NMX I 27001 Nyce 2009

NYCE
NORMALIZACION YCERTIFICACION
ELECTRClNICA, A.C.
NORMAMEXICANA
NMX-I-27001-NYCE-2009
TECNOLOGiA DE LA INFORMACION - TECNICAS DE SEGURIDAD -
SISTEMAS DE GESTION DE LA SEGURIDAD INFORMACION -
REQUISITOS
INFORMATION TECHNOLOGY - SECURITYTECHNIQUES - INFORMATION SECURITY
MANAGErvlENT SYSTEMS - REQUIREMENTS
NORMALIZACION YCERTIFICACION
ELECTRONICA, A.C.
NORMAMEXICANA
NMX-I-27001-NYCE-2009
TECNOLOGIA DE LA INFORMACION - TECNICAS DE SEGURIDAD -
REQUISITOS
MANAGEMENTSYSTEMS - REQUIREMENTS
.. PROHIBIDA LA COPIA, REPRODUCCION PARCIAL 0 TOTAL DE ESTA NORMA MEXICANA SIN LA AUTORIZACION DE NYCE, A.C.
NMX-I-27001-NYCE-2009
PREFACIO
1. Esta Norma Mexicana fue elaborada en el sene del Comite Tecnico de
Normalizacion Nacional de Tecnologias de la Informacion de NYCE y aprobada
por las siguientes Instituciones y Empresas:
CAMARA NACIONAL DE LA INDUSTRIA ELECTRONICA, DE TELECOMUNICACIONES Y
TECNOLOGIAS DE LA INFORMACION.
INTESYC/CANIETI.
BANAMEX.
Por otra parte, tambien fue aprobada par las Ir'lstituciones y Empresas que a
continuacion se seiialan y que conforman el ConsejoDirectivo de NYCE:
UNIVERSIDAD NACIONALAUTONOMA DE MEXICO.
CAMARA NACIOf\IAL DE LA INDUSTRIA ELECTRONICA, DE TELECOMUNICACIONES Y
TECNOLOGIAS DE LA INFORMACION.
CAMARA NACIONAL DE LA INDUSTRIA HULERA.
NUEVA GENERACION rvIANUFACTURAS, S.A. DE C.V.
INDUSTRIAS RADSON, S.A. DE C.V.
ISATELDE rvlExIco, S.A. DE C.V.
HEWLETIPACKARD MEXICO, S.A. DE C.V.
AMPLIAUDIO, S.A. DE C.V.
LATIICE TELECOMUNICACIONES PERSONALES, S.A.
DELL MEXICQ, S.A.[)E
NORTEUNETWORKS DE I'II::I\\L'-'\;.!; DE C.V.
HERMES0!YlUSIC, S.A. DE
SOLUCIONES INTEGRALES PARA OFICINA, DE C.V.
ALCATEL-LUCENT MEXICO, S.A. DE C.V.
LATIICETELECOMUNICACIONES PERSONALES, S.A. DE C.V.
PROHIBIDA LA COPIA, REPRODUCCION PARCIAL 0 TOTAL DE ESTA NORMA MEXICANA SIN LA AUTORIZACION DE NYCE, A.C.
NMX-I-27001-NYCE-2009
2. Esta Norma Mexicana cancela a la NMX-I-041/02-NYCE-2006.
3. La Declaratoria de vigencia de esta Norma Mexicana, se publico en el Diario
Oficial dela Federacionel28de enero de 2010.
0
0.1
0.2
0.3
1
1.1
1.2
2
3
3.1
3.2
3.3
3.4
3.5
3.6
3.7
3.8
3.9
3.10
3.11
3.12
3.13
3.14
3.15
INDICE DEL CONTENIDO
INTRODUCCION
Generalidades
Enfoque porproceso
Compatibilidad con otrossistemasde gestion
OBJETIVOY CAMPO DE APLICACION
Generalidades
Aplicacion
REFERENCIAS
TERMINOS Y DEFINICIONES
Activo
Disponibilidad
Confidencialidad
Seguridad de la informacion
Eventode seguridad de la informacion
Incidentede seguridad de la informacion
Sistema de Gestion de la de. la .Informacion
SecurityManagementSystem (ISMS)]
Riesgo residual
Evaluacion de riesgos
Estimacion de riesgos
Gestion de riesgos
Tratamiento de riesgos
NMX-I-27001-NYCE-2009
Pagina
1
1
1
3
3
3
4
4
4
4
5
5
5
5
5
(SGSI) [Information
5
6
6
6
6
6
6
6
6
NMX-I-27001-NYCE-2009
3.16 Declaracion de aplicabilidad 7
4 SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACION 7
4.1 Requisitos generales 7
4.2 Creacion y gestion del SGSI 7
4.2.1 Creacion del SGSI 7
4.2.2 Implementacion y operacion del SGSI
10
4.2.3 Supervision y revision del SGSI
10
4.2.4 Mantenimiento y mejora del SGSI 12
4.3 Requisitos de la documentaclon 12
4.3.1 Generalidades
12
4.3.2 Control de documentos
13
4.3.3 Control de registros
13
5 RESPONSABILIDAD DE LA DIRECCION
14
5.1 Compromiso de la Direccion
14
5.2 Gestion de los recursos 14
5.2.1 Provision de los recursos 14
5.2.2 Concienciacion, formacion y capacitacion 15
6 AUDITORiAS INTERNAS DEL SGGI
15
7 REVISION DEL.SGSI.PORLA DIRECCION
16
7.1
16
7.2 Datos
16
7.3
17
8 M
17
8.1 Mejora continua 17
8.2 Accion correctiva 17
8.3 Accion preventiva 18
.. PROHIBIDA LA COPIA, REPRODUCCI6N PARCIAL0 TOTAL DE ESTA NORMA MEXICANA SIN LA AUTORIZACI6N DE NYCE, A.C.
NMX-I-2700 1-NYCE-2009
APENDICE A
(Normativo)
OBJETIVOS DE CONTROL Y CONTROLES
19
9 BIBLIOGRAFIA 35
10 CONCORDANCIA CON NORMAS INTERNACIONALES 35
APENDICE B
(Informativo)
LOS PRINCIPIOS DE LA OCDE Y ESTA NORMA MEXICANA
36
APENDICE C
(Informativo)
CORRESPONDENCIA ENTRE LAS NOR"".t\S> NMX-CC-9001-IMNC,
SSA-14001-IMNC Y ESTA NORMA MEXICANA
NMX- 38
APENDICE 0
(Informativo)
NORMAS INl"ERNACIONALES
MEXICANA
QUE COMPLEMENTAN A ESTA NORMA 40
PROHIBIDA LA COPlA, REPRODUCCION PARCIAL 0 TOTAL DE ESTA NORMA MEXICANA SIN LA AUTORIZACION DE NYCE, A.C.
0.1
0.2
CDU: 35.080
NORMA MEXICANA
NMX-I-27001-NYCE-2009
TECNOLOGIA DE LA INFORMACION - TECNICAS DE SEGURIDAD -
REQUISITOS
MANAGEMENT SYSTEMS - REQUIREMENTS
o INTRODUCCION
Generalidades
Esta Norma Mexfcana proporciona un modella operacion,
supervision, revision, mantenimientoy mejora de de la Seguridad de
la Informacion (SGSI). La adopcion de un SGSI de una deFision estrategica de
una organizacion. y la implementacion;del dependen de las necesidades y
objetivos de as! como de de seguridad, sus procesos, su
tamano y Es previsible que estes y los sistemas que los soportan
cambien con la de un se ajuste a las
necesidadesderaorganizacion; porejemplo, una situacionsencilla requiere un SGSI simple.
interna 0 externa a
la organizacion, pueda efectuaruna evaluacion de fa conformidad.
Esta Norma Mexicana sirve para que cualquier parte interesada,
Enfoque por proceso
Esta Norma Mexicana adopta un enfoque ceso para la creac
operacion, supervision, revision, mantenimientg ejoradelSGSI
Una organizacio9 tiene que definir y gestionar numerosas activi
eficiencia. actividad que utiliza recursos y se gestiona ge modo que permite la
transformacion de:;unos de "salida" puede
considerarse un proceso. A menudo, la salida de un Droceso se convierte directamente en la
entrada del
La aplicacion de un c ntode procesos en un on la identificacion de
estes y sus interaccio ysu gestion, rproceso".
EI enfoque por p gestion de la seguridad de fa informacion que se describe en
esta Norma Mexicana anima a usuariosa enfatizarla
a) comprender los requisitos de seguridad de la informacion de una organizacion y la
necesidad deestableceruna politica deseguridad de la informacion y sus objetivos;
b) implementar y operar los controles para administrar los riegos de seguridad de la
informacion de una organizacion en el marco de sus riesgos empresariales generales;
.. PROHIBIDA LA COPIA, REPRODUCCION PARCIAL0 TOTAL DE ESTA NORMA MEXICANA SIN LA AUTORIZACION DE NYCE, A.C.
2/40
...
...
....
-------
"
.... -
NMX-I-27001-NYCE-2009
c) supervisar y revisar el rendimiento y la eficacia del SGSI; y
d) asegurar la mejora continua sobre la base de la medicion objetiva.
Esta Norma Mexicana sigue el modelo "Planificar - hacer - verificar - actuar" (Plan-Do-
Check-Act conocido como modelo PDCA), que se aplica para estructurar todos los procesos
del SGSI. La figura 1 muestra como un SGSI, partiendo de los requisitos y expectativas de
seguridad de la informacion de las partes interesadas y a traves de las acciones y procesos
necesarios, produce los elementos de salida de seguridad de la informacion que responden a
dichos requisitos y expectativas. La figura 1 i1ustra asimismo los vinculos con los procesos
que se describen en los capitulos 4, 5, 6, 7 Y 8.
EJEMPLO 1 (requisito de seguridad)
Un requisito ppdria serque la seguridad de la informacion debe
provocar perjuicios economicos gravesy!o comprometer a la organizacion.
EJEMPLO 2 (expectativa de seguridad)
En el caso de que se produjera un incidente grave, como por ejemplo un ataque informatico
al sitio web de comercio electronico de una organizacion, deberia haber personas con
suficiente formacion en los procedimientos adecuados para minimizar las consecuencias.
1""'1"1"""'1"'" IOSGRriQ9fP'ii:ls detinidos en las Directrices de
redes de informacion. Esta
los principios de dichas
nl",,.,.,,,,nt,,,rinn de la seguridad,
La adopcion del modeI8>P8S,i.\}am
la OCDE (2002)1) que rigen la segu
Norma Mexicana proporciona un modelo
directrices que rigen la evaluacion de riesgos, e
l
riic::",nn
as! como la gestion y la reevaluacion de la segu
FIGURA 1.- Modelo PDCA aplicado a los procesos SGSI
1) Directrices de la OCDE para la Seguridad de los Sistemas y Redes de Informacion-Hacia una cultura de la
seguridad. Paris: OCDE, julio de 2002. www.ocde.org.
0.3
NMX-I-27001-NYCE-2009
3/40
Definir la politica, objetivos, procesos y procedimientos
del SGSI relevantes para gestionar el riesgo y mejorar
la seguridad de la informacion, con el fin de obtener
resultados acordes con las polfticas y objetivos
generales de la organizacion.
Planifiear (ereacion del SGSI)
Implementar y operar la politica, controles, procesos y Haeer (implementacion y
procedimientos del SGSI. operaeion del SGSI)
n n r m ~ r rip
Evaluar y, en su
__1:..:_-
e
medir el rendimiento del proceso
contra la
Verifiear ( supervision y
objetivos y la experiencia prcktica
del SGSI, los resultados a la Direccion
para su 1"0";'
revision del SGSI)
Adoptar medidas correctivas y preventivas, en funcion Actuar (mantenimiento y
de los resultados de la auditorla interna del SGSI y de la
revision por parte de la direccion, 0 de otras
informaciones relevantes, para lograr la mejora continua
deISGSI.
mejora del SGSI)
Cornpatibilidad.eonotrossistemas de gestion
Esta Norma Mexicana sigue las pautas marcadas en las NMX-CC-900l-IMNC e NMX-SSA-
l400l-IMNC para asegurar una implementacion integrada y consistente con las
mencionadas normas de gestion. De este modo, un sistema de gestion bien concebido puede
cumplir los requisitos de todas esas norma. La tabla C.l muestra la relacion entre los
capitulos de esta Norma Mexicana y las Normas NMX-CC-900l-IMNC e NMX-SSA-1400l-
IMNC.
maptar su SGSI a
provisiones
la norma son
ormidad con esta
plimiento de las
LICACION 1
IMPORTANTE: Esta publieacion no pretende
neeesarias en un eontrato. Los
responsables de su eorrecta apliea
a Mexieana no otorga i
eiones legales.
Esta Norma Mexicana esta disenada para posibilitar
los requisitos deJos sistemas de gestion mencionados.
Generalidades
Esta Norma Mexicana abarca todo tipo de organizaciones (por ejemplo, empresas,
organismos y entes publicos, entidades sin animo de lucro) y especifica los requisitos para la
creacion, implementacion, operacion, supervision, revision, mantenimiento y mejora de un
SGSI documentado, en el marco de los riesgos empresariales generales de la organizacion.
Especifica los requisitos para el establecimiento de los controles de seguridad, adaptados a
~ PROHIBIDA LA COPIA, REPRODUCCION PARCIAL 0 TOTAL DE ESTA NORMA MEXICANA SIN LA AUTORIZACION DE NYCE, A.C.
1.1
En la mayorfa de los casos, si una organizacion
negocio (por ejemplo NMX-CC-9001-IMNC 0 NMX-SSA-14001-IMNC).
sistema del proceso de
requisitos de
NMX-I-27002-NYCE
NMX-I-27001-NYCE-2009
4/40
las necesidades de una organizacion 0 de partes de la misma.
EI SGSI esta disenado con el fin de asegurar la seleccion de controles de seguridad,
adecuados y proporcionados, que protejan los activos de informacion y den garantias a las
partes interesadas.
NOTA 1: Las referencia al termino "empresarial" 0 de "negocio" en esta norma deberian interpretarse en un sentido
amplio, abarcando aquellas actividades que son esenciales para alcanzar los fines que persigue la
organizaciOn.
NOTA 2: La Norma Mexicana NMX-I-27002-NYCE proporciona una gufa de implantacion que puede utilizarse al
disefiar los controles.
1.2 Aplicacion
Los requisitos establecidos en esta Norma Mexicaha
no
Oenel"'icos y aplicables a todas las
organizaciones, cualquiera que sea su tipo, Cuando una organizacion
declara que cumple esta Norma Mexicana, exclusion de ninguno de los
requisitos definidos en los capitulos 4, 5, 6, 7 Y
Toda exclusion de controles que se considere necesaria para cumplir los criterios de
aceptacion del riesgo necesita ser justificada mediante evidencia de que los riesgos
asociados han sido aceptados por las personas responsables. Cuando se excluya algun
control, no se aceptara ninguna declaracion de conformidad con esta Norma Mexicana a
menos que tales exclusiones no afecten a la capacidad y/o responsabilidad de la
organizacion para garantizar la seguridad de la informacion de acuerdo con los requisitos de
seguridad derivados de la evaluacion de riesgos y de los requisitos legales 0 reglamentarios
aplicables.
NOTA:
esta Norma Mexicana dentro del sistema de aestion va existente.
2 REFERENCIAS
lementa con
TecnoloClia de la
la siguiente Norma M ~ i c a n a vigente:
Tecnicas de seguridad -
gestion de la
3 TERMINOS Y DEFINICION ES
Para los fines de esta Norma Mexicana, se aplican las siguientes definiciones.
3.1 Activo
Cualquier bien que tiene valor para la organizacion.
5/40
3.6
NMX-I-27001-NYCE-2009
[Vease la NMX-I-086/01-NYCE]
3.2 Disponibilidad
La propiedad de seraccesibley utilizable poruna entidad autorizada.
[Vease la NIVlX-I-086/01-NYCE]
3.3 Confidencialidad
La propiedad por la que la informacion no se disposicion 0 se revela a individuos,
entidades0 procesos no autorizados.
[Vease la NMX-I-086/01-NYCE]
3.4 Seguridad dela informacion
La preservacion de la confidencialidad, la de la informacion,
pudiendo, ademas, abarcar otras propiedades, co11'1 0 Ia.;autenticidad, la responsabilidad, la
fiabilidad y el no repudio.
[Vease la NMX-I-27002-NYCE]
3.5 Eventodeseguridad dela informacion
La ocurrencia en un estado de un sistema, servicio 0 red una posible
violacion de la de seguridad de informacion, un fallo de .. Iaguardas 0 una
situacion desconocida hasta el momentay.que puede ser relevante oara.Ja.seauridad.
[Vease 0.1 de apendice 0, en esta Normarylexicana]
Illcidentedeseguridad de la informacion
Un unico seguridad de inesperados 0 no
deseados, que tienen una probabilidad significativa de comprometer las operaciones
formacion (SGSI) Sistema .de Gestio
[InformationSecurity
[Vease 0.1 de apendice 0,en.esta Nqr
3.7
empresarialesy dezamenazarda seauridad delainformacion.
La parte del sistema de gestion general, basada en un enfoque de riesgo empresarial, que
se establece para crear, implementar, operar, supervisar, revisar, mantener y mejorar la
seguridad de la informacion.
NOTA: EI sistema de gestion incluye la estructura organizativa, las polfticas, las actividades de planificacion, las
responsabilidades, las practicas, los procedimientos, los procesos y los recursos.
6/40
NMX-I-27001-NYCE-2009
3.8 Integridad
La propiedad desalvaguardarla exactitud y completitud de los activos.
[Vease la NMX-!-086/01-I\IYCE]
3.9 Riesgo residual
Riesgo remanente queexiste despues de quese hayan tomado las medidasde seguridad.
[Vease D.2 del apendice D, en esta Norma Mexicana]
3.10 Aceptacio" del riesgo
La decision de aceptarun riesgo.
3.11 Analisis de riesgos
Utilizacion sistematica de la informacion disponible para identificar peligros y estimar los
riesgos.
[Vease D.2 delapel1djceD, el'lestaNbrma.Mexicana]
3.12 Evaluacion de riesgos
EI proceso general de analisisy estimacion
[Vease D.2 del apendice D, en esta
3.13 Estimacion de riesgos
EI proceso de c::ompari3<::JOn del estimado.. >con los.... criterios riesgo, para asi
determinarla importancia del riesgo.
[Vease D.2 del apendice
3.14
Actividades coordinadas organizacioncon respectoa los riesgos.
Tratamiento de riesgos
EI proceso de seleccion e implementacion de las medidas encaminadas a modificar los
riesgos.
3.15
4
NMX-I-27001-NYCE-2009
7/40
NOTA: En esta Norma Mexicana, el termino"control"se utiliza comosinonimode"medida de seguridad".
3.16 Declaracion de aplicabilidad
Declaracion documentada que describe los objetivos de control y los controles que son
relevantes para el SGSI de la organizacion y aplicablesal mismo.
NOTA: Los objetivos de control y los controles se basan en los resultados y conclusiones de la evaluacion de
riesgos y en los procesos de tratamiento del riesgo, en .Ios requisitos legales 0 reglamentarios, en las
obligaciones contractuales y en las necesidades empresariales de la organizacion en materia de seguridad
de la informacion.
RIDAD DE LA SISTEMA DE G
INFORMACION
4.1 Requisitos generales
La crear, implementar, revisar, mantener y mejorar
un SGSI contexte de lasactividades empresariales generales de la
ries9()s>que estaafronta.A efectos de esta Norma Mexicana, el
proceso utilizadosebasaen el modelo PDCA descrito enlaJiqura 1.
4.2 Creacion y gestion del SGSI
4.2.1 Creacion del SGSI
La organizacion debe hacer10 siguiente:
a)
b) Definiruna polftica del SGSI acorde con las caracteristicas de la actividad empresarial, la
.
orientacion general
sobre las "',-_.
actonl con la seguridad de la
informaci
1)incluya
2) tenga en;eUenta IOsfequisitosFide la activida'd>Fempresa'r-iaI, losrequisitos legales 0
car-a'cteristiCas de la actividad
incluyendo los
Definirel alcance y los Ifmitesdel SGSIen ter-minOs de
empresarial,/de la organizacion, su ubicacion, sus activos y
detallesy la]ustificacion de cualquierexclusion del enlace
reglamentariosy las obligaciones deseguridad contractuales;
3) este alineada con el contexto de la estrategia de gestion de riesgos de la organizacion
contexto en el quetendra lugarla creacion y el mantenimientodel SGSI;
4) establezca criteriosde estimacion del riesgo [vease4.2.1 c)]; y
8/40
perdida de
NMX-I-27001-NYCE-2009
5) sea aprobada por la Direccion.
NOTA: Aefectos de esta Norma Mexicana, la polftica de seguridad de la informacion se considera un subconjunto
de la polftica del SGSI. Estas polfticas pueden estardescritasen un unicodocumento.
c) Definirel enfoquede la evaluacion de riesgos de la organizacion.
1) Especificar una metodologfa de evaluacion de riesgos adecuada para el SGSI, las
necesidades de negocio identificadas en materia de seguridad de la informacion de la
empresa y los requisitos legalesy reglamentarios.
2) Desarrollar criterios de aceptacion de los niveles de riesgb aceptables
[vease 5.1 f)].
La metodologfa seleccionada para la evaluacion de riesgos debe asegurar que las
evaluacionesde riesgos generen resultadoscomparablesy reproducibles.
NOTA: Hay diferentes metodologfas para la evaluacion NMX-I-086/03-NYCE, Tecnologfa de la
informacion (TI) - Gufa para la gestion de la - Parte 03: Tecnicas para la gestion de la
seguridaddeTI., se comentan algunosejemplos de metodologfas para la evaluacion de riesgos.
d) IdentificarIdsriesgos.
1) queestan dentro del. ambito de aplicacion del SGSI y a los
actiyos.
2) Identificarlas.amenazas a queestan expuestosesos .::Irti\lnc::
3) Identificarlasvulnerabilidades podrian actuardichas.::Im,:>n.::l7.::1C::
4) los impactos que
confidencialidad, integridad y disponibflidad
e) Analizary va.l.orar los riesgos.
1) Evaluar los
derivarse
una perdi
2) Evaluar la , de fallos de
seguridad a amenazas y impactos
asociados a los t=lctivo!=: loscontroles imp
3) Estimarlos nivelesde riesgo.
2) EI termino "propietario" se refiere a un individuo 0 una entidad al que se Ie ha asignado la responsabilidad
administrativa para el control de la produccion, el desarrollo, el mantenimiento, el uso y la seguridad de los
activos. EI termino"propietario"no significa que la persona tenga realmente algun derecho de propiedad sobre el
activo.
NMX-I-27001-NYCE-2009
9/40
4) Determinar si los riesgos son aceptables 0 si requieren un tratamiento conforme a los
criterios de aceptacion de riesgos establecidos en 4.2.1 c)2).
f) Identificar y evaluar las opciones para el tratamiento de riesgos.
Las posibles acciones a realizar, entre otras, son las siguientes:
1) aplicar controles adecuados;
2) asumir los riesgos de manera consistente y objetiva, conforme a las politicas de
organizacion y a los criterios de aceptacion de riesgos [vease 4.2.1 c)2)];
la
3) evitar los riesgos; y
4) transferir los riesgos asociados
ejemplo compaAfas de seguros 0
a otras partes, como por
g) seleccionar los objetivos de control y los controles para el tratamiento de los riesgos.
Los objetivosde control y los controles e implementarse para
cumplir enla de riesgos y en el proceso de
tratamiento Esta seleccion debe tener en cuenta los criterios de aceptacion
de riesgos [vease 4.2.1 c)2)], ademas de los requisitos legales, reglamentarios y
contractualesi
Los objetivos de control y los controles del apendice A deben como parte
de este proceso en la medida en que si'"Va(l par:a\satisfacer los reqlJiSiitos identificados.
Los objetivos de control y los controles enumerados en el apendice A no son
exhaustivos, por 10 que pueden seleccionarse otros objetivos de control y otros controles
adicionales.
NOTA: EI apendice A contiene una lista completa de objetivos de control y controles que se han
considerado comunmente revelantes en las organizaciones. EI apendice A proporciona a los usuarios
de esta Norma Mexicana un punta de partida para seleccionar los controles, garantizando que no se
pasan por alto importantes opciones de control.
nrovpprlnrpc;,
h) obtener la a
i) obtener la a
j) elaborar u
'iesgos residuales propuestos.
Una declaracion de aplicabilidad debe incluir 10 siguiente:
1) los objetivos de control y los controles seleccionados en 4.2.1 g) Y las justificaciones
de su seleccion;
2) los objetivos de control y los controles actualmente implementados [vease 4.2.1
e)2]; y
La medicion de la eficacia de los controles
punta loscontroles cumplen los objetivosdecontrolplahificados.
al personal determinarhasta que
NMX-I-27001-NYCE-2009
10/40
3) la exclusion de cualquierobjetivo de control y control del apendice A y la justificacion
de esta exclusion.
NOTA: La declaracion de aplicabilidad proporciona un resumen de las decisiones relativas al tratamiento
de los riesgos. La justificacion de las exclusiones facilita una comprobacion cruzada de que no se
ha omitido inadvertidamenteningun control.
4.2.2 Implementaci6n y operaci6n del SGSI
La organizacion debe hacer10 quese indicaa continuacion.
a) Formular un plan de tratamiento de riesgos las acciones de la Direccion,
los recursos, las responsabilidades y las adecuados para gestionar los
riesgos de la seguridad de la informacion (vease
b) Implementar el plan de tratamiento deriesgosfparaDI6grar los objetivos de control
identificados, que tenga en cuenta la finaQe:iacion y la asignacion de funciones y
responsabilidades.
c) Implementar los controles seleccionados en4.2.J.{ig) para cumplir los objetivos de
control.
d) Definirel .. ri'890.dell1edif la eficacia de losconfl"61es 0 de los grupos de controles
que usars:/:stas mediciones para evaluar la
eficacia decara/Cl/prqducir unos resLl.ltados comparables y reproducibles
[vease 4.2.3
c
)1;
NOTA:
e) Implementarprogramasde
f) Gestionarlabperacion del SGSI.
g) Gestionarlos recursos del SGSI (vease
h) Implementarprocedimientos y otros controles que permitan una deteccion temprana de
incidente de seguridad [vease
e hacer10 quese ii1dica a confinuaci6 La organizacion
4.2.3
a) Ejecutar procedimientos de supervision y revision, asf como otros mecanismos de
control para:
1)detectar10 antes posible los erroresen los resultadosdel procesado;
2) identificar 10 antes posible las debilidades del sistema de seguridad asf como el
$ PROHIBIDA LA COPIA, REPRODUCCI6N PARCIAL 0 TOTAL DE ESTA NORMA MEXICANA SIN LA AUTORIZACI6N DE NYCE, A.C.
NMX-I-27001-NYCE-2009
11/40
aprovechamiento de estastanto con 0 sin eXito, y los incidentes;
3) permitira la Direccion determinarsi las actividades de seguridad delegadas en otras
personas 0 lIevadas a cabo por medios informaticos 0 a traves de tecnologias de la
informacion, dan los resultados esperados;
4) ayudar a detectar eventos de seguridad y por tanto a prevenir incidentes de
seguridad medianteel uso de indicadores; y
5) determinarsi las acciones tomadas para resolver una violacion de la seguridad han
side eficaces.
b) Realizar revisiones periodicas de la eficacia del SGSI teniendo en cuenta los resultados
de las auditorias de seguridad, los incidentes, los resultados de las mediciones de la
eficacia, las sugerencias asi como los comentariosdetodas las partes interesadas. Estas
revisiones incluyen el cumplimiento de la politica, y de los objetivos del SGSI, y la
revision de los controles deseguridad.
c) Medir la eficacia de los controles para verificar han cumplido los requisitos de
seguridad.
d) Revisar las<avaluacioDes de riesgos en intervalos planificados y revisar los riesgos
residuales X.IB:'iniveles de riesgo aceptables que han sido identificados, teniendo en
cuenta loscambiosen:
1) la organizacion;
2) la tecnologia;
3) los objetivQsy requisitosempresa
4) las amenazas identificadas;
5) la eficacia de
ejemplo los cambios del entorno legal
ractualesy del c1ima social.
e) Realizarlas
NOTA: aveces denominadasaUditonas porpr e,las "eva acabo la propia
realizan porencargodeesta, con fines
f) Realizar, por parte de la Direccion una revision del SGSI, con cankter regular para
asegurarque el ambitode aplicacion sigue siendo adecuado y que se identifican mejoras
del proceso del SGSI (vease 7.1).
g) Actualizarlos planes de seguridad teniendo en cuenta las conclusiones de las actividades
de supervision y revision.
0
Es importante poderdemostrar la relaciohide)los controlesselec:Cionados
de los procesos de evaluacion y de t- ..",bn-liant-"
resultados
la polftica y
NMX-I-27001-NYCE-2009
12/40
h) Registrar las acciones e incidencias que pudieran afectar a la eficacia 0 al
funcionamiento del SGSI (vease 4.3.3).
4.2.4 Mantenimiento y mejora del SGSI
Regu1armente, la organizacion debe hacer10 quese indica a continuacion:
a) Implementaren el SGSI las mejorasidentificadas.
b) Aplicar las medidascorrectivasy preventivasadecuadas de acuerdo con los incisos8.2 y
8.3, sobre la base de la experiencia en materiade seguridad de la propia organizacion y
deotras organizaciones.
c) Comunicar las acciones y mejorasa todas las un nivel de detalle
acorde con lascircunstancias.
d) Asegurarque las mejorasalcancen los objetivosiprey!stos.
4.3 Requisitos de la documentaciol1
4.3.1 Generalidades
La documentacion debe incluirlas decisionesde la Direccion juntocon los registros (records)
de las mismas, debiendo quedar constancia de que las acciones dan respuesta a las
decisiones y a la polfticas adoptadas, y garantizando que dichos documentos y los
correspondientes registros est2m disponibles.
objetivosdel SGSI.
La documentacion del SGSI debe incluir:
a) declaracionesdocumentadasde la polftica [vease 4.2.1 b)] y delos objetivosdel SGSI;
b)
c) n
d)
e) el informede;ieValuacioh de riesgos tvease
f)
g) los procedimientos documentados que necesita la organizacion para asegurar una
correcta planificacion, operacion y control de sus procesos de seguridad de la
informacion, y para describircomo medirla eficacia de los controles [vease 4.2.3 c)];
el plan detratamientode riesgos [vease 4.2.2 b)];
necesita, y se
aplicables a su
r1nrlln-oontos estan disponibles;
los documentos estan aisp6riil:5lespaFat()cf()aq
macenan y se destruyen de acuerdo con los proc
asegurar qu
prevenir el
asegurar que los documentos procedentes
aDlicar una identificacion adecuada a los dotumentos obsoletos aue son retenidos con
transfieren,
c1asificacion
NMX-I-27001-NYCE-2009
13/40
h) los requeridos por esta l\Iorma Mexicana (vease 4.3.3); Y
i) la declaracion de aplicabilidad.
NOTA 1: Cuando en esta Norma Mexicana aparece el termino "procedimiento documentado", significa que el
procedimiento se crea, se documenta, se implementa y se mantiene.
NOTA 2: La extension de la documentacion del SGSI puede diferir de una organizacion a otra debido a:
- el tamafio y tipo de actividades de la organizacion; y
- el alcance y la complejidad de los requisitos de sistema que se esta gestionando.
NOTA 3: Los documentos y registros pueden estar en cualquler de medio.
4.3.2 Control de documentos
Los documentos exigidos por el SGSI (vease protegidos y controlados. Se
debe establecer un procedimiento documentadgipaEe:t)).y.definir las acciones de gestion
necesarias para:
a) aprobar en los documentos previamenteasuiclistri bucion;
b) revisar, yVolver aapr()bar I()sdocurnentosj)segun vaya siendo necesario;
n identificados los cambios, as! como el del documento que
(oIH ....... ", revision;
c)
d) asegurar
e)
f) asegurar
g)
h)
i)
j)
4.3.3 Control de registros
Se deben crear y mantener registros para proporcionar evidencias de la conformidad con los
requisitos y del funcionamiento eficaz del SGSI. Dichos registros deben estar protegidos y
controlados. EI SGSI debe tener en cuenta cualquier requisito legal 0 regulatorio aplicable,
as! como las obligaciones contractuales. Los registros deben permanecer legibles, facilmente
obietivos
imnl,:>m,:>nf;:ji
politica de
la mejora
supervisar,
NMX-I-27001-NYCE-2009
14/40
identificables y recuperables. Los controles necesarios para la identificacion,
almacenamiento, proteccion, recuperacion, retencion y disposicion de los registros deben
estardocumentadose implementados.
Deben conservarse los registros del desarrollo del proceso, segun se indica en 4.2, y de
todos lossucesos derivadosde incidentesde seguridad significativos relativos al SGSI.
EJEMPLO
Ejemplos de registros son: el libro de visitas, los informes de auditoria y los formularios de
autorizacion de acceso cumplimentados.
5 RESPONSABILIDAD DE LA DIRECCION
5.1 Compromisodela Direcci6n
La Direccion debe suministrar evidencias de para crear, implementar,
operar, supervisar, revisar, mantenery mejorar ::it..:::l\,6c:: de las siguientesacciones:
a) formulando la politica del SGSl;
b) velandopor.elestablecimientode los objetivosvplariesdel SGSl;
c) estableciendo los rolesy responsabilidadesen materia de seguridad de la informacion;
d) organizacion la
seguridad de la informacion, sus responsabilidades legalesy
continua;
e) proporcionarido recursos suficientes para crear,
revisar, mantenery mejorarel SGSI (vease 5.2.1);
f) decidiendo IOs.criterios<deaceptacion de riesgos y losniveles;;aceptablesde riesgo;
g) velando por
h)
5.2
5.2.1
dirigiendo lasrevi$ionesdt1 SG
Gesti6ndelosrecur
Provisi6ndelosreed
La organizacion debe determinary proporcionarlos recursos necesarios para:
a) establecer, implementar, operar, supervisar, revisar, mantenery mejorarel SGSI;
b) asegurar que los procedimientos de seguridad de la informacion responden a los
requisitos empresariales;
PROHIBIDA LA COPIA, REPRODUCCION PARCIAL0 TOTAL DE ESTA NORMA MEXICANA SIN LA AUTORIZACION DE NYCE, A.C.
6
NMX-I-27001-NYCE-2009
15/40
c) identificary cumplir los requisitos legales y reglamentarios, as! como las obligaciones de
seguridad contractuales;
d) mantener la seguridad adecuada mediante la aplicacion correcta de todos los controles
implantados;
e) Ilevar a cabo revisiones, cuando sean necesarias, y reaccionar en base a los resultados
de estas revisiones; y
f) cuandose requiera, mejorarla eficacia del SGSI.
5.2.2 Concienciacian,formacian
que
y
se Ie hayan asignado
responsabilidades definidas en el SGSI sea combeteote a cabo tareas requeridas,
atravesde:
a) determinar las competencias necesarias para personal que lIevaa cabo trabajos que
afecten al SGSI;
b) impartir formacion 0 r e l i z ~ otras acciones (por ejemplo, la contratacion de personal
competente) para satisfacerestas necesidades;
c) evaluarl.a./eficacia de las accionesrealizadas;
d) mantener registros de educacion, formacion, aptitudes,
La organizacion debe asegurarse de que
y calificaciones
(vease 4.3.3).
La organizacion, debe asegurarse tambien de que
la trascendenciay de la importancia de las actividadesiVde
su contribucion a los objetivosdel SGSI.
AUDITORiAS INTERNAS DEL SGSI
La organizacion
determinar si 10
este SGSI:
a) cumplen los
aplicables;
realizar auditorias interne
',vos de control, I",,,, I"",nt
esta
planificados, para
procedimientos de
islacion y normativa
b) cumplen los requisitos deseguridad de la informacion identificados;
c) se implantan y se mantienen de forma efectiva; y
d) dan el resultado esperado.
Se debe planificarun programa de auditorias, teniendo en cuenta el estado e importancia de
.. PROHIBIOA LA COPIA, REPROOUCCION PARCIAL 0 TOTAL DE ESTA NORMA MEXICANA SIN LA AUTORIZACION DE NYCE, A.C.
NMX-I-27001-NYCE-2009
16/40
los procesos y las areas a auditar, asf como los resultados de las auditorfas previas. Se
deben definir los criterios, el alcance, la frecuencia y los metodos de auditoria. La seleccion
de auditores y la direccion de las auditorias debe garantizar la objetividad e imparcialidad
del proceso de auditoria. Los auditores no deben auditar su propio trabajo.
Las responsabilidades y los requisitos para la planificacion, realizacion de las auditorfas, la
informacion de los resultados y el mantenimiento de los registros (vease 4.3.3), deben estar
definidos en un procedimiento documentado.
EI responsable del area auditada debe velar por que se realicen acciones para eliminar, sin
demoras indebidas, las disconformidades sus causas. Las actividades de
seguimiento, deben incluir la verificacion de lase.tggJpn realizadas y los informes de los
resultados de la verificacion (vease 8).
D.3, en el apeQcfice Mexicana, proporciona orientaciones
utiles para realizar las auditorfas internas
NOTA: La Norma que se menciona en
7 REVISION DEL SGSI POR
7.1 Generalidades
La el SGSI de la a intervalos planificados (al menos una
vez al ..E!; .. .. adecuacion y eficacia. Esta
revision de 111ejora y la necesidad de cambios en el
SGSI, incluyendo la polltica y los objetivos de seguridad de la informacion. Los resultados de
las revisiones deben estar claramente documentad()s y se deben mantener los registros
(vease 4.3.3).
7.2 Datos iniciales de la revision
Los datos utilizados por la Direccion para la revision deben incluir:
a) los resultados revisiones del
o corre
ientps que.ppdrfan
eficaciadel SGSI;
b)
c) las tecnicas,
para mejora
d) el estado de
e) las vulnerabilidades
riesgos previa;
0 amenazas no abordadas adecuadamente en la evaluacion de
f) los resultados de las mediciones de la eficacia;
g) las acciones de seguimiento de las revisiones anteriores;
7.3
NMX-I-27001-NYCE-2009
17/40
h) cualquiercambio que pudiera afectaral SGSI; y
i) las recomendaciones de mejora.
Resultados de la revision
Los resultados de la revision realizada por la Direccion deben incluir cualquier decision y
accion relativas a:
a) la mejora de la eficacia del SGSI;
b) la actualizacion de la evaluacion de riesgos y.d.. detratamientode riesgos;
c) la modificacioride los proc:edirl1ieritos que afectan a la seguridad de la
informacion,.cuando sea necesario a los eventos internos0 externosque
pueden afectaral SGSI, incluyendo los cambiosen:
1) los requisitos del negocio;
2) los requisitosdeseguridad;
3) los procesosde negocio queafectan a los requisitos de negocioexistentes;
4) los requisitos legales 0 reglamentarios;
5) las obligacionescontractuales; y
6) los nivelesde riesgoY/o los r ..ih::> ..inC:
d) las necesidades de recursos;
e) la mejora en el modode medirla eficacia de los controles.
8 MEJORA DEL SGSI
8.1 Mejora continua
La organizacion
polftica y de los
del analisis de I
las revisiones de
ediante el uso de la
tados de las auditorfas,
y preventivas y de
Accion correctiva
La organizacion debe realizar acciones para eliminar la causa de las no conformidades con
los requisitos del SGSI, a fin de evitar que vuelvan a producirse. EI procedimiento
documentado para las acciones correctivas debe definirlos requisitos para:
8.2
8.3
NMX-I-27001-NYCE-2009
18/40
a) identificarlas no conformidades;
b) determinarlascausas de las no conformidades;
c) evaluar la necesidad de adoptaracciones para asegurarse de que las no conformidades
no vuelvan a producirse;
d) determinare implantarlas acciones correctivas necesarias;
e) registrarlos resultadosde las acciones realizadas (vease 4.3.3); y
f) revisarlas acciones correctivas realizadas.
Acci6n preventiva
La organizacion debe determinar las acciones para eliminar la causa de las
posibles no conformidades con los requisitos evitar que estas vuelvan a
producirse. Las acciones preventivas adoptadasidebeg... ser apropiadas en relacion a los
efectos de los problemas potenciales. EI procedimiento documentado para las acciones
preventivasdebedefinirlos requisitos para:
a) identificarlas>posibles no conformidadesy suscausas;
b) de.i3doptar acciones para prevenir la ocurrencia de no
conformidades;
c) determinare ih1.plementarlasaccionespreventiyasnecesarias
d) registrar losresultadosde lasaccionesadoptadas(veaseA.3.3
e) revisarlas acciones preventivasadopfadas:
La identificar los cambios en los riesgos, a sf requisitos de las
acciones preventivCi?, central)9() ICi/>Citen<:lgpieo... lp?rie?9P? qpe n sufrido cambios
significativos.
La prioridad de
la evaluacion de
NOTA: Actuarpara
en los resultados de
NMX-I-27001-NYCE-2009
19/40
APENDICE A
(1\Iormativo)
OBJETIVOS DE CONTROL Y CONTROLES
Los objetivos de control y controles indicados en la tabla A.1 tienen correspondencia directa
con los establecidos en la Norma Mexicana NMX-I-27002-NYCE, capftulos 5 a 15. Las Iistas
de la tabla A.1 no son exhaustivas y una organizacion puede considerar que son necesarios
objetivos de control y controles adicionales. Los objetivos de control y los controles que
figuran en estas tablas deben ser seleccionado?;c()mo parte del proceso del SGSI
especificado en el inciso 4.2.1.
Los capftulos 5 a15 de la Norma para
la implantacion junto con la gufa de buenaspracticas de apoyoalos co.ntroles especificados
en los puntas A.5 hasta A.15.
TABLA A.1.- Objetivos de control y controles
IA.5 Politica de s.egllridad
A.S.l Politicaaeseguridadde la.ii1for:macion
Objet/va: Proporcionar indicaciones para la gestion y soporte de la seguridad de la informacion de acuerdo
con los requisitos empresariales y con la legislacion y las normativas aplicables.
Control
Aspectos organizativos de la seguridad de la informacion
acion debe revisarse a
se produzcan cambios
que se mantenga su
un documento de polftica de
inf'orrna1cioln, publicarlo y distribuirlo a todos
terceros afectados.
La polftica de seguridad de I
intervalo planificados 0 siem
significativos, a fin se as
idoneidad,>adecuacion
Revision de la polftica de
seguridad de la informacion
polftica de
seguridadde la informacion
A.6
A.5.1.2
A.5.1.1
A.6.1 Organizacion interna
Objet/va: Gestiona
A.6.1.1
o activo a la seguridad
e directrices c1aras, un
compromiso demostrado, asignaciones explfcitas y el
reconocimiento de las responsabilidades de seguridad de la
informacion.
C PROHIBIDA LA COPIA, REPRODUCCION PARCIAL 0 TOTAL DE ESTA NORMA MEXICANA SIN LA AUTORIZACION DE NYCE, A.C.
A.6.l.2
NMX-I-27001-NYCE-2009
20/40
Control
Control
Coordinacion de la seguridad de Las actividades relativas a la seguridad de la informacion
la informacion deben ser coordinadas entre los representantes de las
diferentes partes de la organizacion con sus
correspondientes roles y funciones de trabajo.
Control
Asignacion de responsabilidades
A.6.l.3 relativas a la seguridad de la
Deben definirse c1aramente todas las responsabilidades
informacion
relativas a la sequridad de la informacion.
Control
Proceso de autorizacion de
A.6.1,4 recursos para el procesado de la Para cada nuevo recurso de procesado de la informacion,
informacion debe definirse e implantarse un proceso de autorizacion por
arte de la Direccion.
periodicamente la necesidad
A.6.l.5 Acuerdos de confidencialidad
de acuerdos de confidencialidad 0 no revelacion,
que .Ias necesidades de la organizacion para la
roteccionde la informacion.
A.6.l.6 Contactocon las autoridades
Deben mantenerse los contactos adecuados con las
autoridades comoetentes
Control
de. especial
A.6.l.7 Deben contactos apropiados con grupos de
interes especial,uotros foros, y asociaciones profesionales
esoecializados en sequridad.
Revision independiente de la
A.6.l.8
A.6.2 Terceros
Objet/vo: Mantene uridad de la informacion de la 0 Jivos de procesado de la
informacion que 5 :0 de acceso, tratamiento, com ros.
Control
Deben i riesgos para la informacion y para los
A.6.2.1 disposit esado de la informacion de la
acceso de terceros
organizatl 65 de los .procesos de negocio que
requieran de erceros, e implantar los controles apropiados
antes de otor, ar el acceso.
Control
Tratamiento de la seguridad en la
A.6.2.2 Antes de otorgar acceso a los clientes a los activos 0 a la
relacion con los clientes
informacion de la organizacion, deben tratarse todos los
requisitos de sequridad identificados.
A.6.2.3 Tratamiento de la sequridad en Control
NMX-I-27001-NYCE-2009
21/40
contratos con terceros
Los acuerdos con terceros que conlleven acceso,
tratamiento, comunicacion 0 gestion, bien de la informacion
de la organizacion, 0 de los recursos de tratamiento de la
informacion, 0 bien la incorporacion de productos 0 servicios
a los recursos de tratamiento de fa informacion, deben cubrir
todos los requisitos de sequridad oertinentes.
A.7 Gestio"deactivos
A.7.l Responsabilidad sobre los activos
Objetivo: Conseguir y mantener una protecci6n adecuada de los activos de la organizacion.
Control
A.7.1.l Inventario de activos estar claramente identificados y
m:::>nr",n"'rc::<>uninventario de todos los
Control
Toda informacion y activos asociados con los recursos para
A.7.1.2 Propiedad de los activos
el tratamientodela informacion deben tener un propietari0
3
)
que forme parte de la organizacion y hay sido designado
como oropietario.
Control
A.7.1.3 Usoaceptabledelos activos Se e implantarlas reglas para
el usc de la informacion y los activos asociados
conlosrecursos oara el orocesado de la informacion.
A.7.2 Clasifit:aC:iondelail'lf6rmaC::ion
A.7.2.l Directrices de c1asificacion La informacion valor, los
requisitos legales,
para la
orqanizacion.
Control
Se debe desarrollar e conjunto adecuado de y manipulado de la
A.7.2.2
informacion procedimientos para>etiquetar yi:manejar la informacion, de
acuerdo con el esquema de clasificacion adoptado por la
A.a SeguridadIi
A.S.l Antes del
Objetivo. Asegurar;!ql.l$ los
adecuados para
fraude 0 de uso indebido de
orqanizacion.
c
3) Explicacion: EI termino "propietario" se refiere a la persona 0 entidad a la que se Ie ha asignado la
responsabilidad administrativa del control de la produccion, desarrollo, mantenimiento, usc y seguridad de los
activos. EI termino"propietario" no significa que la persona renga realmente algun derecho de propiedad sobre el
activo.
4) Explicacion: La palabra "empleo"utilizada en este norma hace referencia adistintas situaciones: contratacion de
personal (temporal 0 de larga duracion), nombramientode cargos, cambiode cargos, asignacion de contratistas,
y terminacion de cualquiera de estos acuerdos 0 compromisos.
PROHIBIDA LA COPlA, REPRODUCCION PARCIAL0 TOTAL DE ESTA NORMA MEXICANA SIN LA AUTORIZACION DE NYCE, A.C.
NMX-I-27001-NYCE-2009
22/40
Control
Las funciones y responsabilidades de seguridad de los
Funciones y responsabilidades A.8.l.l
empleados, contratistas y terceros se deben definir y
documentar de acuerdo con la polftica de seguridad de la
informacion de la orqanizacion.
Control
La comprobacion de los antecedentes de todos los
candidatos al puesto de trabajo, de los contratistas 0 de los
terceros, se debe lIevar a cabo de acuerdo con las
legislaciones, .'10rmativas y codigos eticos que sean de
aplicacion manera proporcionada a los requisitos
del de la informacion a la que se
accede v.los/riesqos considerados.
Investigacion de antecedentes A.8.1.2
contractuales, los
Terminos y condiciones de
A.8.1.3 y los deben aceptar y
contratacion
firmar condiciones de su contrato de trabajo,
que sus responsabilidades y las de la
orqanizacionen lorelativo a sequridad de la informacion.
A.8.2 Durante el empleo
Objetivo: c?ntratistasy terceros son conscientes de las amenazas y
problemas queaftsta'1a la seguridad.de la.informacion Ygesus responsabilidades y obligaciones, y de que
estim preparacl.ospara cumplir lapolftica destguridad de>la organizacion, en el desarrollo habitual de su
trabaio. v para reducir el riesqode errorhumano;
Control
A.8.2.l Responsabilidades de la Direccion
Concienciacion, formacion y
capacitacion en seguridad de la A.8.2.2
los
corresponda, los contratistas
adecuada concienciacion y
oraanizacion
Control
formal para los
violacion de la
A.8.2.3
A.8.3
alguna
la organizacion 0 cambian de
Responsabilidad del cese 0
A.8.3.l Las responsabilidades para proceder al cese en el empleo 0
cambio
al puesto de trabajo deben estar claramente definidas y
asiqnadas.
Control
A.8.3.2 Devolucion de activos
Todos los emoleados. contratistas terceros deben
NMX-I-27001-NYCE-2009
23/40
devolver todos los activos de la organizacion que esten
su poder al finalizar su empleo. contrato 0 acuerdo.
Control
en
A.S.3.3
A.9
Reiterada de los derechos de
acceso
SeCluridad fisica ambiental
Los derechos de acceso a la informacion y a los recursos de
tratamiento de la informacion de todos los empleos,
contratistas y terceros deben ser reiterados a la finalizacion
del empleo, del contrato 0 del acuerdo, 0 bien deben ser
adaptados a los cambios producidos.
Control
A.9.l.2 Controles ffsicos de entrada Las areas estar protegidas por controles de
entrada adecuados, para asegurar que unicamente se
ermite el accesoial personal autorizado.
la informacion de la orqanizacion.
entrada
Control
Seguridad de oficinas, despachos
A.9.l.3
e instalaciones y aplicar las medidas de seguridad ffsica
ara lasoficinas.despachos e instalaciones.
A.9.l Areas seguras
Objetivo: Prevenir los accesos ffsicos no autorizados, los
A.9.l.1 Perfmetro de seguridad ffsica
Protecciori contra las amenazas
A.9.l.4
externas y de origen ambiental
intromisiones en las instalaciones y en
de segpridad (barreras, muros,
con control a traves de tarjeta, 0
puestos proteger las areas que contienen la
informacioniN losrecursos de tratamiento de la informacion.
Control
Se debe disenar y aplicar una proteccion ffsica contra el
dane causado por fuego, inundacion, terremoto, explosion,
revueltas sociales y otras formas de desastres naturales 0
rovocados por el hombre.
Control
A.9.l.5 Trabajo en areas seguras
proteccion ffsica y una
t ..",h",i"' .. en las areas seclUras.
A.9.l.6
Objetivo: Evitar perdidas, danos, robos 0 circunstancias que pongan
A.9.2.1
Emplazamiento y proteccion de
equipos
Los equipos deben situarse 0 protegerse de forma que se
reduzcan los riesgos derivados de las amenazas y peligros
de origen ambiental asf como las ocasiones de que se
roduzcan accesos no autorizados.
en peligro los activos, 0 que puedan
rovocar la interrupcion de las actividades de la orqanizacion.
Control
A.9.2
A.9.2.2
NMX-I-27001-NYCE-2009
24/40
Control
Instalacionesde suministro Los equipos deben estar protegidos contra fallos de
alimentacion y otras anomalfas causadas por fallos en las
instalaciones desuministro.
Control
A.9.2.3 Seguridad del cableado EI cableado electrico y de telecomunicaciones que transmite
datos 0 que da soporte a los servicios de informacion debe
estarproteqido frente a intercepciones 0 danos.
Control
A.9.2.4 Mantenimientode los equipos
correcto que
Seguridad de los equipos fuera de riesgos que conlleva
A.9.2.5
las instalaciones de lasiiistalaCiones de la organizacion, deben
Reutilizaci6n 0 retirada segura de Todos 105\.>soportes de almacenamiento deben ser
A.9.2.6
equipos para confirmarque todo datosensible y todas
las se han eliminado 0 bien se han
recarqadodemanera sequra. antesde su retirada.
Control
Retirada de materialespropiedad
A.9.2.7
dela empresa LOs>equipos, la infOrmacion no deben sacarse
de las instalaciones. sin una autorizacion previa.
Gestiondeco""unicacionesy operaciones
A.l0.l Responsabilidades y procedimientos de operacion
Deben documentarse y mant
operacion y ponerse a disposici6n
Documentacion de los
procecjjmientos de operacion
A.10.1.l
A.l0
la informacion.
los procedimientos de
todos los usuarios que
los necesiteht
Control
A.10.1.2
rolarse los cambios en los recursos y los
etratamientodela informacion.
areas de responsabilidad deben segregarse
la posibilidad de que se produzcan
modificaciones no autorizadas 0 no intencionadas 0 uses
indebidos de los activosde la orqanizacion.
Control
Separacion de los recursos de
A.10.l.4 Deben separarse los recursos de desarrollo, de pruebas y
desarrollo, prueba y operacion
de operacion, para reducir los riesgos de acceso no
autorizado 0 los cambios en el sistema ooerativo.
seguridad a los equipos situados fuera
de dichas instalaciones.
Control
*PROHIBIDA LA COPIA, REPRODUCCION PARCIAL0 TOTAL DE ESTA NORMA MEXICANA SIN LA AUTORIZACION DE NYCE, A.C.
A.10.1.3
NMX-I-27001-NYCE-2009
25/40
A.1.0.2 Gestion de la provision de servicios por terceros
Objetivo: Implantar y mantener el nivel apropiado de seguridad de la informacion en fa provision del
servicio. en consonancia con los acuerdos de provision de servicios por terceros.
Control
A.lO.2.l Provision de servicios
Se debe comprobar que los controles de seguridad, las
definiciones de los servicios y los niveles de provision,
incluidos en el acuerdo de provision de servicios por
terceros, han sido implantados, puestos en operacion y son
mantenidos por parte de un tercero.
Control
A.lO.2.2
Supervision y revision de los
servicios prestados por terceros
Los servicios
tercero deb
periodicas, y
eriodicas.
il"iformes y registros proporcionados por un
serpbjeto de supervision y revision
ambien/..deben lJevarse a cabo auditorfas
Control
A.lO.2.3
Gestion de cambios en los
servicios prestados por terceros
Se los cambios en la provision de los
servicios,igcluyengo el mantenimiento y la mejora de las
polfticas, Josprosegimientos y los controles de seguridad de
la teniendo en cuenta la criticidad
de los prosTsos',I;sistemas del negocio afectados as! como
la reevaluacion de los riesqos.
A.1.0.3 Planificac:io11 y aceptac:iondel sistema
Obietivo: Minimizarel riesQodefallos de los sistemas.
Control
A.lO.3.l Gestionde capacidades
La utilizacion de los recursos se debe supervisar y ajustar
as! como realizar proyecciones de los requisitos futuros de
capacidad, para garantizar el comportamiento requerido del
sistema.
Se deben establecer los
nuevos sistemas de informacion, Aceptacion del sistema A.lO.3.2
Objetivo: Prntpnpr
ales de deteccion, prevencion y
A.lOA.l
recuperacion que sirvan como proteccion contra codigo
A.lOA.2
Controles contra el codigo
descargado en el cliente
malicioso y se deben implantar procedimientos adecuados
de concienciacion del usuario.
Control
Cuando se autorice el uso de codigo descargado en el
cliente, (JavaScript, VBScript, applets de Java applets,
controles ActiveX, etc.. ), la configuracion debe garantizar
ue dicho codiqo autorizado funciona de acuerdo con una
"PROHIBIDA LA COPIA, REPRODUCCION PARCIAL 0 TOTAL DE ESTA NORMA MEXICANA SIN LA AUTORIZACION DE NYCE, A.C.
NMX-I-27001-NYCE-2009
26/40
Objet/vo: Asegurar la proteccion
sooorte.
A.10.6.l Controles de red
SegLJridadde los servicios de red A.10.6.2
A.10.7 Manipu/aCion de los soportes
Objetivo: Evitar la revelacion, modificacion,
interruocion de las actividades de la or
Gestion de soportes extrafbles A.10.7.l
polftica de seguridad c1aramente definida, y se debe evitar
ue se eiecute el codiqo no autorizado.
A.10.S Copias de seguridad
Objet/vo: Mantener la integridad y disponibilidad de la informacion y de los recursos de tratamiento de la
informacion.
Control
Copias de seguridad de la
Se deben realizar copias de seguridad de la informacion y A.10.5.l
informacion
del software, y se deben probar periodicamente conforme a
la oolftica de cooias de sequridad acordada.
A.10.6 Gestion de la seguridad de las redes
la proteccion de la infraestructura de
estar adecuadamente gestionadas y
que esten protegidas frente a posibles
mantener las seguridad de los sistemas y
de las ap!ic:;aciones que utilizan estas redes, incluyendo la
informaciohen transito.
Control
Se debenjdentificar las caracterfsticas de seguridad, los
niveles deserviCig, y los requisitos de gestion de todos los
servicios.de redlY se deben incluir en todo acuerdo de
si servicios se prestan dentro
de la orqanizacioncomo si se subcontratan.
la gestion de los
Losi>soportes>deben ser retiradosde forma segura cuando
ya no vayan a ser necesarios, mediante los procedimientos
La documentacion del sistema debe estar protegida contra
accesos no autorizados.
de la informacion
formales.estableCidos.
Control
la manipulacion y
de modo que se
ciOn}(contra la revelacion no autorizada
rocedimientos de I Control
A.10.7.2
A.10.7.3
A.10.7.4
Retirada de soportes
Seguridad de la documentacion
del sistema
A.10.S Intercambio de informacion
A.10.9.1
NMX-I-27001-NYCE-2009
27/40
intercambio de informacion
A.10.8.2 Acuerdos de intercambio
A.10.8.3 Soportes ffsicos en transito
A.10.8,4 Mensajerfa electronica
A.10.8.S
Sistemas de informacion
uridad de 105 servicios de comercioelectfonico
Control
La informacion incluida en el comercio electronico que se
transmita a traves de redes publicas debe protegerse contra
las actividades fraudulentas, las disputas contractuales, y la
revelacion 0 modificacion no autorizada de dicha
informacion.
Control
La informacion contenida en en linea debe
TransClcciones en Ifnea A.10.9.2 estar protegida para incompletas,
errores de direccionamiento, no autorizadas de
los mensajes, larevelacionpda .duplicacion 0 la reproduccion
no autorizadas del mensaie.
A.10.9.3
A.10.10
Se deben realizar registros de auditoria de las actividades
de 105 usuarios, las excepciones y eventos de seguridad de
Registro de auditorias A.10.10.l
la informacion, y se deben mantener estos registros durante
un periodo acordado para servir como prueba en
investigaciones futuras y en la supervision del control de
acceso.
Supervision del uso del sistema A.10.10.2 Control
Obietivo: Detectarlas actividades de
Supf3rvision
Control
empresariales
A.10.9 Servicios de comercio e/ectronico
Deben establecerse polfticas, procedimientos y controles
formales que protejan el intercambio de informacion
mediante el uso de todo tipo de recursos de comunicacion.
Control
Deben establecerse acuerdos para el intercambio de
informacion y del software entre la organizacion y 105
terceros.
Control
Durante el transporte fuera de 105 Ifmites ffsicos de la
organizacion, 105 soportes que contengan informacion
deben estar protegidos contra accesos no autorizados, usos
indebidosAoAdeterioro.
electronica
Deben y procedimientos para proteger
la informacion asociada a la interconexion de 105 sistemas
de inform,'lC:i6n emDresariales.
NMX-I-27001-NYCE-2009
28/40
Se deben establecer procedimientos para supervisar el uso
de los recursos de procesamiento de la informacion y se
deben revisar periodicamente los resultados de las
actividades de supervision.
Control
A.1D.1D.3
A.1D.1D.4
Proteccion de la informacion de
los registros
Registros de administracion y
operacion
Los dispositivos de registro y la informacion de los registros
deben estar protegidos contra manipulaciones indebidas y
accesos no autorizados.
Control
Se las actividades del administrador del
sistema vdelaToperacion del sistema.
A.1D.1D.S Registrode fallos
y se deben
Los reioNsdet9poS los sistemas de procesamiento de la
Sincronizacion del reloj A.1D.1D.6
informacionidentrofde una organizacion 0 de un dominio de
seguridad'geben estar sincronizados con una precision de
tiempo acordada
A.ll Controldi;iacceso
A.ll.l Requisitiisde negociopafa el contro/de acceso
Obietivo: Controlarel acceso ala informacion
Control
A.l1.ll control de acceso Se debe establecer, documentar y revisar una polftica de
control de acceso basada en los requisitos empresariales y
de seouridad para el acceso.
A.ll.2 Gestion de acceso de usuario
Objetivo: Asegurarel acceso de un usuario ;:llltr'li'i'7iitiir'l
nrpvpnir el
autorizado a los sistemas de
informacion
Control
Registro de usuario DebEfiestablecerseuniprocedimiehto formal de registro y de
anulacion de usuarios para conceder y revocar el acceso a
A.11.2.l
A.11.2.2
privilegios deben estar
A.11.2.3
ser controlada a traves
todds lossistell1aS0YiserViCiosdeW"Iformacion.
r:ontrrlsenas debe
Revision de los derechos de
A.11.2,4
acceso de usuario La Direccion debe revisar los derechos de acceso de usuario
aintervalos reoulares v utilizandoun proceso formal
NMX-I-27001-NYCE-2009
29/40
A.ll.3 Responsabilidades de usuario
Objet/vo: Prevenir el acceso de usuarios no autorizados, asf como evitar el que se comprometa 0 se
roduzca el robe de la informacion 0 de los recursos de procesamiento de la informacion
A.11.3.3
Polftica depuest() de trabajo
despejado y pantalla Iimpia
puesto de trabajo despejado
de almacenamiento extrafbles
con ana pblitica<depantalla Iimpia para los recursos
rocesal"nient6de la informacion.
A.ll.4 Control deacceso a la red
Objet/vo: Prevenirel acceso no autorizado alos servicios en red.
La
aracontrolarel acceso.de los usuarios remotos.
Control
Polftica deusode los servicios en
A.11.4.1 Se debe proporciClhar a los usuarios unicamente el acceso a
red
los serviciCls para los que hayan sido espedficamente
autorizadbs;
Control
Autenticacion de usuariopara
A.llA.2
conexiones externas Se deben utilizar los metodos de autenticacion
Identificacion de losequipos en se debe
A.llA.3
las redes aUtenticacion de las
y equipos
Diagnostico remotoy proteccion
A.llA.4
A.11.4.5
A.llA.6
logico a los puertos de
formacion, usuarios y sistemas
en redes.
en aquellas que
traspasenlas fronteras de<la organizacion, debe restringirse
la capacidad de los usuarios para conectarse a la red, esto
debe hacerse de acuerdoa la polftica de control de acceso y
alos reauisitos de las aplicaciones del neaocio (vease 11.1).
de los puertosdeconfiguracion
A.11.3.1
A.11.3.2
Control
Uso de contrasena Se debe requerir a los usuarios el seguir
practicas de seguridad en la seleccion y el
contrasefias.
Control
las
usa
buenas
de las
Equipo de usuario desatendido
Los usuarios deben asegurarse de
desatendido tiene la proteccion adecuada.
Control
que el equipo
Control
Control de encaminamiento
A.11A.7 Se deben implantar controles de encaminamiento (routing)
(routing) de red
de redes para asegurar que las conexiones de las
computadoras v los fluios de informacion no violan la
" PROHIBIDA LA COPIA, REPRODUCCION PARCIAL 0 TOTAL DE ESTA NORMA MEXICANA SIN LA AUTORIZACION DE NYCE, A.C.
NMX-I-27001-NYCE-2009
30/40
polftica de control de acceso de las aplicaciones
empresariales.
A.11.S Control de acceso al sistema operativo
Obietivo: Prevenir el acceso no autorizado a los sistemas operativos.
Control
A.ll.S.l
Procedimientos seguros de inicio
de sesion EI acceso a los sistemas operativos se debe controlar por
medio de un procedimiento seouro de inicio de sesion.
Control
A.ll.S.2
Identificacion y autenticacion de
usuario
Todos los usuarios deben tener un identificador unico (ID de
usuario) para su usc personal y exclusivo, y se debe elegir
una tecnica adecuada de autenticacion para confirmar la
identidad solicitada del usuario.
las
de
las aplicaciones de
los tiempos de
dorasportatiles y servicios de
Control
deben cerrarse despues de un
eriodo deinactividad definido.
Control
Desconexion automatica de
Uso de los recursos del sistema
Sistema de gestion de
contrasenas
A.l1.6.1
Objetivo: Garantizarla seguridad de la
teletrabaio
A.l1.6.2
Control
Obietivo: Prevenir el acceso no autorizado a la informacion Que .-nnf'i"'npn
A.1l.S.6 I Limitac:ionidel tiempo de conexion I Para proporcionar seguridad. adiciOh.af
alto riesgo, se deben utiliza.t
conexion
A.ll.S.S
A.ll.S.4
A.11.6 Control deacceso a las aplicaciones ya la informacion
A.1l.S.3
A.1l.7.1
Computadoras portatiles y
comunicaciones moviles
Se debe implantar una polftica formal y se deben adoptar
las medidas de seguridad adecuadas de proteccion contra
riesgos de la utilizacion de computadoras portatiles y
comunicaciones moviles.
A.1l.7.2 Teletrabajo
Control
NMX-I-27001-NYCE-2009
31/40
Se debe redactareimplantar, una polftica de actividades de
teletrabajo, as! como los planes y procedimientos de
ooeracion corresoondientes.
A.12 Adauisicion. desarrollo v mantenimiento de los sistemas de informacion
A.12.1 Requisitos de seguridad de los sistemas de informacion
rada en los sistemas de informacion.
Control
En las declaraciones de los requisitos de negocio para los Analisis y especificacion de los
A.12.1.1
nuevos sistemas de informacion, 0 para mejoras de los
sistemas de informacion ya existentes, se deben especificar
los reauisitos deloscontroles de seouridad.
requisitos de seguridad
A.12.2 Tratamiento correcto de las aplicaciones
Objetivo: Evitar err'ores, perdidas, mnrlifi,.."r-innpc:: indebidbs de la informacion en las
aolicaciones
Control
Validacion de los datos de
La introdllc@onde/datos en las aplicaciones debe validarse A.12.2.1
entrada
para garantizatClue dichos datos son correctos y
adecuados.
Control
Para corrupcion de la informacion debida
A.12.2.2 Controldeprocesamiento interne
aerroresdeprocesamiento 0 actos intencionados, se deben
cornprobaciones de validacion en las
aolicaciones.
Control
Se deben identificar los requisitos para garantizar la
A.12.2.3 los mensajes
autenticidad y para proteger la integridad de los mensajes
en las aplicaciones y se deben identificar e implantar los
controlesadecuados.
A.12.2,4 Validacion de los datos de salida aplicacion se deben validar para
tratamiento dela informacion almacenada
A.12.3 Controlescriptognificos
A.12.3.2 IGestion de c1aves IDebe implantarse un sistema de gestion de c1aves para dar
soporte al uso de tecnicas criptogrclficas por parte de la
oraanizacion.
A.12.4 Seguridad de los archivos de sistema
Obietivo: Garantizarla seauridad de los archivosde sistema.
Control del software en IControl
exolotacion
A.12.3.1
Icfinformacion por medios
.. PROHIBIDA LA COPlA, REPRODUCCION PARCIAL 0 TOTAL DE ESTA NORMA MEXICANA SIN LA AUTORIZACION DE NYCE. A.C.
NMX-I-27001-NYCE-2009
32/40
Deben estar implantados procedimientos para controlar la
instalacion de software en los sistemas ooerativos
Control
Proteccion de los datos de prueba
A.12,4.2
Los datos de prueba se deben seleccionar con cuidado y
deben estar proteqidos y controlados.
del sistema
Control
Control de acceso al codigo
A.12,4.3
Se debe restringir el acceso al codigo fuente de los
orooramas.
fuente de los programas
A.12.5 Seguridad en los procesos de desarrollo y soporte
Objet/vo: Mantener la sequridad del software y de la informacion de las aplicaciones
Control
Procedimientos de control de
A.12.5.1
La implantacionde cambiosdebe controlarse mediante el
uso de orocedimiento formales de control de cambios.
cambios
Control
Revision tecnica de las
Cuando se modifiquen los sistemas operativos, las
A.12.5.2 aplicaciones tras efectuar
aplicaciones empr'esariales crfticas deben ser revisadas y
cambios en el sistema operativo
probadas para garantizar que no existen efectos adversos
en las operaciones 0 en la sequridad de la orqanizacion.
Control
Restricciones a los cam bios en los
Se deben disuadir las modificaciones en los paquetes de A.12.5.3
paquetes de software
software, Iimitandose a los cambios necesarios, y todos los
cambios deben ser objeto de un control riguroso.
Control
A.12.5,4 Fugas de informacion
Deben evitarse las situaciones que permitan que se
oroduzcan fuoas de informacion.
Control
Externalizacion del desarrollo de
A.12.5.5
software La de software debe ser
supervisada y controlada por laorganizacion.
A.12.6 Gesti6n de la vulnerabilidad tecnica
Objet/vo: Reducir los riesgos resultantes de la explotacion de las vulnerabilidades tecnicas publicadas.
Control
Control IfUIlIt:1
A.12.6.1
tecnicas
A.13
A.13.1 Notificaci6n de eventos y puntos.debiles de la seguridad ....
Objet/vo: Asegurarse de que los eventos y las vulnerabilidades de la seguridad de la informacion, asociados
con los sistemas de informacion, se comunican de manera que sea posible emprender las acciones
correctivas oportunas.
Control
Notificacion de los eventos de
A.13.1.1 Los eventos de seguridad de la informacion se deben
notificar a traves de los canales adecuados de gestion 10
antes posible.
NMX-I-27001-NYCE-2009
33/40
Control
N tT ., d ltd'b'l I Todos los empleados, contratistas, y terceros que sean
A.13.1.2 I dO iIcaclon' os pun os e I es usuarios de los sistemas y servicios de informacion deben
d
e a segur! a estar obligados a anotar y notificar cualquier punta debil
que observen 0 que sospechen eXista, en dichos sistemas 0
servicios.
A.13.2 Gestion de incidentes de seguridad de la informacion y mejoras
Objet/vo: Garantizar que se aplica un enfoque coherente y efectivo a la gestion de los incidentes de
seguridad de la informacion.
Control
Responsabilidades y
Se deben establecer las responsabilidades y procedimientos A.13.2.1
procedimientos
de garantizar una respuesta rapida, efectiva y
ordenada alos incidentes de seguridad de la informacion.
Control
Aprendizaje de los incidentes de
Deben existir mecanismos que permitan cuantificar y A.13.2.2
supervisar los tipos, volumenes y costos de los incidentes
de seguridad de la informacion.
Control
Cuando se emprenda una accion contra una persona u
organizacion, despues de un incidente de seguridad de la
A.13.2.3 Recopilacion de evidencias
informacion, que implique acciones legales (tanto civiles
como penales), deben recopilarse las evidencias,
conservarse y presentarse conforme a las normas
establecidas en la jurisdiccioncorrespondiente.
A.14 Gestion de la continuidad del negocio
A.14.1 Aspectos de seguridad de la informacion en la gestion de la continuidad del negocio
Objet/vo: Contrarrestar las interrupciones de las actividadesempresariales y crfticos de
negocio de los efectos derivados de fallos importantes 0 catastroficos de los sistemas de informacion, as!
como qarantizar su oportuna reanudacion
Control
Inclusion de la seguridad de la
informacion en el proceso de Debe desarrollarse y un proceso para la
A.14.1.1
gestion de la continuidad del continuidad del negocio en:> toda la organizacion, que
negocio gestione los> retluisitos de seguridad de la informacion
necesarios para la continuidad del neqocio.
que puedan causar
Continuidad del negoclo y
A.14.1.2 de negocio, aSI como la
riesgos
I tales interrupciones, sus
para la seguridad de la
IUIIIIO\;;.IUII.
Control
Desarrollo e implantacion de
planes de continuidad que Deben desarrollarse e implantarse planes para mantener 0
A.14.1.3 incluyan la seguridad de la restaurar las operaciones y garantizar la disponibilidad de la
informacion informacion en el nivel y en tiempo requeridos, despues de
una interrupcion 0 un fallo de los procesos de negocio
crfticos.
Marco de referencia para la Control
A.14.1,4
planificacion de la continuidad del
* PROHIBIDA LA COPIA, REPRODUCCION PARCIAL 0 TOTAL DE ESTA NORMA MEXICANA SIN LA AUTORIZACION DE NYCE, A.C.
NMX-I-27001-NYCE-2009
34/40
negocio
Pruebas, mantenimientoy
A.14.1.5 reevaluacion de los planes de
continuidad del negocio
A.15 Cumplimiento
Debe mantenerse un unico marco de referencia para los
planes de continuidad del negocio, par asegurar que todos
los planes sean coherentes, para cumplir los requisitos de
seguridad de la informacion de manera consistente y para
identificar las prioridades de realizacion de pruebas y de
mantenimiento.
Control
Los planes de continuidad del negocio deben probarse y
actualizarse periodicamente para asegurar que estan al dia
v aue son efectivos.
A.15.1.1 Cumplimiento de los requisitos legales
Objetivo: Evitarincumplimientosde las leyes 0 de las obligacioneslegales, reglamentarias 0 contractuales y
de los requisitos de sequridad.
Identificacion de la legislacion
A.15.1.1
Derechos de propiedad intelectual
A.15.1.2 (DPI) [Intellectual Property
Proteccion de los documentosde
A.15.1.3
Proteccion de datosy privacidad
A.15.1.4
de la informacion personal
A.15.1.5
aplicable
Rights (IPR)]
la organizacion
. ,j
'" "'"!'
los c .......J?V:> iLl
IVI
oQnld::i"'i6n de
criptogrclficos
IILV
"'VIILIVIC:>
A.15.1.6
Control
Todos los requisitos pertinentes, tanto legales como
reglamentarios 0 contractuales, y el enfoque de la
organizacion parel cumplir dichos requisitos, deben estar
definidos, documentados y mantenerse actualizados de
forma explfcita para cada sistema de informacion de la
orqanizacion.
Control
Deben implantarse procedimientos adecuados para
garantizar el cumplimiento de los requisitos legales,
reglamentarios y contractuales sobre el usa de material,
con respecto al cual puedan existir derechos de propiedad
intelectual y sobre el uso de productos de
software/propietario.
Control
.. protegidos contra
fa perdida, destruccion y de acuerdo con los
requisitos legales, regulatorios, contractuales y
empresariales.
Control
Debe garantizarse la proteccion y la privacidad de los datos
se requiera E:!g la y las regulaciones y, en
sucaso en las clausulas;contractuales pertinentes.
i
Control
Se 10suslJarios utilicen los recursos de
tratamientode fa informacion para fines no autorizados.
Control
Los controles criptogrclficos se deben utilizar de acuerdo
con todos los contratos leves v reaulaciones oertinentes.
A.15.2 Cumplimiento de las politicas y normas de seguridad y cumplimiento tecnico
Obietivo: Asegurarque los sistemas cumplen las politicasy normasdesequridad de la orqanizacion.
Control
Cumplimiento de las polfticas y
A.15.2.1
normasde seguridad
Los directores deben asegurarse de Que todos los
NMX-I-27001-NYCE-2009
35/40
procedimientos de seguridad dentro de su area de
responsabilidad se realizan correctamente con el fin de
cumplirlas polfticas y normasde seouridad.
Control
Comprobacion del cumplimiento .' . .
A.15.2.2 t" Debe comprobarse penodlcamente que los sistemas de
eCnlco informacion cumplen las normas de aplicacion de la
seauridad.
A.15.3 Consideraciones sobre la auditoria de los sistemas de informacion
Objet/vo: Lograr que el proceso de auditoria de los sistemas de informacion alcance la maxima eficacia con
las mfnimas interferencias.
Control
A15 3 1 Controles de auditoria de los Los actividadesde auditoria que impliquen
. .. sistemas de informacion sistemas operativos deben ser
cUidadosamenteplanificados y acordados para minimizarel
riesao deinterruocionesen los orocesos emoresariales.
Control
Proteccion de las herramientas
A.15.3.2 de auditoria de los sistemas de EI acceso a las herramientas de auditoria de los sistemas
informacion de informacion debe estar protegido para evitar cualquier
oosible oeliqro 0 usa indebido.
9 BIBLIOGRAFiA
ISO/IEC 27001 (2005) Information technology - Security techniques - Information
securitymanagementsystems- Requirements.
10 CONCORDANCIA CON NORMAS INTERNACIONALES
Esta Norma Mexicana es identica a la Norma Internacional ISO/IEC 27001 (2005)
"Information technology - Securitytechniques - Information securit')'i/Flianagementsystems -
Requirements".
PROHIBIDA LA COPIA, REPRODUCCION PARCIAL0 TOTAL DE ESTA NORMA MEXICANA SIN LA AUTORIZACION DE NYCE, A.C.
NMX-I-27001-NYCE-2009
36/40
APENDICE B
(Informativo)
LOS PRINCIPIOS DE LA OCDE Y ESTA NORMA MEXICANA
Los principios recogidos en las Directrices de la OCDE para la seguridad de los sistemas y
redes de informacion se aplican a todas las pollticas y a todos los niveles de operacion que
rigen la seguridad de los sistemas y redes de informacion. Esta l\Iorma Mexicana constituye
el marco del sistema de gestion de la seguridad de la informacion para implementar algunos
de los principios de la OCDE utilizando el modelo pDCA y los procesos descritos en los
capitulos 4, 5, 6 Y 8, segun se indica en la tabla B.1.
TABLA B.1.- Los principios dEHaOCDEyelmodelo PDCA
Princioio de la OCOE
Concienciacion
Los participantes deben concienciarse de la
necesidad de garantizar la seguridad de los
sistemas y redes de informacion y saber que
pueden hacer ellos para mejorar la seguridad.
Responsabilidad
Todos los participantes son responsables de la
seguridad de los sistemas y redes de
informacion.
Respuesta
Los participantes deben actuar de forma
oportuna y coordinada para prevenir, detectar
y responder a los incidentes de seguridad.
Evaluacion de riesgos
Los participantes deben lIevar a cabo
evaluaciones de
Proceso del SGSI v fase del POCA corresoondientes
Esta actividad es parte de la fase Hacer (Do) (veanse 4.2.2
y 5.2.2).
Esta actividad es parte de la fase Hacer (Do) (veanse 4.2.2
y 5.1).
Esto es en parte una actividad de supervision de la fase
Verificar (Check) (vease 4.2.3 y 6 a 7.3) y una actividad
de respuesta de la fase Actuar (Act) (vease 4.2.4 Y 8.1 a
8.3). Tambien puede tener que ver con algunos aspectos de
las fase Planificar (Plan) y (Verificar (Check).
I Esta actividad es parte de la fase Planificar (Plan) (vease
4.2;1}ytareevaluacion/del riesgo es parte de la fase
I Verificar (Check) (vease 4.2.3 y 6 a 7.3).
Oiseno e de riesgos, se seleccionan
tratamiento de los riesgos como parte
Los participantes d
como un la implantacion y el
redes de
elementoesencial
(Plan) (vease 4.2.1). La fase Hacer

Gestion de la seguridad La gestion del riesgo es un proceso que incluye la
prevencion, deteccion y respuesta a los incidentes, y la
Los participantes deben adoptar criterios gestion continuada de la seguridad. Todos estos aspectos
detallados de mantenimiento, revision y estan comprendidos en las fases Planificar (Plan), Hacer
auditorfa. (Do), Verificar (Check) y Actuar ( Act).
NMX-I-27001-NYCE-2009
37/40
Reevaluaci6n I La reevaluacion de la seguridad de la informacion es parte
de la fase Verificar (Check) (vease 4.2.3 y 6 a 7.3), en la
Los participantes deben revisar y reevaluar la cual deben lIevarse a cabo revisiones periodicas para
seguridad de los sistemas y redes de comprobar la eficacia del sistema de gestion de seguridad
informacion, y efectuar las modificaciones de la informacion, y la mejora de la seguridad es parte de la
apropiadas de las polfticas, prckticas, medidas fase Actuar (Act) (vease 4.2.4 y 8.1 a 8.3).
y procedimientos de seguridad.
NMX-I-27001-NYCE-2009
38/40
APENDICE C
(Informativo)
CORRESPONDENCIA ENTRE LAS NORMAS NMX-CC-9001-IMNC, NMX-SSA-14001-
IMNCY ESTA NORMAMEXICANA
La tabla C.l - Correspondencia entre las normas NMX-CC-900l-IMNC e NMX-SSA-1400l-
IMNCYesta l\Iorma Mexicana.
TABLAC.l.- CorrespondenciaentrelasnormasNMX-CC-9001-IMNCe NMX-SSA-
14001-IMNCvesta Norma Mexicana
Esta NormaMexicana NMX-CC-9001"IMNC NMX-SSA-14001-IMNC
a Introduccion
0.1 Generalidades
0.2 Enfoque del proceso
0.3 Compatibilidad con otros sistemas
de qestion
0 Introduccion
0.1 Generalidades
0.2 Enfoquedel proceso
0.3 Relacion can la Norma ISO9004
0.4 Compatibilidad can otros sistemas de
gestion
1 Objetivoy campodeaplicacion
1.1 Generalidades
1.2 Aolicacion
2 Normasparaconsulta
3 Terminosy definiciones
4 Seguridaddelainformacion
8.2.3Supervision y medicion de los
procesos
8.2.4 y del
4.2 Requisitos de la
4.2.1Generalidades
4.2.2Manual de calidad
0 Introduccion
1 Objetivoy campode
aplicacion
2 Normasparaconsulta
4 Sistemi!)de gestion de los
requisitosdelSGA
4.4 Implantacion y operacion
4.5.1';>ufJ"" ':>IUI y medicion
1 Objetivoy campodeaplicacion
1.1 Generalidades
1.2 Aolicacion
2 Referencias
4 Seguridaddelainformacion
4.2 Creacion y gestion del SGSI
4.2.1Creacion del SGSI
4.2.2Implantacion y delSGSI
4.2.3Supervision y
4.2.4Mantenimiento SGSI
4.3 Requisitos de la
4.3.1Generalidades
4.3.2Control de documentos 4.2.3Control de documentos 4.4.5Control dedocumentacion
4.3.3Control de registros 4.2.4Control de registros 4.5.4Control de registros
NMX-I-27001-NYCE-2009
39/40
Esta Norma Mexicana NMX-CC-9001-IMNC NMX-SSA-14001-IMNC
5 Responsabilidad dela Direcci6n I 5 Responsabilidad dela Direcci6n
5.1 Compromiso de la Direccion 5.1 Compromiso de la Direccion
5.2 Orientacion al c1iente
4.2 Polftica ambiental 5.3 Politica de calidad
4.3 Planificacion 5.4 Planificacion
5.5 Responsabilidad, autoridad y
comunicacion
6 Gesti6n delosrecursos 5.2 Gestion de los recursos
6.1 Provision de los recursos 5.2.1Provision de los recursos
6.2 Recursos humanos
4.4.2Competencia, formacion y
competencia
5.2.2Concienciacion, formacion y 6.2.2Competencia, concienciacion y
formacion concienciacion
6.3 Infraestructura
6.4 Entorno de trabajo
4.5.5Auditoria interna
7 Revisi6n del SGSI por la I 5.6 Revision porla Direccion
6 Auditoriasinternasdel SGSI 8.2.2Auditoria interna
4.6 Revisi6n porla Direcci6n
Direcci6n
5.6.1Generalidades
7.1 Generalidades
5.6.2Datos inicialesde la revision
7.2 Datos iniciales de la revision
5.6.3Resultados de la revision
7.3 Resultados de la revision
8 Mejoradel SGSI 8.5 Mejora
8.1 Mejoracontinua 8.5.1Mejora continua
8.2 Accion correctiva 8.5.3Acciones correctivas 4.5.3Disconformidad, accion
corrediva y accion preventiva
8.3 Accion preventiva 8.5.3Acciones preventivas
Ap{mdice A Objetivos de control V Ap{mdice A Guia de uso de esta
controles NormaMexicana
Ap{mdice BLos principiosdela OCDE
vestaNorma Mexicana
Ap{mdice C Correspondencia entre Ap{mdice B Correspondencia
las normas NMX-CC-9001-IMNC e 9001: .L"UU.L; Ientre las Norma ISO 14001:
NMX-SSA-14001-IMNC vesta NormaI 1996 2004e ISO9001: 2000
Mexicana
NMX-I-27001-NYCE-2009
40/40
APENDICE 0
(Informativo)
NORMAS INTERNACIONALES QUE COMPLEMENTAN A ESTA NORMA MEXICANA
0.1 ISO/IEC TR 18044:2004 Information technology - Security
Information security incident manage
techniques
ment.
-
0.2 ISO/IEC Guide 73:2002 Risk management - Vocabulary - Guidelines for u
in standards.
se
0.3 ISO 19011:2002 Guidelines for quality and/or
management systems auditing.
environmental

NMX I 27001 Nyce 2009

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

NMX I 27001 Nyce 2009

Uploaded by

Copyright:

Available Formats

NYCE

You might also like