Professional Documents
Culture Documents
COLOMBIANA
NTC-ISO/IEC
27001
2006-03-22
TECNOLOGA DE LA INFORMACIN.
TCNICAS DE SEGURIDAD. SISTEMAS
GESTIN
DE
LA
SEGURIDAD
DE
INFORMACIN (SGSI). REQUISITOS
E:
DE
LA
CORRESPONDENCIA:
DESCRIPTORES:
I.C.S.: 35.040.00
Editada por el Instituto Colombiano de Normas Tcnicas y Certificacin (ICONTEC)
Apartado
14237
Bogot,
D.C.
Tel.
6078888
Fax
2221435
Prohibida su reproduccin
Editada 2006-04-03
PRLOGO
BANCO DAVIVIENDA
BANCO DE BOGOT
BANCO DE COLOMBIA
BANCO DE CRDITO
BANCO DE CRDITO HELM FINANCIAL
SERVICES
BANCO DE OCCIDENTE
BANCO MERCANTIL DE COLOMBIA
BANCO POPULAR
BANCO SANTANDER COLOMBIA
BANCO STANDARD CHARTERED COLOMBIA
BANCO SUDAMERIS COLOMBIA
BANCO SUPERIOR
BANCO TEQUENDAMA
ICONTEC cuenta con un Centro de Informacin que pone a disposicin de los interesados
normas internacionales, regionales y nacionales y otros documentos relacionados.
DIRECCIN DE NORMALIZACIN
NTC-ISO/IEC 27001
CONTENIDO
Pgina
0.
INTRODUCCIN ........................................................................................................ I
0.1
GENERALIDADES ..................................................................................................... I
0.2
0.3
1.
OBJETO .................................................................................................................... 1
1.1
GENERALIDADES .................................................................................................... 1
1.2
APLICACIN ............................................................................................................. 1
2.
3.
TRMINOS Y DEFINICIONES................................................................................... 2
4.
4.1
4.2
4.3
REQUISITOS DE DOCUMENTACIN....................................................................... 9
5.
5.1
COMPROMISO DE LA DIRECCIN........................................................................ 10
5.2
6.
NTC-ISO/IEC 27001
Pgina
7.
7.1
GENERALIDADES .................................................................................................. 12
7.2
7.3
8.
8.1
8.2
ACCIN CORRECTIVA........................................................................................... 14
8.3
ANEXO A
OBJETIVOS DE CONTROL Y CONTROLES ..................................................................... 15
ANEXO B
PRINCIPIOS DE LA OCDE Y DE ESTA NORMA ............................................................... 33
ANEXO C
CORRESPONDENCIA ENTRE LA NTC-ISO 9001:2000, LA NTC-ISO 14001:2004,
Y LA PRESENTE NORMA...................................................................................... 34
0.
INTRODUCCIN
0.1
GENERALIDADES
NTC-ISO/IEC 27001
Esta norma ha sido elaborada para brindar un modelo para el establecimiento, implementacin,
operacin, seguimiento, revisin, mantenimiento y mejora de un sistema de gestin de la
seguridad de la informacin (SGSI). La adopcin de un SGSI debera ser una decisin
estratgica para una organizacin. El diseo e implementacin del SGSI de una organizacin
estn influenciados por las necesidades y objetivos, los requisitos de seguridad, los procesos
empleados y el tamao y estructura de la organizacin. Se espera que estos aspectos y sus
sistemas de apoyo cambien con el tiempo. Se espera que la implementacin de un SGSI se
ajuste de acuerdo con las necesidades de la organizacin, por ejemplo, una situacin simple
requiere una solucin de SGSI simple.
Esta norma se puede usar para evaluar la conformidad, por las partes interesadas, tanto
internas como externas.
0.2
b)
c)
d)
NTC-ISO/IEC 27001
Partes
interesadas
Partes
interesadas
Planificar
Establecer
el SGSI
Actuar
Requisitos y
expectativas de
seguridad de
la informacin
Implementar
y operar
el SGSI
Mantener y
mejorar
el SGSI
Actuar
Hacer
seguimiento y
revisar el SGSI
Verificar
Seguridad de
la informacin
gestionada
Directrices OCDE para la seguridad de sistemas y redes de informacin. Hacia una cultura de la seguridad.
Pars: OCDE, Julio de 2002. www.oecd.org.
II
0.3
NTC-ISO/IEC 27001
Esta norma est alineada con la NTC-ISO 9001:2000 y la NTC-ISO 14001:2004, con el fin de
apoyar la implementacin y operacin, consistentes e integradas con sistemas de gestin
relacionados. Un sistema de gestin diseado adecuadamente puede entonces satisfacer los
requisitos de todas estas normas. La Tabla C.1 ilustra la relacin entre los numerales de esta
norma, la norma NTC-ISO 9001:2000 y la NTC-ISO 14001:2004.
Esta norma est diseada para permitir que una organizacin alinee o integre su SGSI con los
requisitos de los sistemas de gestin relacionados.
III
NTC-ISO/IEC 27001
TECNOLOGA DE LA INFORMACIN.
TCNICAS DE SEGURIDAD. SISTEMAS DE GESTIN DE LA
SEGURIDAD DE LA INFORMACIN (SGSI). REQUISITOS
IMPORTANTE esta publicacin no pretende incluir todas las disposiciones necesarias de un contrato. Los
usuarios son responsables de su correcta aplicacin. El cumplimiento con una norma en s misma no confiere
exencin de las obligaciones legales.
1.
OBJETO
1.1
GENERALIDADES
Esta norma cubre todo tipo de organizaciones (por ejemplo: empresas comerciales, agencias
gubernamentales, organizaciones si nimo de lucro). Esta norma especifica los requisitos para
establecer, implementar, operar, hacer seguimiento, revisar, mantener y mejorar un SGSI
documentado dentro del contexto de los riesgos globales del negocio de la organizacin.
Especifica los requisitos para la implementacin de controles de seguridad adaptados a las
necesidades de las organizaciones individuales o a partes de ellas.
El SGSI est diseado para asegurar controles de seguridad suficientes y proporcionales que
protejan los activos de informacin y brinden confianza a las partes interesadas.
NOTA 1
Las referencias que se hacen en esta norma a negocio se deberan interpretar ampliamente como
aquellas actividades que son esenciales para la existencia de la organizacin.
NOTA 2
La NTC-ISO/IEC 17799 brinda orientacin sobre la implementacin, que se puede usar cuando se
disean controles.
1.2
APLICACIN
Los requisitos establecidos en esta norma son genricos y estn previstos para ser aplicables a todas
las organizaciones, independientemente de su tipo, tamao y naturaleza. No es aceptable la
exclusin de cualquiera de los requisitos especificados en los numerales 4, 5, 6, 7 y 8 cuando una
organizacin declara conformidad con la presente norma.
Cualquier exclusin de controles, considerada necesaria para satisfacer los criterios de
aceptacin de riesgos, necesita justificarse y debe suministrarse evidencia de que los riesgos
asociados han sido aceptados apropiadamente por las personas responsables. En donde se
excluya cualquier control, las declaraciones de conformidad con esta norma no son aceptables
a menos que dichas exclusiones no afecten la capacidad de la organizacin y/o la
responsabilidad para ofrecer seguridad de la informacin que satisfaga los requisitos de
seguridad determinados por la valoracin de riesgos y los requisitos reglamentarios aplicables.
NOTA
Si una organizacin ya tiene en funcionamiento un sistema de gestin de los procesos de su negocio (por
ejemplo: en relacin con la NTC-ISO 9001 o NTC-ISO 14001), en la mayora de los casos es preferible satisfacer los
requisitos de la presente norma dentro de este sistema de gestin existente.
NTC-ISO/IEC 27001
REFERENCIA NORMATIVA
TRMINOS Y DEFINICIONES
Para los propsitos de esta norma, se aplican los siguientes trminos y definiciones:
3.1
aceptacin del riesgo
decisin de asumir un riesgo.
[Gua ISO/IEC 73:2002]
3.2.
activo
cualquier cosa que tiene valor para la organizacin.
[NTC 5411-1:2006]
3.3
anlisis de riesgo
uso sistemtico de la informacin para identificar las fuentes y estimar el riesgo.
[Gua ISO/IEC 73:2002]
3.4
confidencialidad
propiedad que determina que la informacin no est disponible ni sea revelada a individuos,
entidades o procesos no autorizados.
[NTC 5411-1:2006]
3.5
declaracin de aplicabilidad
documento que describe los objetivos de control y los controles pertinentes y aplicables para el
SGSI de la organizacin.
NOTA
Los objetivos de control y los controles se basan en los resultados y conclusiones de los procesos de
valoracin y tratamiento de riesgos, requisitos legales o reglamentarios, obligaciones contractuales y los requisitos
del negocio de la organizacin en cuanto a la seguridad de la informacin.
3.6
disponibilidad
propiedad de que la informacin sea accesible y utilizable por solicitud de una entidad
autorizada.
[NTC 5411-1:2006]
2
NTC-ISO/IEC 27001
3.7
evaluacin del riesgo
proceso de comparar el riesgo estimado contra criterios de riesgo dados, para determinar la
importancia del riesgo.
[Gua ISO/IEC 73:2002]
3.8
evento de seguridad de la informacin
presencia identificada de una condicin de un sistema, servicio o red, que indica una posible
violacin de la poltica de seguridad de la informacin o la falla de las salvaguardas, o una
situacin desconocida previamente que puede ser pertinente a la seguridad.
[ISO/IEC TR 18044:2004]
3.9
gestin del riesgo
actividades coordinadas para dirigir y controlar una organizacin en relacin con el riesgo.
[Gua ISO/IEC 73:2002]
3.10
incidente de seguridad de la informacin
un evento o serie de eventos de seguridad de la informacin no deseados o inesperados, que
tienen una probabilidad significativa de comprometer las operaciones del negocio y amenazar
la seguridad de la informacin.
[ISO/IEC TR 18044:2004]
3.11
integridad
propiedad de salvaguardar la exactitud y estado completo de los activos.
[NTC 5411-1:2006]
3.12
riesgo residual
nivel restante de riesgo despus del tratamiento del riesgo.
[Gua ISO/IEC 73:2002]
3.13
seguridad de la informacin
preservacin de la confidencialidad, la integridad y la disponibilidad de la informacin; adems,
puede involucrar otras propiedades tales como: autenticidad, trazabilidad (Accountability), no
repudio y fiabilidad.
[NTC-ISO/IEC 17799:2006]
3.14
sistema de gestin de la seguridad de la informacin
SGSI
parte del sistema de gestin global, basada en un enfoque hacia los riesgos globales de un
negocio, cuyo fin es establecer, implementar, operar, hacer seguimiento, revisar, mantener y
mejorar la seguridad de la informacin.
3
NTC-ISO/IEC 27001
NOTA
El sistema de gestin incluye la estructura organizacional, polticas, actividades de planificacin,
responsabilidades, prcticas, procedimientos, procesos y recursos.
3.15
tratamiento del riesgo
proceso de seleccin e implementacin de medidas para modificar el riesgo.
[Gua ISO/IEC 73:2002]
NOTA
3.16
valoracin del riesgo
proceso global de anlisis y evaluacin del riesgo.
[Gua ISO/IEC 73:2002]
4.
4.1
REQUISITOS GENERALES
b)
2)
3)
4)
NTC-ISO/IEC 27001
2)
d)
e)
f)
identificar los activos dentro del alcance del SGSI y los propietarios2 de
estos activos.
2)
3)
4)
2)
3)
4)
El trmino propietario identifica a un individuo o entidad que tiene la responsabilidad, designada por la
gerencia, de controlar la produccin, desarrollo, mantenimiento, uso y seguridad de los activos. El trmino
propietario no quiere decir que la persona realmente tenga algn derecho de propiedad sobre el activo.
g)
NTC-ISO/IEC 27001
1)
2)
3)
evitar riesgos, y
4)
h)
i)
j)
2)
3)
NTC-ISO/IEC 27001
b)
c)
d)
e)
f)
g)
h)
2)
3)
4)
5)
NTC-ISO/IEC 27001
b)
c)
Medir la eficacia de los controles para verificar que se han cumplido los
requisitos de seguridad.
d)
e)
1)
la organizacin,
2)
la tecnologa,
3)
2)
3)
Realizar auditoras internas del SGSI a intervalos planificados (vase el numeral 6).
NOTA Las auditoras internas, denominadas algunas veces auditoras de primera parte, las
realiza la propia organizacin u otra organizacin en su nombre, para propsitos internos.
f)
Emprender una revisin del SGSI, realizada por la direccin, en forma regular para
asegurar que el alcance siga siendo suficiente y que se identifiquen mejoras al
proceso de SGSI (vase el numeral 7.1).
g)
Actualizar los planes de seguridad para tener en cuenta las conclusiones de las
actividades de seguimiento y revisin.
h)
b)
c)
Comunicar las acciones y mejoras a todas las partes interesadas, con un nivel
de detalle apropiado a las circunstancias, y en donde sea pertinente, llegar a
acuerdos sobre cmo proceder;
8
NTC-ISO/IEC 27001
REQUISITOS DE DOCUMENTACIN
4.3.1 Generalidades
La documentacin del SGSI debe incluir registros de las decisiones de la direccin, asegurar
que las acciones sean trazables a las decisiones y polticas de la gerencia, y que los resultados
registrados sean reproducibles.
Es importante estar en capacidad de demostrar la relacin entre los controles seleccionados y
los resultados del proceso de valoracin y tratamiento de riesgos, y seguidamente, con la
poltica y objetivos del SGSI.
La documentacin del SGSI debe incluir:
a)
b)
c)
d)
e)
f)
g)
h)
i)
La declaracin de aplicabilidad.
NOTA 1
En esta norma, el trmino procedimiento documentado significa que el procedimiento est establecido,
documentado, implementado y mantenido.
NOTA 2
NOTA 3
El alcance de la documentacin del SGSI puede ser diferente de una organizacin a otra debido a:
-
El alcance y complejidad de los requisitos de seguridad y del sistema que se est gestionando.
Los documentos y registros pueden tener cualquier forma o estar en cualquier tipo de medio.
NTC-ISO/IEC 27001
a)
b)
c)
d)
e)
f)
asegurar que los documentos estn disponibles para quienes los necesiten, y
que se apliquen los procedimientos pertinentes, de acuerdo con su clasificacin,
para su transferencia, almacenamiento y disposicin final.
g)
h)
i)
j)
5.
RESPONSABILIDAD DE LA DIRECCIN
5.1
COMPROMISO DE LA DIRECCIN
b)
c)
5.2
NTC-ISO/IEC 27001
d)
e)
f)
g)
asegurando que se realizan auditoras internas del SGSI (vase el numeral 6), y
h)
efectuando las revisiones por la direccin, del SGSI (vase el numeral 7).
GESTIN DE RECURSOS
b)
c)
d)
e)
f)
b)
c)
d)
NTC-ISO/IEC 27001
La organizacin tambin debe asegurar que todo el personal apropiado tiene conciencia de la
pertinencia e importancia de sus actividades de seguridad de la informacin y cmo ellas
contribuyen al logro de los objetivos del SGSI.
6.
La organizacin debe llevar a cabo auditoras internas del SGSI a intervalos planificados, para
determinar si los objetivos de control, controles, procesos y procedimientos de su SGSI:
a)
b)
c)
d)
7.
7.1
GENERALIDADES
b)
7.3
NTC-ISO/IEC 27001
c)
d)
e)
f)
g)
h)
i)
RESULTADOS DE LA REVISIN
Los resultados de la revisin por la direccin deben incluir cualquier decisin y accin
relacionada con:
a)
b)
c)
2)
3)
los procesos del negocio que afectan los requisitos del negocio existentes,
4)
5)
6)
d)
e)
8.
8.1
MEJORA CONTINUA
La organizacin debe mejorar continuamente la eficacia del SGSI mediante el uso de la poltica
de seguridad de la informacin, los objetivos de seguridad de la informacin, los resultados de
la auditora, el anlisis de los eventos a los que se les ha hecho seguimiento, las acciones
correctivas y preventivas y la revisin por la direccin.
13
NTC-ISO/IEC 27001
ACCIN CORRECTIVA
8.3
a)
b)
c)
d)
e)
f)
ACCIN PREVENTIVA
b)
c)
d)
e)
La organizacin debe identificar los cambios en los riesgos e identificar los requisitos en
cuanto acciones preventivas, concentrando la atencin en los riesgos que han
cambiado significativamente.
La prioridad de las acciones preventivas se debe determinar con base en los resultados de la
valoracin de los riesgos.
NOTA
Las acciones para prevenir no conformidades con frecuencia son ms rentables que la accin correctiva.
14
NTC-ISO/IEC 27001
ANEXO A
(Normativo)
INTRODUCCIN
Los objetivos de control y los controles enumerados en la Tabla A.1 se han obtenido
directamente de los de la NTC-ISO/IEC 17799:2005, numerales 5 a 15, y estn alineados con
ellos. Las listas de estas tablas no son exhaustivas, y la organizacin puede considerar que se
necesitan objetivos de control y controles adicionales. Los objetivos de control y controles de estas
tablas se deben seleccionar como parte del proceso de SGSI especificado en el numeral 4.2.1.
La norma NTC- ISO/IEC 17799:2005, numerales 5 a 15, proporciona asesora y orientacin sobre
las mejores prcticas de apoyo a los controles especificados en el literal A.5 a A.15.
Tabla A.1. Objetivos de control y controles
A.5 POLTICA DE SEGURIDAD
A.5.1 Poltica de seguridad de la informacin
Objetivo: Brindar apoyo y orientacin a la direccin con respecto a la seguridad de la informacin,
de acuerdo con los requisitos del negocio y los reglamentos y las leyes pertinentes.
A.5.1.1
Documento de la poltica de Control
seguridad de la informacin.
La direccin debe aprobar un documento de
poltica de seguridad de la informacin y lo
debe publicar y comunicar a todos los
empleados y partes externas pertinentes.
A.5.1.2
15
NTC-ISO/IEC 27001
16
NTC-ISO/IEC 27001
Control
Todos los activos deben estar claramente identificados y se deben
elaborar y mantener un inventario de todos los activos importantes.
Control
A.7.2.2 Etiquetado
informacin
manejo
Control
La informacin se debe clasificar en trminos de su valor, de los
requisitos legales, de la sensibilidad y la importancia para la
organizacin.
de Control
Se deben desarrollar e implementar un conjunto de procedimientos
adecuados para el etiquetado y el manejo de la informacin de
acuerdo al esquema de clasificacin adoptado por la organizacin
3)
4)
El trmino "propietario" identifica a un individuo o una entidad que tiene responsabilidad aprobada de la
direccin por el control de la produccin, el desarrollo, el mantenimiento, el uso y la seguridad de los
activos. El trmino "propietario" no implica que la persona tenga realmente los derechos de propiedad de
los activos.
Explicacin: La palabra contratacin laboral" cubre todas las siguientes situaciones: empleo de personas
(temporal o a trmino indefinido), asignacin de roles de trabajo, cambio de roles de trabajo, asignacin de
contratos, y la terminacin de cualquiera de estos acuerdos
17
NTC-ISO/IEC 27001
Trminos
laborales.
condiciones Control
Como parte de su obligacin contractual,
los empleados, contratistas y usuarios de
terceras partes deben estar de acuerdo y
firmar los trminos y condiciones de su
contrato laboral, el cual debe establecer
sus responsabilidades y las de la
organizacin con relacin a la seguridad
de la informacin.
A.8.2.2
de
Educacin,
formacin
concientizacin
sobre
seguridad de la informacin
la Control
La direccin debe exigir que los empleados,
contratistas y usuarios de terceras partes
apliquen la seguridad segn las polticas y
los procedimientos establecidos por la
organizacin.
y Control
la
Todos los empleados de la organizacin y,
cuando sea pertinente, los contratistas y los
usuarios de terceras partes deben recibir
formacin adecuada en concientizacin y
actualizaciones regulares sobre las polticas
y los procedimientos de la organizacin,
segn sea pertinente para sus funciones
laborales.
Control
Debe existir un proceso disciplinario formal
para los empleados que hayan cometido
alguna violacin de la seguridad
18
NTC-ISO/IEC 27001
A.9.1.5
Control
Se deben disear y aplicar la proteccin fsica y
las directrices para trabajar en reas seguras.
A.9.1.6
19
NTC-ISO/IEC 27001
A.9.2.4
A.9.2.5
A.9.2.6
A.9.2.7
20
NTC-ISO/IEC 27001
21
NTC-ISO/IEC 27001
Controles
cdigos mviles
contra Control
Cuando se autoriza la utilizacin de cdigos mviles,
la configuracin debe asegurar que dichos cdigos
operan de acuerdo con la poltica de seguridad
claramente definida, y se debe evitar la ejecucin de
los cdigos mviles no autorizados.
A.10.5 Respaldo
Objetivo: mantener la integridad y disponibilidad de la informacin y de los servicios de procesamiento de
linformacin.
A.10.5.1 Respaldo
de
la Control
informacin.
Se deben hacer copias de respaldo de la
informacin y del software, y se deben poner a
prueba con regularidad de acuerdo con la poltica
de respaldo acordada.
A.10.6 Gestin de la seguridad de las redes
Objetivo: asegurar la proteccin de la informacin en las redes y la proteccin de la
infraestructura de soporte.
A.10.6.1 Controles de las redes. Control
A.10.6.2
Seguridad
de
servicios de la red.
22
NTC-ISO/IEC 27001
A.10.9.2
Transacciones en lnea
23
NTC-ISO/IEC 27001
A.10.10.2
A.10.10.3
A.10.10.4
A.10.10.5
A.10.10.6 Sincronizacin
relojes
24
NTC-ISO/IEC 27001
Control
A.11.3.2 Equipo
de
desatendido.
25
NTC-ISO/IEC 27001
26
NTC-ISO/IEC 27001
27
NTC-ISO/IEC 27001
28
NTC-ISO/IEC 27001
29
NTC-ISO/IEC 27001
30
NTC-ISO/IEC 27001
31
NTC-ISO/IEC 27001
Tabla A.1. (Final)
A.15 CUMPLIMIENTO
A.15.3 Consideraciones de la auditora de los sistemas de informacin
Objetivo: maximizar la eficacia de los procesos de auditora de los sistemas de informacin
y minimizar su interferencia.
A.15.3.1 Controles de auditora de los Control
sistemas de informacin.
Los requisitos y las actividades de auditora que
implican verificaciones de los sistemas operativos
se deben planificar y acordar cuidadosamente
para minimizar el riesgo de interrupciones de los
procesos del negocio.
A.15.3.2 Proteccin
de
las Control
herramientas de auditora de Se debe proteger el acceso a las herramientas de
los sistemas de informacin. auditora de los sistemas de informacin para
evitar su uso inadecuado o ponerlas en peligro.
32
NTC-ISO/IEC 27001
ANEXO B
(Informativo)
33
NTC-ISO/IEC 27001
ANEXO C
(Informativo)
0.1 Generalidades
0.1 Generalidades
1.1 Generalidades
1.1 Generalidades
1.2 Aplicacin
1.2 Aplicacin
2 Referencia normativa
2. Referencias normativas
1. Objeto
aplicacin
campo
de
2. Referencias normativas
3 Trminos y definiciones
3. Trminos y definiciones
4. Sistema de gestin de la seguridad 4. Sistema de gestin de la calidad
de la informacin
4.1 Requisitos generales
3. Trminos y definiciones
4. Requisitos del sistema de
gestin ambiental
medicin
de
34
NTC-ISO/IEC 27001
Tabla C.1. (Final)
Esta norma
4.3.1
4.2.1 Generalidades
Generalidades
4.3.2
Control de documentos
5.4 Planificacin
4.3 Planificacin
5.5
Responsabilidad,
comunicacin
6. Gestin de los recursos
autoridad
7.1 Generalidades
5.6.1 Generalidades
4.5.3 No conformidad,
accin correctiva y accin
preventiva
Anexo A Orientacin para el
uso
de
esta
norma
internacional
Anexo C Correspondencia entre la NTC- Anexo A Correspondencia entre las normas Anexo B Correspondencia
ISO 9001:2000, la NTC-ISO 14001:2004 ISO 9001:2000 y la ISO 14001:1996
entre la ISO 14001:2004 y
y la presente norma
la ISO 9001:2000
35
NTC-ISO/IEC 27001
BIBLIOGRAFA
[1]
[2]
NTC-ISO 14001:2004, Sistemas de gestin ambiental. Requisitos con orientacin para su uso.
[3]
[4]
[5]
[6]
[7]
[8]
[9]
ISO/IEC Guide 73:2002, Risk Management. Vocabulary. Guidelines for use in Standards.
evaluacin
Otras publicaciones
[1]
OECD, Guidelines for the Security of Information Systems and Networks. Towards a
Culture of Security, Paris: OECD, July 2002. www.oecd.org.
[2]
[3]
Deming W.E., Out of the Crisis, Cambridge, Mass: MIT, Center for Advanced Engineerig
Study, 1986.
36
NTC-ISO/IEC 27001
DOCUMENTO DE REFERENCIA
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. Information Technology. Security
Techniques. Information Security Management Systems. Requirements. Geneva, ISO. pp 34
(ISO/IEC 27001: 2005)
37