ISO 27001

ESTÁNDAR ISO/IEC

INTERNACIONAL 27001

Primera Edicion

2005 - 10 - 15

Tecnología de la Información – Técnicas de

seguridad – Sistemas de gestión de seguridad

de la información – Requerimientos

Numero de Referencia

ISO/IEC 27001:2005 (E)

2

Tabla de Contenido

Prefacio 4

0 Introducción 5

0.1 General 5

0.2 Enfoque del Proceso 5

Figura 1 – Modelo PDCA aplicado a los procesos SGSI 6

0.3 Compatibilidad con otros sistemas de gestión 7

Tecnología de la información – Técnicas de seguridad – Sistemas de gestión de

seguridad de la información – Requerimientos 8

1 Alcance 8

1.1 General 8

1.2 Aplicación 8

2 Referencias normativas 9

3 Términos y definiciones 9

4 Sistema de gestión de seguridad de la información 12

4.1 Requerimientos generales 12

4.2 Establecer y manejar el SGSI 12

4.2.1 Establecer el SGSI 12

4.2.2 Implementar y operar el SGSI 14

4.2.3 Monitorear y revisar el SGSI 15

4.2.4 Mantener y mejorar el SGSI 16

4.3 Requerimientos de documentación 16

4.3.1 General 16

4.3.2 Control de documentos 17

4.3.3 Control de registros 17

5 Responsabilidad de la gerencia 18

5.1 Compromiso de la gerencia 18

5.2 Gestión de recursos 18

5.2.1 Provisión de recursos 18

5.2.2 Capacitación, conocimiento y capacidad 19

6 Auditorías internas SGSI 19

7 Revisión Gerencial del SGSI 20

3

7.1 General 20

7.2 Insumo de la revisión 20

7.3 Resultado de la revisión 21

8 Mejoramiento del SGSI 21

8.1 Mejoramiento continuo 21

8.2 Acción correctiva 21

8.3 Acción preventiva 22

Anexo A 23

(normativo) 23

Objetivos de control y controles 23

Anexo B 37

(informativo) 37

Principios OECD y este Estándar Internacional 37

Tabla B.1 – Principios OECD y el modelo PDCA 37

Anexo C 39

(informativo) 39

Correspondencia entre ISO 9001:2000, ISO 14001:2004 y este Estándar

Internacional 39

Tabla C.1 – Correspondencia entre ISO 9001:2000, ISO 14001:2004 y este

Estándar Internacional 39

Bibliografía 40

4

Prefacio

ISO (la Organización Internacional para la Estandarización) e IEC (la Comisión Electrotécnica

Internacional) forman el sistema especializado para la estandarización universal. Los organismos

nacionales miembros de ISO o IEC participan en el desarrollo de Estándares Internacionales a

través de comités técnicos establecidos por la organización respectiva para lidiar con campos

particulares de la actividad técnica. Los comités técnicos de ISO e IEC colaboran en campos de

interés mutuo. Otras organizaciones internacionales, gubernamentales y no-gubernamentales,

junto con ISO e IEC, también toman parte en el trabajo. En el campo de la tecnología de la

información, ISO e IEC han establecido u comité técnico conjunto, ISO/IEC JTC 1.

Los Estándares Internacionales son desarrollados en concordancia con las reglas dadas en las

Directivas ISO/IEC, Parte 2.

La tarea principal del comité técnico conjunto es preparar Estándares Internacionales. Los

anteproyectos de los Estándares Internacionales adoptados por el comité técnico conjunto con

enviados a los organismos nacionales para su votación. La publicación de un Estándar

Internacional requiere la aprobación de por lo menos 75% de los organismos nacionales que

emiten un voto.

Se debe prestar atención a la posibilidad que algunos elementos de este documento estén sujetos

a derechos de patente. ISO e IEC no deben ser responsables de la identificación de algún o todos

los derechos de patentes.

ISO/IEC 27001 fue preparado por el Comité Técnico Conjunto ISO/IEC JTC 1, Tecnología de la

información, Subcomité SC 27, Técnicas de seguridad TI.

5

0 Introducción

0.1 General

Este Estándar Internacional ha sido preparado para proporcionar un modelo para establecer,

implementar, operar, monitorear, revisar, mantener y mejorar un Sistema de Gestión de Seguridad

de la Información (SGSI). La adopción de un SGSI debe ser una decisión estratégica para una

organización. El diseño e implementación del SGSI de una organización es influenciado por las

necesidades y objetivos, requerimientos de seguridad, los procesos empleados y el tamaño y

estructura de la organización. Se espera que estos y sus sistemas de apoyo cambien a lo largo

del tiempo. Se espera que la implementación de un SGSI se extienda en concordancia con las

necesidades de la organización; por ejemplo, una situación simple requiere una solución SGSI

simple.

Este Estándar Internacional puede ser utilizado por entidades internas y externas para evaluar la

conformidad.

0.2 Enfoque del Proceso

Este Estándar Internacional promueve la adopción de un enfoque del proceso para establecer,

implementar, operar, monitorear, revisar, mantener y mejorar el SGSI de una organización.

Una organización necesita identificar y manejar muchas actividades para poder funcionar de

manera efectiva. Cualquier actividad que usa recursos y es manejada para permitir la

transformación de Insumos en outputs, se puede considerar un proceso. Con frecuencia el output

de un proceso forma directamente el Insumo del siguiente proceso.

La aplicación de un sistema de procesos dentro de una organización, junto con la identificación y

las interacciones de estos procesos, y su gestión, puede considerarse un ‘enfoque del proceso’.

Un enfoque del proceso para la gestión de la seguridad de la información presentado en este

Estándar Internacional fomenta que sus usuarios enfaticen la importancia de:

a) entender los requerimientos de seguridad de la información de una organización y la

necesidad de establecer una política y objetivos para la seguridad de la información;

b) implementar y operar controles para manejar los riesgos de la seguridad de la

información;

c) monitorear y revisar el desempeño y la efectividad del SGSI; y

d) mejoramiento continúo en base a la medición del objetivo.

Este Estándar Internacional adopta el modelo del proceso Planear-Hacer-Chequear-Actuar

(PDCA), el cual se puede aplicar a todos los procesos

...