IEC 2018 – Todos los derechos reservados
27
ISO/IEC 27000:2018(E)
ICS 01.040.35; 03.100.70; 35.030 Precio basado en 27 páginas © ISO/IEC 2018 – Todos los derechos reservados
