ISO/IEC 27003: 2017: ANEXO A: FRAMEWORK DE POLÍTICAS

El Anexo A proporciona orientación sobre la estructura de la documentación que incluye la política de seguridad de la información.

En general, una política es una declaración de intenciones y dirección de una organización tal como la expresa formalmente su alta dirección (ver ISO / IEC 27000: 2016, 2.84).

El contenido de una política guía las acciones y decisiones relativas a los temas de la política.

Una organización puede tener varias políticas; uno para cada una de las áreas de actividad que son importantes para la organización. Algunas políticas son independientes entre sí, mientras que otras políticas tienen una relación jerárquica.

Normalmente, una organización tiene una política general, p. Ej código de conducta, al más alto nivel de la jerarquía política. La política general está respaldada por otras políticas que abordan diferentes temas y puede ser aplicable a áreas o funciones específicas de la organización. La política de seguridad de la información es una de estas políticas específicas.

La política de seguridad de la información está respaldada por una variedad de políticas de temas específicos relacionados con aspectos de la seguridad de la información. Varios de estos se analizan en ISO / IEC 27002, por ejemplo, la política de seguridad de la información puede estar respaldada por políticas relacionadas con el control de acceso, clasificación (y manejo) de la información, seguridad física y ambiental, temas orientados al usuario final, entre otros. Se pueden agregar capas adicionales de políticas. Esta disposición se muestra en la Figura A.1. Tenga en cuenta que algunas organizaciones utilizan otros términos para los documentos de políticas de temas específicos, como “estándares”, “directivas” o “reglas”.

ISO / IEC 27001 requiere que las organizaciones tengan una política de seguridad de la información. Sin embargo, no especifica ninguna relación particular entre esta política y otras políticas de la organización.

El contenido de las políticas se basa en el contexto en el que opera una organización. Específicamente, se debe considerar lo siguiente al desarrollar cualquier política dentro del marco de políticas:

1. las finalidades y objetivos de la organización;

2. estrategias adoptadas para lograr los objetivos de la organización;

3. la estructura y los procesos adoptados por la organización;

4. metas y objetivos asociados con el tema de la política;

S. los requisitos de las políticas de nivel superior relacionadas; y

6. el grupo destinatario que será dirigido por la política. Esto se muestra en la Figura A.2.

Las políticas pueden tener la siguiente estructura:

a) Administrativo: título de la política, versión, fechas de publicación / validez, historial de cambios, propietario (s) y aprobador (es), clasificación, público objetivo, etc ;

b) Resumen de la política: una descripción general de una o dos frases. (Esto a veces se puede combinar con la introducción);

c) Introducción: una breve explicación del tema de la política;

d) Alcance: describe las partes o actividades de una organización que se ven afectadas por la política. Si es relevante, la cláusula de alcance enumera otras políticas que son respaldadas por la política;

e) Objetivos: describe la intención de la política;

f) Principios: describe las reglas relativas a acciones y decisiones para lograr los objetivos. En algunos casos, puede ser útil identificar los procesos clave asociados con el tema de la política y luego las reglas para operar los procesos;

g) Responsabilidades: describe quién es responsable de las acciones para cumplir con los requisitos de la política. En algunos casos, esto puede incluir una descripción de los arreglos organizativos, así como las responsabilidades y la autoridad de las personas con roles designados;

h) Resultados clave: describe los resultados comerciales si se cumplen los objetivos. En algunos casos, esto puede combinarse con los objetivos;

i) Políticas relacionadas: describe otras políticas relevantes para el logro de los objetivos, generalmente proporcionando detalles adicionales sobre temas específicos; y

j) Requisitos de la política: describe los requisitos detallados de la política.

El contenido de las políticas se puede organizar de diversas formas. Por ejemplo, las organizaciones que ponen énfasis en roles y responsabilidades pueden simplificar la descripción de objetivos y aplicar los principios específicamente a la descripción de responsabilidades.

Sponsored Post Sponsored Post Menu Más información Learn from the experts: Create a successful blog with our brand new courseThe WordPress.com Blog

WordPress.com is excited to announce our newest offering: a course just for beginning bloggers where you’ll learn everything you need to know about blogging from the most trusted experts in the industry. We have helped millions of blogs get up and running, we know what works, and we want you to to know everything we know. This course provides all the fundamental skills and inspiration you need to get your blog started, an interactive community forum, and content updated annually.

Register now

ISO/IEC 27003: 2017: 10 MEJORA: 10.2 MEJORA CONTINUA

Actividad

La organización mejora continuamente la idoneidad, adecuación y eficacia del SGSI.

Explicación

Las organizaciones y sus contextos nunca son estáticos. Además, los riesgos para los sistemas de información y las formas en que pueden verse comprometidos están evolucionando rápidamente. Finalmente, ningún SGSI es perfecto; siempre hay una manera de mejorarlo, incluso si la organización y su contexto no están cambiando.

Como ejemplo de mejoras no vinculadas con no conformidades o riesgos, la evaluación de un elemento del SGSI (en términos de idoneidad, adecuación y eficacia) puede mostrar que excede los requisitos del SGSI o carece de eficiencia. Si es así, entonces puede haber una oportunidad de mejorar el SGSI cambiando el elemento evaluado.

Un enfoque sistemático que utilice la mejora continua conducirá a un SGSI más eficaz, lo que mejorará la seguridad de la información de la organización. La gestión de la seguridad de la información lidera las actividades operativas de la organización para evitar ser demasiado reactivo, es decir, que la mayoría de los recursos se utilicen para encontrar problemas y abordarlos. El SGSI está trabajando sistemáticamente en la mejora continua para que la organización pueda tener un enfoque más proactivo. La alta dirección puede establecer objetivos para la mejora continua, p. Ej. a través de mediciones de efectividad, costo o madurez del proceso.

Como consecuencia, la organización trata su SGSI como una parte viva, evolutiva y de aprendizaje de las operaciones comerciales. Para que el SGSI se mantenga al día con los cambios, se evalúa periódicamente con respecto a su idoneidad para el propósito, efectividad y alineación con los objetivos de la organización. Nada debe darse por sentado. y nada debe considerarse “prohibido” simplemente porque era lo suficientemente bueno en el momento de su implementación.

Guía

La mejora continua del SGSI debe implicar que el SGSI en sí y todos sus elementos se evalúen considerando cuestiones internas y externas (4.1), los requisitos de las partes interesadas (4.2) y los resultados de la evaluación del desempeño (Cláusula 9). La evaluación debe incluir un análisis de:

a) idoneidad del SGSI, considerando si los problemas externos e internos, los requisitos de las partes interesadas, los objetivos de seguridad de la información establecidos y los riesgos de seguridad de la información identificados se abordan adecuadamente mediante la planificación e implementación del SGSI y los controles de seguridad de la información;

b) adecuación del SGSI, considerando si los procesos del SGSI y los controles de seguridad de la información son compatibles con los propósitos, actividades y procesos generales de la organización; y

e) efectividad del SGSI, considerando si se logran los resultados previstos del SGSI, se cumplen los requisitos de las partes interesadas, se gestionan los riesgos de seguridad de la información para cumplir con los objetivos de seguridad de la información, se gestionan las no conformidades, mientras que los recursos necesarios para el establecimiento, implementación, mantenimiento y mejora continua del SGSI son acordes con esos resultados.

La evaluación también puede incluir un análisis de la eficiencia del SGSI y sus elementos, considerando si su uso de los recursos es adecuado, si existe el riesgo de que la falta de eficiencia pueda conducir a la pérdida de efectividad o si existen oportunidades para incrementar eficiencia.

Las oportunidades de mejora también se pueden identificar al gestionar no conformidades y acciones correctivas.

Una vez identificadas las oportunidades de mejora, la organización debería, de acuerdo con 6.1.1:

d) evaluarlos para establecer si vale la pena seguirlos;

e) determinar los cambios en el SGSI y sus elementos para lograr la mejora;

f) planificar e implementar las acciones para abordar las oportunidades asegurando que los beneficios se obtengan y que no ocurran no conformidades; y

g) evaluar la efectividad de las acciones.

Estas acciones deben considerarse como un subconjunto de acciones para abordar los riesgos y oportunidades descritos en 6.1.1.

ISO/IEC 27003: 2017: 10 MEJORA: 10.1 NO CONFORMIDAD Y ACCIÓN CORRECTIVA

Actividad

La organización reacciona ante las no conformidades, las evalúa y toma correcciones, así como acciones correctivas si es necesario.

Explicación

Una no conformidad es el incumplimiento de un requisito del SGSI. Los requisitos son necesidades o expectativas que se establecen implícitas u obligatorias Existen varios tipos de no conformidades como:

a) incumplimiento de un requisito (total o parcialmente) de ISO / IEC 27001 en el SGSI;

b) no implementar correctamente o cumplir con un requisito, regla o control establecido por el SGSI; y

c) incumplimiento parcial o total de los requisitos legales, contractuales o acordados del cliente. Las no conformidades pueden ser, por ejemplo:

d) personas que no se comportan como se espera de los procedimientos y políticas;

e) proveedores que no proporcionan productos o servicios acordados;

f) proyectos que no producen los resultados esperados; y

g) controles que no funcionan según el diseño.

Las no conformidades pueden ser reconocidas por:

h) deficiencias de las actividades realizadas en el alcance del sistema de gestión;

i) controles ineficaces que no se remedian adecuadamente;

j) análisis de incidentes de seguridad de la información, mostrando el incumplimiento de un requisito del SGSI;

k) quejas de los clientes;

l) alertas de usuarios o proveedores;

m) resultados de seguimiento y medición que no cumplen los criterios de aceptación; y

n) objetivos no alcanzados.

Las correcciones tienen como objetivo abordar la no conformidad de inmediato y hacer frente a sus consecuencias (ISO / IEC 27001: 2013, 10.1 a)).

Las acciones correctivas tienen como objetivo eliminar la causa de una no conformidad y evitar que vuelva a ocurrir (ISO / IEC 27001: 2013, 10.1 b) hasta g)).

Tenga en cuenta que “según corresponda” (ISO / IEC 27001: 2013, 10.1a)) significa que si se puede tomar una acción para controlar y corregir una no conformidad, entonces debe tomarse.

Guía

Los incidentes de seguridad de la información no implican necesariamente que exista una no conformidad, pero pueden ser un indicador de una no conformidad. La auditoría interna y externa y las quejas de los clientes son otras fuentes importantes que ayudan a identificar las no conformidades.

La reacción a la falta de conformidad debe basarse en un proceso de manipulación definido. El proceso debe incluir:

• identificar el alcance y el impacto de la no conformidad;
• decidir sobre las correcciones para limitar el impacto de la no conformidad. Las correcciones pueden incluir el cambio a estados anteriores, a prueba de fallos u otros estados apropiados. Se debe tener cuidado de que las correcciones no empeoren la situación;
• comunicarse con el personal pertinente para garantizar que se lleven a cabo las correcciones; realizar las correcciones según lo decidido;
• supervisar la situación para garantizar que las correcciones hayan tenido el efecto deseado y no hayan producido efectos secundarios no deseados;
• actuar más para corregir la no conformidad si todavía no se remedia; y
• comunicarse con otras partes interesadas pertinentes, según corresponda.

Como resultado general, el proceso de manipulación debe conducir a un estado gestionado con respecto a la no conformidad y las consecuencias asociadas. Sin embargo, las correcciones por sí solas no necesariamente evitarán la repetición de la no conformidad.

Las acciones correctivas pueden ocurrir después o en paralelo con las correcciones. Se deben seguir los siguientes pasos del proceso:

1. decidir si es necesario realizar una acción correctiva, de acuerdo con los criterios establecidos (por ejemplo, impacto de la no conformidad, repetitividad);

2. revisión de la inconformidad, considerando:

• si se han registrado no conformidades similares;
• todas las consecuencias y efectos secundarios causados por la inconformidad; y
• las correcciones tomadas.

3. realizar un análisis de causa en profundidad de la no conformidad, considerando:

• qué salió mal, el desencadenante específico o la situación que llevó a la no conformidad (por ejemplo, errores determinados por personas, métodos, procesos o procedimientos, herramientas de hardware o software, mediciones incorrectas, entorno); y
• patrones y criterios que pueden ayudar a identificar situaciones similares en el futuro.

4. realizar un análisis de las posibles consecuencias en el SMS, considerando:

• si sus no conformidades similares existen en otras áreas, p. utilizando los patrones y criterios encontrados durante el análisis de la causa y
• si otras reas coinciden con los patrones o criterios identificados, de modo que es sólo cuestión de tiempo antes de que ocurra una no conformidad similar.

5. determinar las acciones necesarias para corregir la causa, evaluando si son proporcionales a las consecuencias y el impacto de la no conformidad, y verificando que no tengan efectos secundarios que puedan dar lugar a otras no conformidades o nuevos riesgos importantes para la seguridad de la información;

6. planificar las acciones correctivas, dando prioridad, si es posible, a las áreas donde hay mayor probabilidad de recurrencia y consecuencias más significativas de la no conformidad. La planificación debe incluir una persona responsable de una acción correctiva y una fecha límite para la implementación;

7. implementar las acciones correctivas de acuerdo con el plan; y

8. evaluar las acciones correctivas para determinar si realmente han manejado la causa de la no conformidad y si ha evitado que ocurran las no conformidades relacionadas. Esta evaluación debe ser imparcial, basada en pruebas y documentada. También debe comunicarse a los roles apropiados y las partes interesadas.

Como resultado de las correcciones y acciones correctivas, es posible que se identifiquen nuevas oportunidades de mejora. Estos deben tratarse en consecuencia (ver 10.2).

Se requiere que se retenga suficiente información documentada para demostrar que la organización ha actuado de manera apropiada para abordar la no conformidad y ha lidiado con las consecuencias relacionadas. Todos los pasos importantes de la gestión de no conformidades (a partir del descubrimiento y las correcciones) y, si se inicia, la gestión de acciones correctivas (análisis de causa, revisión, decisión sobre la implementación de acciones, revisión y decisiones de cambio tomadas para el SGSI) deben documentarse. También se requiere que la información documentada incluya evidencia que indique si las acciones tomadas han logrado los efectos previstos.

Algunas organizaciones mantienen registros para rastrear las no conformidades y las acciones correctivas. Puede haber más de un registro (por ejemplo, uno para cada área funcional o proceso) y en diferentes soportes (papel, archivo, aplicación, etc.). Si este es el caso, entonces deben establecerse y controlarse como información documentada y deben permitir una revisión integral de todas las no conformidades y acciones correctivas para asegurar la evaluación correcta de la necesidad de acciones.

Otra información

ISO / IEC 27001 no establece explícitamente ningún requisito de “acción preventiva”. Esto se debe a que uno de los propósitos clave de un sistema de gestión formal es actuar como herramienta preventiva. En consecuencia, el texto común utilizado en las normas del sistema de gestión ISO requiere una evaluación de los “problemas externos e internos de la organización que son relevantes para su propósito y que afectan su capacidad para lograr los resultados esperados” en 4.1 y para “determinar los riesgos y oportunidades que deben abordarse para: asegurar que el SGSI pueda lograr los resultados previstos, prevenir o reducir los efectos no deseados y lograr una mejora continua “en 6.1. Se considera que estos dos conjuntos de requisitos cubren el concepto de “acción preventiva” y también para tener una visión más amplia que considere los riesgos y las oportunidades.

ISO/IEC 27003: 2017: 9 EVALUACIÓN DEL DESEMPEÑO: 9.3 REVISIÓN POR LA DIRECCIÓN

Actividad

La alta dirección revisa el SGSI a intervalos planificados.

Explicación

El propósito de la revisión por la dirección es asegurar la conveniencia, adecuación y efectividad continuas del SGSI. La idoneidad se refiere a continuar alineado con los objetivos de la organización. La idoneidad y la eficacia se refieren a un diseño adecuado y a la integración organizativa del SGSI, así como a la implementación eficaz de los procesos y controles impulsados ​​por el SGSI.

En general, la revisión por la dirección es un proceso que se lleva a cabo en varios niveles de la organización. Estas actividades pueden variar desde reuniones de unidades organizativas diarias, semanales o mensuales hasta simples discusiones de informes. La alta dirección es en última instancia responsable de la revisión por la dirección, con aportaciones de todos los niveles de la organización.

Guía

La alta dirección debería exigir y revisar periódicamente la presentación de informes sobre el desempeño del SGSI.

Hay muchas formas en que la gerencia puede revisar el SGSI, como recibir y revisar mediciones e informes, comunicaciones electrónicas, actualizaciones verbales. Las entradas clave son los resultados de las medidas de seguridad de la información descritas en 9.1 y los resultados de las auditorías internas descritas en 9.2 y los resultados de la evaluación de riesgos y el estado del plan de tratamiento de riesgos. Al revisar los resultados de la evaluación de riesgos de seguridad de la información y el estado del plan de tratamiento de riesgos de seguridad de la información. La gerencia debe confirmar que los riesgos residuales cumplen con los criterios de aceptación de riesgos y que el plan de tratamiento de riesgos agrega todos los riesgos relevantes y sus opciones de tratamiento de riesgos.

Todos los aspectos del SGSI deben ser revisados por la gerencia a intervalos planificados, al menos una vez al año, mediante el establecimiento de horarios y puntos de agenda adecuados en las reuniones de gestión. Los SGSI nuevos o menos maduros deben ser revisados con mayor frecuencia por la dirección para impulsar una mayor eficacia.

La agenda de la revisión por la dirección debería abordar los siguientes temas:

a) estado de las acciones de las revisiones por la dirección anteriores;

b) cambios en asuntos externos e internos (ver 4.1) que son relevantes para el SGSI;

c) retroalimentación sobre el desempeño de la seguridad de la información, incluidas las tendencias, en:

1) no conformidades y acciones correctivas;

2) resultados de seguimiento y medición;

3) resultados de la auditoría; y

4) cumplimiento de los objetivos de seguridad de la información.

d) comentarios de las partes interesadas, incluidas sugerencias de mejora, solicitudes de cambio y quejas;

e) resultados de la (s) evaluación (es) de riesgos de seguridad de la información y estado del plan de tratamiento de riesgos de seguridad de la información; y

f) oportunidades de mejora continua, incluidas las mejoras de eficiencia tanto del SGSI como de los controles de seguridad de la información.

Los aportes a la revisión por la dirección deben estar en el nivel de detalle apropiado, de acuerdo con los objetivos establecidos para la dirección involucrada en la revisión. Por ejemplo, la alta dirección debería evaluar solo un resumen de todos los elementos, de acuerdo con los objetivos de seguridad de la información o los objetivos de alto nivel.

Los resultados del proceso de revisión por la dirección deben incluir decisiones relacionadas con oportunidades de mejora continua y cualquier necesidad de cambios en el SGSI. También pueden incluir evidencia de decisiones con respecto a:

g) cambios en la política y los objetivos de seguridad de la información, p. ej impulsado por cambios en cuestiones y requisitos externos e internos de las partes interesadas;

h) cambios en los criterios de aceptación de riesgos y los criterios para realizar evaluaciones de riesgos de seguridad de la información (ver 6.1.2);

i) acciones, si es necesario, después de la evaluación del desempeño de seguridad de la información;

j) cambios de recursos o presupuesto para el SGSI;

k) plan de tratamiento de riesgos de seguridad de la información actualizado o declaración de aplicabilidad; y

l) las mejoras necesarias de las actividades de seguimiento y medición.

Se requiere información documentada de las revisiones por la dirección. Debe conservarse para demostrar que se ha tenido en cuenta (al menos) todas las áreas enumeradas en ISO / IEC 27001, incluso cuando se decide que no es necesaria ninguna acción.

Cuando se realizan varias revisiones por la dirección en diferentes niveles de la organización, deben vincularse entre sí de manera adecuada.

ISO/IEC 27003: 2017: 9 EVALUACIÓN DEL DESEMPEÑO: 9.2 AUDITORÍA INTERNA

Actividad

La organización realiza auditorías internas para proporcionar información sobre la conformidad del SGSI con los requisitos.

Explicación

La evaluación de un SGSI a intervalos planificados por medio de auditorías internas proporciona garantía del estado del SGSI a la alta dirección. La auditoría se caracteriza por una serie de principios: integridad; presentación justa; debido cuidado profesional; confidencialidad; independencia; y enfoque basado en evidencia (ver ISO 19011).

Las auditorías internas proporcionan información sobre si el SGSI se ajusta a los propios requisitos de la organización para su SGSI, así como a los requisitos de ISO / IEC 27001. Los propios requisitos de la organización incluyen:

a) requisitos establecidos en la política y los procedimientos de seguridad de la información;

b) requisitos producidos por el marco para establecer objetivos de seguridad de la información, incluidos los resultados del proceso de tratamiento de riesgos;

e) requisitos legales y contractuales; y

d) requisitos sobre la información documentada.

Los auditores también evalúan si el SGSI se implementa y mantiene de manera efectiva.

Un programa de auditoría describe el marco general para un conjunto de auditorías, planificadas para períodos de tiempo específicos y dirigidas a propósitos específicos. Esto es diferente de un plan de auditoría, que describe las actividades y arreglos para una auditoría específica. Los criterios de auditoría son un conjunto de políticas, procedimientos o requisitos que se utilizan como referencia con los que se compara la evidencia de auditoría, es decir, los criterios de auditoría describen lo que el auditor espera que exista.

Una auditoría interna puede identificar no conformidades, riesgos y oportunidades. Las no conformidades se “casan” de acuerdo con los requisitos de 10.1. Los riesgos y oportunidades se gestionan de acuerdo con los requisitos de 4.1 y 6.1.

Se requiere que la organización retenga información documentada sobre los programas de auditoría y los resultados de la auditoría.

Guía

Gestionar un programa de auditoría

Un programa de auditoría define la estructura y las responsabilidades para planificar, realizar, informar y dar seguimiento a las actividades de auditoría individuales. Como tal, debe garantizar que las auditorías realizadas sean apropiadas, tengan el alcance correcto, minimicen el impacto en las operaciones de la organización y mantengan la calidad necesaria de las auditorías. Un programa de auditoría también debe garantizar la competencia de los equipos de auditoría, el mantenimiento adecuado de los registros de auditoría y el seguimiento y revisión de las operaciones, los riesgos y la eficacia de las auditorías. Además, un programa de auditoría debe garantizar que el SGSI (es decir, todos los procesos, funciones y controles relevantes) se audite dentro de un plazo específico. Finalmente, un programa de auditoría debe incluir información documentada sobre los tipos, la duración, las ubicaciones y el cronograma de las auditorías.

El alcance y la frecuencia de las auditorías internas deben basarse en el tamaño y la naturaleza de la organización, así como en la naturaleza, funcionalidad, complejidad y nivel de madurez del SGSI (auditoría basada en riesgos).

La eficacia de los controles implementados debe examinarse dentro del alcance de las auditorías internas.

Se debe diseñar un programa de auditoría para asegurar la cobertura de todos los controles necesarios y debe incluir una evaluación de la efectividad de los controles seleccionados a lo largo del tiempo. Los controles clave (de acuerdo con el programa de auditoría) deben incluirse en cada auditoría, mientras que los controles implementados para gestionar riesgos menores pueden auditarse con menos frecuencia.

El programa de auditoría también debería considerar que los procesos y controles deberían haber estado en funcionamiento durante algún tiempo para permitir la evaluación de la evidencia adecuada.

Las auditorías internas relativas a un SGSI se pueden realizar de forma eficaz como parte de otras auditorías internas de la organización o en colaboración con ellas. El programa de auditoría puede incluir auditorías relacionadas con una o más normas del sistema de gestión, realizadas por separado o en combinación.

Un programa de auditoría debe incluir información documentada sobre: ​​criterios de auditoría, métodos de auditoría, selección de equipos de auditoría, procesos para manejar la confidencialidad, seguridad de la información, disposiciones de salud y seguridad para los auditores y otros asuntos similares.

Competencia y evaluación de auditores

Con respecto a la competencia y evaluación de los auditores, la organización debería:

e) identificar los requisitos de competencia para sus auditores;

f) seleccionar auditores internos o externos con la competencia apropiada;

g) contar con un proceso para monitorear el desempeño de los auditores y los equipos de auditoría; y

h) incluir personal en los equipos de auditoría interna que tenga el conocimiento apropiado específico del sector y de seguridad de la información.

Los auditores deben ser seleccionados considerando que deben ser competentes, independientes y adecuadamente capacitados.

La selección de auditores internos puede resultar difícil para las empresas más pequeñas. Si los recursos y la competencia necesarios no están disponibles internamente, se deben nombrar auditores externos. Cuando las organizaciones utilizan auditores externos, deben asegurarse de haber adquirido suficiente conocimiento sobre el contexto de la organización. Esta información debe ser proporcionada por personal interno.

Las organizaciones deben considerar que los empleados internos que actúan como auditores internos pueden realizar auditorías detalladas considerando el contexto de la organización, pero es posible que no tengan suficiente conocimiento sobre cómo realizar auditorías.

Las organizaciones deben reconocer las características y las posibles deficiencias de los auditores internos frente a los externos y establecer equipos de auditoría adecuados con el conocimiento y la competencia necesarios.

Realización de la auditoría

Al realizar la auditoría, el líder del equipo de auditoría debe preparar un plan de auditoría considerando los resultados de auditorías anteriores y la necesidad de dar seguimiento a las no conformidades y los riesgos inaceptables informados anteriormente. El plan de auditoría debe conservarse como información documentada y debe incluir criterios, alcance y métodos de la auditoría.

El equipo de auditoría debe revisar:

• cumplimiento de los objetivos de seguridad de la información;
• cumplimiento de los requisitos definidos en ISO / IEC 27001: 2013, Cláusulas 4 a 10;
• cumplimiento de los requisitos de seguridad de la información de la propia organización;
• coherencia de la Declaración de aplicabilidad con el resultado del proceso de tratamiento de riesgos de seguridad de la información;
• coherencia del plan de tratamiento de riesgos de seguridad de la información real con los riesgos evaluados identificados y los criterios de aceptación de riesgos;
• relevancia (considerando el tamaño y la complejidad de la organización) de las entradas y salidas de la revisión por la dirección; y
• impactos de los resultados de la revisión por la dirección (incluidas las necesidades de mejora) en la organización.

El alcance y la confiabilidad del monitoreo disponible sobre la efectividad de los controles según lo producido por el SGSI (ver 9.1) puede permitir a los auditores reducir sus propios esfuerzos de evaluación, siempre que hayan confirmado la efectividad de los métodos de medición.

Si el resultado de la auditoría incluye no conformidades, el auditado debe preparar un plan de acción para cada no conformidad que se acordará con el líder del equipo de auditoría. Un plan de acción de seguimiento generalmente incluye:

i) descripción de la no conformidad detectada;

j) descripción de la (s) causa (s) de la no conformidad;

k) descripción de la corrección a corto plazo y la acción correctiva a largo plazo para eliminar una no conformidad detectada dentro de un plazo definido; y

l) las personas responsables de la ejecución del plan.

Los informes de auditoría, con los resultados de la auditoría, deben distribuirse a la alta dirección.

Los resultados de las auditorías anteriores deben revisarse y el programa de auditoría debe ajustarse para gestionar mejor las áreas que experimentan mayores riesgos debido a la no conformidad.

Otra información

Se puede encontrar más información en ISO 19011, que proporciona una guía general sobre la auditoría de sistemas de gestión, incluidos los principios de auditoría, la gestión de un programa de auditoría y la realización de auditorías de sistemas de gestión. También proporciona orientación sobre la evaluación de la competencia de personas o grupos de personas involucradas en la auditoría, incluida la persona que gestiona el programa de auditoría, los auditores y los equipos de auditoría.

Además, además de la orientación contenida en ISO 19011, se puede encontrar más información en:

a) ISO / IEC 27007, que proporciona orientación específica sobre la gestión de un programa de auditoría del SGSI, sobre la realización de las auditorías y sobre la competencia de los auditores del SGSI; y

b) ISO / I EC 27008, que proporciona orientación sobre la evaluación de los controles de seguridad de la información.

ISO/IEC 27003: 2017: 9 EVALUACIÓN DEL DESEMPEÑO: 9.1 SEGUIMIENTO, MEDICIÓN, ANÁLISIS Y EVALUACIÓN

Actividad

La organización evalúa el desempeño de la seguridad de la información y la efectividad del SGSI.

Explicación

El objetivo del monitoreo y la medición es ayudar a la organización a juzgar si el resultado esperado de las actividades de seguridad de la información, incluida la evaluación y el tratamiento de riesgos, se logra según lo planeado.

El seguimiento determina el estado de un sistema, un proceso o una actividad, mientras que la medición es un proceso para determinar un valor. Por tanto, el seguimiento se puede lograr mediante una sucesión de mediciones similares durante un período de tiempo.

Para el seguimiento y medición, la organización establece:

a) qué monitorear y medir;

b) quién monitorea y mide, y cuándo; y

c) métodos que se utilizarán para producir resultados válidos (es decir, comparables y reproducibles). Para análisis y evaluación, la organización establece:

d) quién analiza y evalúa los resultados del seguimiento y la medición, y cuándo; y

e) métodos que se utilizarán para producir resultados válidos. Hay dos aspectos de la evaluación:

f) evaluar el desempeño de la seguridad de la información, para determinar si la organización está funcionando como se esperaba, lo que incluye determinar qué tan bien los procesos dentro del SGSI cumplen con sus especificaciones; y

g) evaluar la efectividad del SGSI, para determinar si la organización está haciendo lo correcto o no, lo que incluye determinar hasta qué punto se logran los objetivos de seguridad de la información.

Tenga en cuenta que “según corresponda” (ISO / IEC 27001: 2013. 9.1, b)) significa que, si se pueden determinar los métodos de seguimiento, medición, análisis y evaluación, es necesario determinarlos.

Guía

Una buena práctica es definir la ‘necesidad de información’ al planificar el seguimiento, la medición, el análisis y la evaluación. Una necesidad de información generalmente se expresa como una pregunta o declaración de seguridad de la información de alto nivel que ayuda a la organización a evaluar el desempeño de la seguridad de la información y la efectividad del SGSI. En otras palabras, el seguimiento y la medición deben realizarse para lograr una necesidad de información definida.

Se debe tener cuidado al determinar los atributos que se van a medir. Es impracticable, costoso y contraproducente medir demasiados atributos incorrectos. Además de los costos de medir, analizar y evaluar numerosos atributos, existe la posibilidad de que los problemas clave se oculten o se pasen por alto por completo.

Hay dos tipos genéricos de medidas:

h) mediciones de desempeño, que expresan los resultados planificados en términos de las características de la actividad planificada, como el número de personas, el logro de hitos o el grado en que se implementan los controles de seguridad de la información; y

i) medidas de eficacia, que expresan el efecto que tiene la realización de las actividades planificadas sobre los objetivos de seguridad de la información de la organización.

Puede ser apropiado identificar y asignar roles distintivos a quienes participan en el monitoreo, medición, análisis y evaluación. Esos roles pueden ser cliente de medición, planificador de medición, revisor de medición, propietario de la información, recolector de información, analista de información y comunicador de información de entrada o salida de evaluación (ver ISO / IEC 27004: 2016 6.5).

Las responsabilidades de seguimiento y medición y las de análisis y evaluación se asignan a menudo a personas distintas para las que se requiere una competencia diferente.

Otra información

El seguimiento, la medición, el análisis y la evaluación son fundamentales para el éxito de un SGSI eficaz. Hay una serie de cláusulas en ISO / IEC 27001 que exigen explícitamente la determinación de la eficacia de algunas actividades. Por ejemplo, ISO / IEC 27001: 2013, 6.1.1 e), 7.2 c) o 10.1 d).

Se puede encontrar más información en ISO / I EC 27004, que proporciona orientación sobre el cumplimiento de los requisitos de ISO / lEC 27001: 2013, 9.1. En particular, amplía todos los conceptos mencionados anteriormente, como roles y responsabilidades, y formas, y ofrece numerosos ejemplos.

ISO/IEC 27003: 2017: 8. OPERACIÓN: 8.3 TRATAMIENTO DEL RIESGO DE SEGURIDAD DE LA INFORMACIÓN

Actividad

La organización implementa el plan de tratamiento de riesgos de seguridad de la información y retiene información documentada sobre los resultados del tratamiento de seguridad de la información.

Explicación

Para tratar los riesgos de seguridad de la información, la organización necesita llevar a cabo el proceso de tratamiento de riesgos de seguridad de la información definido en 6.1.3. Durante el funcionamiento del SGSI, siempre que la evaluación de riesgos se actualiza de acuerdo con 8.2, la organización aplica el tratamiento de riesgos de acuerdo con 6.1.3 y actualiza el plan de tratamiento de riesgos. Se vuelve a implementar el plan de tratamiento de riesgos actualizado.

Los resultados del tratamiento del riesgo de seguridad de la información se conservan en la información documentada como evidencia de que el proceso en 6.1.3 se ha realizado según lo definido.

Guía

El proceso de tratamiento de riesgos de seguridad de la información debe realizarse después de cada iteración del proceso de evaluación de seguridad de la información en 8.2 o cuando falla la implementación del plan de tratamiento de riesgos o partes del mismo.

El progreso de la implementación del plan de tratamiento de riesgos de seguridad de la información debe ser impulsado y monitoreado por esta actividad.

ISO/IEC 27003: 2017: 8. OPERACIÓN: 8.2 EVALUACIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN

Actividad

La organización realiza evaluaciones de riesgos de seguridad de la información y conserva información documentada sobre sus resultados.

Explicación

Al realizar evaluaciones de riesgos de seguridad de la información, la organización ejecuta el proceso definido en 6.1.2. Estas evaluaciones se ejecutan de acuerdo con un cronograma definido de antemano o en respuesta a cambios significativos o incidentes de seguridad de la información. Los resultados de las evaluaciones de riesgos de seguridad de la información se conservan en la información documentada como evidencia de que el proceso en 6.1.2 se ha realizado según lo definido.

La información documentada de las evaluaciones de riesgos de seguridad de la información es esencial para el tratamiento de riesgos de seguridad de la información y es valiosa para la evaluación del desempeño (consulte la Cláusula 9).

Guía

Las organizaciones deben tener un plan para realizar evaluaciones de riesgos de seguridad de la información programadas.

Cuando ha ocurrido cualquier cambio significativo del SGSI (o su contexto) o incidentes de seguridad de la información, la organización debe determinar:

a) cuáles de estos cambios o incidentes requieren una evaluación adicional de riesgos de seguridad de la información; y

b) cómo se activan estas evaluaciones.

El nivel de detalle de la identificación de riesgos debe refinarse paso a paso en iteraciones posteriores de la evaluación de riesgos de seguridad de la información en el contexto de la mejora continua del SGSI. Se debe realizar una amplia evaluación de riesgos de seguridad de la información al menos una vez al año.

ISO/IEC 27003: 2017: 8. OPERACIÓN: 8.1 PLANIFICACIÓN Y CONTROL OPERATIVO

Actividad

La organización planifica, implementa y controla los procesos para cumplir con sus requisitos de seguridad de la información y para lograr sus objetivos de seguridad de la información.

La organización mantiene la información documentada necesaria para tener la confianza de que los procesos se llevan a cabo según lo planeado.

La organización controla los cambios planificados y revisa las consecuencias de los cambios no deseados, y asegura que los procesos subcontratados se identifiquen, definan y controlen.

Explicación

Los procesos que utiliza una organización para cumplir con sus requisitos de seguridad de la información se planifican y, una vez implementados, se controlan, especialmente cuando se requieren cambios.

Sobre la base de la planificación del SGSI (ver 6.1 y 6.2), la organización realiza la planificación operativa y las actividades necesarias para implementar los procesos necesarios para cumplir con los requisitos de seguridad de la información.

Los procesos para cumplir con los requisitos de seguridad de la información incluyen:

a) Procesos del SGSI (por ejemplo, revisión por la dirección, auditoría interna); y

b) procesos necesarios para implementar el plan de tratamiento de riesgos de seguridad de la información.

La implementación de planes da como resultado procesos operados y controlados.

En última instancia, la organización sigue siendo responsable de planificar y controlar cualquier proceso subcontratado con el fin de lograr sus objetivos de seguridad de la información. Por lo tanto, la organización debe:

c) determinar los procesos subcontratados considerando los riesgos de seguridad de la información relacionados con la subcontratación; y

d) asegurar que los procesos subcontratados estén controlados (es decir, planificados, monitoreados y revisados) de una manera que brinde seguridad de que operan según lo previsto (también considerando los objetivos de seguridad de la información y el plan de tratamiento de riesgos de seguridad de la información).

Una vez completada la implementación, los procesos se gestionan, monitorean y revisan para asegurar que continúen cumpliendo con los requisitos determinados después de comprender las necesidades y expectativas de las partes interesadas (ver 4.2).

Los cambios del SGSI en funcionamiento pueden planificarse o pueden producirse de forma involuntaria. Siempre que la organización realiza cambios en el SGSI (como resultado de la planificación o de forma no intencionada), evalúa las posibles consecuencias de los cambios para controlar los efectos adversos.

La organización puede obtener confianza sobre la efectividad de la implementación de los planes al documentar las actividades y utilizar información documentada como entrada para los procesos de evaluación del desempeño especificados en la Cláusula 9. La organización, por lo tanto, establece la información documentada requerida para mantener.

Guía

Los procesos que se han definido como resultado de la planificación descrita en la Cláusula 6 deben implementarse, operarse y verificarse en toda la organización. Se debe considerar e implementar lo siguiente:

e) procesos que son específicos para la gestión de la seguridad de la información (tales como gestión de riesgos, gestión de incidentes, gestión de continuidad, auditorías internas, revisiones por la dirección);

f) procesos que emanan de los controles de seguridad de la información en el plan de tratamiento de riesgos de seguridad de la información;

g) estructuras de reporte (contenidos, frecuencia, formato, responsabilidades, etc.) dentro del área de seguridad de la información, por ejemplo reportes incidentes, reportes de medición del cumplimiento de los objetivos de seguridad de la información, reportes de actividades realizadas; y

h) estructuras de reuniones (frecuencia, participantes, finalidad y autorización) dentro del área de seguridad de la información. Las actividades de seguridad de la información deben ser coordinadas por representantes de diferentes partes de la organización con roles y funciones laborales relevantes para la gestión eficaz del área de seguridad de la información.

Para los cambios planificados, la organización debería:

i) planificar su implementación y asignar tareas, responsabilidades, plazos y recursos;

j) implementar cambios de acuerdo con el plan;

k) monitorear su implementación para confirmar que se implementan de acuerdo con el plan; y

l) recopilar y conservar información documentada sobre la ejecución de los cambios como evidencia de que se han llevado a cabo según lo planificado (por ejemplo, con responsabilidades, plazos, evaluaciones de eficacia).

Para cambios no intencionales observados, la organización debería:

m) revisar sus consecuencias;

n) determinar si ya se han producido efectos adversos o si pueden ocurrir en el futuro;

o) planificar e implementar acciones para mitigar cualquier efecto adverso según sea necesario; y

p) recopilar y retener información documentada sobre cambios no intencionales y acciones tomadas para mitigar los efectos adversos.

Si parte de las funciones o procesos de la organización se subcontratan a proveedores, la organización debería:

q) determinar todas las relaciones de subcontratación;

r) establecer interfaces apropiadas con los proveedores;

s) abordar cuestiones relacionadas con la seguridad de la información en los acuerdos con proveedores;

t) monitorear y revisar los servicios del proveedor para asegurarse de que se operan según lo previsto y que los riesgos de seguridad de la información asociados cumplen con los criterios de aceptación de riesgos de la organización; y

u) gestionar los cambios en los servicios del proveedor según sea necesario.

ISO/IEC 27003: 2017: 7. SOPORTE: 7.5 INFORMACIÓN DOCUMENTADA

7.5.1 General

Actividad

La organización incluye información documentada en el SGSI según lo requiera directamente ISO / IEC 27001, así como también lo determine la organización como necesaria para la eficacia del SGSI.

Explicación

La información documentada es necesaria para definir y comunicar los objetivos, políticas, directrices, instrucciones, controles, procesos, procedimientos de seguridad de la información y qué personas o grupos de personas se espera que hagan y cómo se espera que se comporten. También se necesita información documentada para las auditorías del SGSI y para mantener un SGSI estable cuando cambian las personas en roles clave. Además, se necesita información documentada para registrar acciones, decisiones y resultados de los procesos del SGSI y los controles de seguridad de la información.

La información documentada puede contener:

• información sobre objetivos, riesgos, requisitos y normas de seguridad de la información;
• información sobre procesos y procedimientos a seguir; y
• registros de los insumos (por ejemplo, para las revisiones de la dirección) y los resultados de los procesos (incluidos los planes y los resultados de las actividades operativas).

Hay muchas actividades dentro del SGSI que producen información documentada que se utiliza, la mayoría de las veces, como entrada para otra actividad.

ISO / IEC 27001 requiere un conjunto de información documentada obligatoria y contiene un requisito general de que se requiere información documentada adicional si es necesario para la efectividad del SGSI.

La cantidad de información documentada necesaria a menudo está relacionada con el tamaño de la organización.

En total, la información documentada obligatoria y adicional contiene información suficiente para permitir que se lleven a cabo los requisitos de evaluación del desempeño especificados en la Cláusula 9.

Guía

La organización debería determinar qué información documentada es necesaria para asegurar la eficacia de su SGSI, además de la información documentada obligatoria requerida por ISO / IEC 27001.

La información documentada debe estar ahí para ajustarse al propósito. Lo que se necesita es información fáctica y “al grano”.

Ejemplos de información documentada que la organización puede determinar cómo necesaria para asegurar la efectividad de su SGSI son:

• los resultados del establecimiento del contexto (ver Cláusula 4);
• los roles, responsabilidades y autoridades (ver Cláusula 5); “
• informes de las diferentes fases de la gestión de riesgos (ver Cláusula 6);
• recursos determinados y proporcionados (ver 7.1);
• la competencia esperada (ver 7.2);
• planes y resultados de las actividades de sensibilización (ver 7.3);
• planes y resultados de las actividades de comunicación (ver 7.4);
• información documentada de origen externo que es necesaria para el SGSI (ver 7.5.3);
• proceso para controlar la información documentada (ver 7.5.3);
• políticas, reglas y directivas para dirigir y operar actividades de seguridad de la información;
• procesos y procedimientos utilizados para implementar, mantener y mejorar el SGSI y el estado general de seguridad de la información (ver Cláusula 9);
• plan de acción; y
• evidencia de los resultados de los procesos del SGSI (por ejemplo, gestión de incidentes, control de acceso, continuidad de la seguridad de la información, mantenimiento de equipos, etc.).

La información documentada puede ser de origen interno o externo.

7.5.2 Creación y actualización

Actividad

Al crear y actualizar la información documentada, la organización asegura su adecuada identificación y descripción, formato y medios, y revisión y aprobación.

Explicación

La organización identifica en detalle cómo se estructura mejor la información documentada y define un enfoque de documentación adecuado.

La revisión y aprobación por parte de la gerencia apropiada asegura que la información documentada sea correcta, adecuada para el propósito y en una forma y detalle adecuados para la audiencia prevista. Las revisiones periódicas aseguran la idoneidad y adecuación continuas de la información documentada.

Guía

La información documentada se puede conservar de cualquier forma, p. Ej documentos tradicionales (tanto en papel como en formato electrónico), páginas web, bases de datos, registros informáticos, informes generados por ordenador, audio y vídeo. Además, la información documentada puede consistir en especificaciones de intención (por ejemplo, la política de seguridad de la información) o registros de desempeño (por ejemplo, los resultados de una auditoría) o una combinación de ambos. La siguiente guía se aplica directamente a los documentos tradicionales y debe interpretarse de manera apropiada cuando se aplica a otras formas de información documentada.

Las organizaciones deben crear una biblioteca estructurada de información documentada, que vincule diferentes partes de la información documentada mediante:

a) determinar la estructura del marco de información documentado;

b) determinar la estructura estándar de la información documentada;

e) proporcionar plantillas para diferentes tipos de información documentada;

d) determinar las responsabilidades para preparar, aprobar, publicar y gestionar la información documentada; y

e) determinar y documentar el proceso de revisión y aprobación para asegurar la idoneidad y adecuación continuas.

Las organizaciones deben definir un enfoque de documentación que incluya atributos comunes de cada documento, que permitan una identificación clara y única. Estos atributos generalmente incluyen el tipo de documento (p. Ej., Política, directiva, regla, directriz, plan, formulario, proceso o procedimiento), el propósito y el alcance, el título, la fecha de publicación, la clasificación, el número de referencia, el número de versión y un historial de revisión. Se debe incluir la identificación del autor y la (s) persona (s) actualmente responsables del documento, su aplicación y evolución, así como el (los) aprobador (es) o autoridad de aprobación.

Los requisitos de formato pueden incluir la definición de lenguajes de documentación adecuados, formatos de archivo, versión de software para trabajar con ellos y contenido gráfico. Los requisitos de los medios definen en qué medios físicos y electrónicos debe estar disponible la información.

Las declaraciones y el estilo de redacción deben adaptarse a la audiencia y al alcance de la documentación.

Se debe evitar la duplicación de información en la información documentada y se deben usar referencias cruzadas en lugar de replicar la misma información en diferentes documentos.

El enfoque de la documentación debe garantizar la revisión oportuna de la información documentada y que todos los cambios en la documentación estén sujetos a aprobación. Los criterios de revisión adecuados pueden estar relacionados con el tiempo (por ejemplo, períodos de tiempo máximos entre revisiones de documentos) o relacionados con el contenido. Deben definirse los criterios de aprobación, que aseguren que la información documentada sea correcta, adecuada para el propósito y en forma y detalle adecuados para la audiencia destinataria.

7.5.3 Control de la información documentada

Actividad

La organización gestiona la información documentada a lo largo de su ciclo de vida y la pone a disposición donde y cuando sea necesario.

Explicación

Una vez aprobada, la información documentada se comunica a su público objetivo. La información documentada está disponible donde y cuando se necesita, mientras se preserva su integridad, confidencialidad y relevancia durante todo el ciclo de vida.

Tenga en cuenta que las actividades descritas “según corresponda” en ISO / IEC 27001: 2013, 7.5.3 deben realizarse si se pueden realizar y son útiles, considerando las necesidades y expectativas de la organización.

Guía

Se puede utilizar una biblioteca de información documentada estructurada para facilitar el acceso a la información documentada.

Toda la información documentada debe clasificarse (ver ISO / IEC 27001: 2013, A.8.2.1) de acuerdo con el esquema de clasificación de la organización. La información documentada debe protegerse y manejarse de acuerdo con su nivel de clasificación (ver ISO / IEC 27001: 2013, A.8.2.3).

Un proceso de gestión de cambios para la información actualizada debe garantizar que solo las personas autorizadas tengan derecho a modificarla y distribuirla según sea necesario a través de medios adecuados y predefinidos. Los documentos documentados en la nación deben protegerse para garantizar que mantengan su validez y autenticidad.

La información documentada debe distribuirse y ponerse a disposición de las partes interesadas autorizadas. Para ello, la organización debe establecer quiénes son las partes interesadas relevantes para cada información documentada (o grupos de información documentada) y los medios a utilizar para la distribución, acceso, recuperación y uso (por ejemplo, un sitio web con mecanismos de control de acceso adecuados). La distribución debe cumplir con todos los requisitos relacionados con la protección y el manejo de información clasificada.

La organización debería establecer el período de retención apropiado para la información documentada de acuerdo con su validez prevista y otros requisitos relevantes. La organización debe asegurarse de que la información sea legible durante su período de retención (por ejemplo, utilizando formatos que puedan ser leídos por el software disponible o verificando que el papel no esté dañado).

La organización debería establecer qué hacer con la información documentada después de que haya expirado su período de retención.

La organización también debe gestionar información documentada de origen externo (es decir, de clientes, socios, proveedores, organismos reguladores, etc.).

La información documentada sobre esta actividad y su resultado es obligatoria solo en la forma y en la medida en que la organización determine como necesaria para la eficacia de su sistema de gestión (ver ISO / IEC 27001: 2013, 7.5.1b)).