SEGURIDAD

REQUISITOS DE LA NORMA ISO/IEC 27001:2013

La Norma ISO/IEC 27001:2013 identifica los siguientes requisitos (ISO/IEC 27001, 2013) que deben cumplirse para establecer, implementar, operar, hacer seguimiento, revisar, mantener y mejorar un SGSI documentado dentro del contexto de los riesgos globales del negocio de la organización. Todos ellos son genéricos y están previstos para ser aplicados en cualquier tipo de organización, indiferente a su tamaño o actividad.

  1. REQUISITO GENERAL:
    1. La organización debe establecer, implementar, operar, hacer seguimiento, revisar, mantener y mejorar un SGSI documentado, en el contexto de las actividades globales del negocio de la organización y de los riesgos que enfrenta. Para los propósitos de esta norma, el proceso usado se basa en el modelo PHVA.
  2. ESTABLECIMIENTO Y GESTIÓN DEL SGSI:
    1. Definir el alcance y límites del SGSI.
    2. Definir una política de SGSI
    3. Definir el enfoque organizacional para la valoración del riesgo, con la metodología de valoración del riesgo más adecuada al SGSI y los criterios para la aceptación de riesgos
    4. Identificar los activos, las amenazas, las vulnerabilidades, y los impactos que la pérdida de confidencialidad, integridad y disponibilidad puede tener sobre estos activos
    5. Analizar y evaluar los riesgos
    6. Identificar y evaluar las opciones para el tratamiento de los riesgos
    7. Seleccionar los objetivos de control y los controles para el tratamiento de los riesgos
    8. Obtener la aprobación de la dirección sobre los riesgos residuales propuestos
    9. Obtener autorización de la dirección para implementar y operar el SGSI.
    10. Elaborar una declaración de aplicabilidad
  3. IMPLEMENTACIÓN Y OPERACIÓN DEL SGSI:
    1. Formular e implementar un plan para el tratamiento de riesgos
    2. Implementar los controles para el tratamiento de los riesgos
    3. Definir cómo medir la eficacia de los controles
    4. Implementar programas de formación y de toma de conciencia
    5. Gestionar la operación del SGSI
    6. Gestionar los recursos del SGSI
  4. SEGUIMIENTO Y REVISIÓN DEL SGSI:
    1. Ejecutar procedimientos de seguimiento y revisión y otros controles, que permitan detectar errores en los resultados del procesamiento, identificar los incidentes e intentos de violación a la seguridad y determinar si las acciones tomadas para solucionar un problema de violación a la seguridad fueron eficaces
    2. Emprender revisiones regulares de la eficacia del SGSI
    3. Medir la eficacia de los controles para verificar que se han cumplido los requisitos de seguridad.
    4. Revisar las valoraciones de los riesgos, y revisar el nivel de riesgo residual y riesgo aceptable identificado.
    5. Realizar auditorías internas del SGSI
    6. Emprender una revisión del SGSI
    7. Actualizar los planes de seguridad
    8. Registrar acciones y eventos que podrían tener impacto en la eficacia o el desempeño del SGSI
  5. MANTENIMIENTO Y MEJORA DEL SGSI:
    1. Implementar las mejoras identificadas en el SGSI
    2. Emprender las acciones correctivas y preventivas y aplicar lecciones aprendidas
    3. Comunicar las acciones y mejoras a todas las partes interesadas
    4. Asegurar que las mejoras logran los objetivos previstos
  6. REQUISITOS DE DOCUMENTACIÓN:
    1. La documentación del SGSI debe incluir:
      1. Declaraciones documentadas de la política y objetivos del SGSI
      2. El alcance del SGSI
  • Los procedimientos y controles que apoyan el SGSI
  1. Descripción de la metodología de valoración de riesgos
  2. Informe de valoración de riesgos
  3. Plan de tratamiento de riesgos
  • Los procedimientos documentados de sus procesos de seguridad de la información,
  • La declaración de aplicabilidad.