Scribd Logo
Upload

Welcome to Scribd!

  • Isoiec 27001

    Uploaded by

    lucasgio
    12 views37 pages
    ISO-IRAM 27001

    Original Title

    ISOIEC 27001

    Copyright

    © © All Rights Reserved

    Available Formats

    PDF or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document
    ISO-IRAM 27001

    Copyright:

    © All Rights Reserved
    Download as PDF or read online from Scribd
    Flag for inappropriate content
    12 views37 pages

    Isoiec 27001

    Uploaded by

    lucasgio
    ISO-IRAM 27001

    Copyright:

    © All Rights Reserved
    Download as PDF or read online from Scribd
    Flag for inappropriate content
    of 37
    NORMA IRAM-ISO/IEC ARGENTINA 27001 Primera edicion 2007-12-28, Tecnologia de la informaci6n Sistemas de gestion de la seguridad de la informacion (SGSI) Requisitos Information technology Information security management systems Requirements 200 2} 02 Bal Onde sl ¢ Ones ee * La presente reemplaza a la norma IRAM 17798; 2004, Referencla Numérica: IRAM-ISO/IEG 27001:2007 IRAM-ISOJIEC 27001:2007 indice 0 INTRODUCCION 0.1 GENERALIDADES — 0.2 ENFOQUE BASADK 8. . 0.3 COMPATIBILIDAD CON OTROS SISTEMAS DE GESTION 1 OBJETO. 4.1 GENERALIDADES 1.2 APLICACION . 2 DOCUMENTOS NORMATIVOS PARA CONSULTA, 3 TERMINOS Y DEFINICIONES... 4 SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACION ........14 4.1. REQUISITOS GENERALES. 4.2 ESTABLECIMIENTO Y GES 4.3 REQUISITOS DE DOCUMENTACION : 5 RESPONSABILIDAD DE LA DIRECCION .... 5.1. COMPROMISO DE LA DIRECCIOI 5.2 GESTION DE LOS RECURSOS 6 AUDITORIAS INTERNAS DEL SGSI... 7 REVISION DEL SGSI POR LA DIRECCION....., 7 7.1 GENERALIDADES sss 7 7.2 INFORMACION PARA LA REVISION. 7 7.3 RESULTADOS DE LA REVISION...... 18 8 MEJORA DEL SGSI 8.1. MEJORA CONTINUA, 8.2 ACCION CORRECTIVA 8.3 ACCION PREVENTIVA. ‘Anexo A (Normative) Objetivos de control y controles... ‘Anexo B_(Informativo) Principios de la OCDE y de esta norma ‘Anexo C_ (Informative) Correspondencia entre la IRAM-ISO 9001:2000, la IRAM-ISO 14001:2005, y la presente norma... sein 38 Anexo D_(Informativo) Bibliogratia de la ISO/IEC 27001... Anexo E -IRAM (Informativo) Bibliografia....... ‘Anexo F - IRAM (Informative) Integrantes de los organismos de estudio. Tecnologia de la informacién IRAM-ISO/IEC 27001:2007 Sistemas de gestion de la seguridad de la informacién (SGSI) Requisitos 0 INTRODUCCION 0.1 GENERALIDADES Esta norma ha sido elaborada para brindar un modelo para el establecimiento, implementacién, ‘operacion, seguimiento, revision, mantenimiento y mejora de un Sistema de Gestion de la Seguri- dad de la Informacién (SGSI). Se recomienda ‘que la adopcién de un SGSI sea una decisién estratégica para una organizacion. El disefio € implementacion de un SGSI de una organizacion se ve influenciado por sus necesidades y objeti- vos, los requisitos de seguridad, los procesos ‘empleados y el tamafio y estructura de la organi- zacién. Se espera que estos aspectos y sus sistemas de apoyo cambien con el tiempo. Se espera que la implementacién de un SGSI esté de acuerdo con la escala de necesidades de la ‘organizacién, por ejemplo: una situacién simple requiere una solucién de SGSI simple Esta norma puede ser usada para evaluar la conformidad, por las partes interesadas, tanto internas como externas. 0.2 ENFOQUE BASADO EN PROCESOS Esta norma adopta un enfoque basado en pro- esos, para establecer, implementar, operar, hacer el sequimiento, reviser, mantener y mejo- rar el SGSI de una organizacién. Para funcionar eficazmente, una organizacién necesita identificar y gestionar muchas activi- dades. Se puede considerar como un proceso cualquier actividad que emplee recursos y cuya gestion permita la transformacién de entradas en salidas. Con frecuencia, el resultado de un proceso constituye directamente la entrada del proceso siguiente. La aplicacién de un sistema de procesos dentro de una organizacién. junto con la identificacion interacciones de estos procesos, y su gestion, pueden ser denominadas como un enfoque ba- sado en procesos. El enfoque basado en procesos para la gestion de la seguridad de la informacién, presentado en esta norma, estimula a sus usuarios @ poner énfasis en la importancia de: a) comprender los requisitos de seguridad de la informacién de una organizacién, y la necesidad de establecer la politica y obje vos en relacién con la seguridad de la informacion; b) implementar y operar controles para ges- tionar los riesgos de seguridad de la informacién de una organizacion en el con- texto de los riesgos de negocio globales de la organizacion; ©) el seguimiento y revisién del desempefio y efectividad del SGSI; y d) [a mejora continua basada en la medicién de objetivos, Esta norma adopta el modelo de procesos Pianificar-Hacer-Verificar-Actuar (PHVA), que se aplica para estructurar todos los procesos del SGSI, La figura 1 ilustra como el SGSI toma ‘como elementos de entrada los requisitos y ex- pectativas de seguridad de la informacién de las. partes interesadas, y a través de las acciones y rocesos necesarios produce resultados de se- guridad de la informacién que cumplen estos requisites y expectativas. La figura 1 también stra los vinculos en los procesos especifica- dos en los capitulos 4, 5, 6,7 y 8. IRAM-ISO/IEC 27001:2007 La adopcién del modelo PHVA también reflejard los principios establecidos en las. Directrices OCDE (2002)' que controlan la seguridad de sistemas y redes de informacién. Esta norma brinda un modelo sdlido para implementar los principios en aquellas directrices que gobieman la evaluacion de riesgos, el disefio e implemen- tacién de la seguridad, la gestion y reevaluacién de la seguridad. EJEMPLO1 Un requisto podria ser que las violaciones a la seguridad Ge la informacion no causen dros financieros serios a ‘una organizacién y no le causen descrédit. EJEMPLO 2 Una expectativa podria ser que si ocurre un incidents se- fo (por ejemplo: el hacking del sito en Internet de comercio electrénico de una organizacibn) es conveniente ‘gue haya personas con capacitacion suficiente en los pro- Cedimientos apropiados para minimizar el impacto, Panes imerosadas rousién de! SCSI Veiifcar Figura 1 - Modelo PHVA aplicado a los procesos de! SGSI Planificar (establecer el SGSI) Establecer la politica, objetives, procesos y procedimientos del SGSI Pertinentes para gestionar el riesgo y mejorar la seguridad de la infor- ‘macién, con el fin de entregar resultados acordes con las polticas y objetivas globales de una organizacion Hacer (implementar y operar el | Impiementar y poner en practica la politica, los controles, procesos y scsi) procedimientos del SGSI. Verificar (hacer el seguimiento | Evaluar, y, en donde sea aplicable, medir el desemperio del proceso y revisar el SGSI) contra la politica y los objetivos de seguridad y la experiencia practica del SGSI, ¢ informar los resultados a la direcci6n, para su revisién, ‘Actuar (mantener y mejorar el | Emprender acciones correctivas y preventivas con base en los resulla- scsi) dos de la auditoria interna del SGSI y la revisi6n por la direcci6n u otra informacién correspondiente, para lograr la mejora continua del SGSI. OECD Guidelines for de Security of information System and Networks ~ Towards a Culture of Securty. Paris: OECD, Jule 2002. 0.3 COMPATIBILIDAD CON OTROS SISTEMAS DE GESTION Esta norma esta alineada con la |RAN-ISO 9001: 2000 y la IRAM-4SO 14001:2005, con el fin de apoyar la implementacion y operacién, consisten- te @ integrada con sistemas de gestién relaciona- dos. Un sistema de gestion diseftado adecuada- mente puede entonces satisfacer los requisitos de todas estas normas. La tabla C.1 ilustra la re- lacién entre fos capitulos de esta norma, la IRAM- ISO 9001:2000 y la IRAM-ISO 14001:2005. Esta norma esta disefiada para permitir que tuna organizacién alinee o integre su SGSI con los requisitos de los sistemas de gestion rela- cionados. IMPORTANTE - Esta publicacién no pretende incluir todas las disposiciones necesarias de un contrato. Los usuarios son responsables de su correcta aplicacién. El cumplimiento con una norma no confiere en si misma in- munidad de las obligaciones legales. 1 OBJETO 1.1 GENERALIDADES Esta norma alcanza a todo tipo de organizacio- nes (por ejemplo: empresas comerciales, agencias gubemamentales, organizaciones sin fines de lucro). Esta norma especifica los requisi- tos para establecer, implementer, operar, hacer seguimiento, revisar, mantener y mejorar un SGSI documentado dentro del contexto de los riesgos de negocio globales de la organizacion. Especifica los requisitos para la implementacion de controles de seguridad adaptados a las nece- sidades de las organizaciones individuales o a partes de ellas. EI SGSI esta disefiado para asegurar controles de seguridad adecuados y proporcionales que protejan los activos de informacién y brinden confianza a las partes interesadas. NOTA 1. Se recomienda que las referencias que se hacen fen esta norma a negocio se interpreten amplamente co- mo aquellas actividades que son esenciales para la texistencia de la organizacion, IRAM-ISO/IEC 27001:2007 NOTA 2, La IRANHISOIIEC 27002 brinda orentacién so- bre la implementacién, que se puede usar cuando se disefan contoles. NOTA IRAM 1, Esta norma esta atin en estudio a nivel TRAM, 1.2 APLICACION Los requisitos establecidos en esta norma son ‘genérioos y la intencién es que sean aplicables a todas las organizaciones, independientemen- te de su tipo, tamario y naturaleza. No es aceptable la exclusion de ninguno de los reqi sitos especificados en los capitulos 4, 5, 6, 7 y 8 cuando una organizacién deciara conformi- dad con la presente norma. ‘Cualquier exclusion de controles, considerada necesaria para satisfacer los criterios de acepta- cién de riesgos, necesita estar justificada y es necesario que se suministre evidencia de que los, riesgos asociados han sido aceptados apropia- ‘damente por las personas responsables. Cuando se excluya cualquier control, las declaraciones de conformidad con esta norma no son acepta- bles a menos que dichas exclusiones no afecten la capacidad de la organizacion o su responsabi- lidad para ofrecer la seguridad de la informacion que satisfaga los requisites de seguridad deter- minados por la evaluacién de riesgos y las leyes. aplicables o los requisitos reglamentarios, NOTA. Si una organizaciin ya tine en funcionamiento un sistema de gestiin de los procesos de negoc'o (por ejemplc: fe relacién con la IRAMISO 9001 0 la IRAMSO 14001), en la mayoria de los casos es preferibie salisiacer los re Quisitos de la presente norma dentro del sistema de ‘gestion existent, 2 DOCUMENTOS NORMATIVOS PARA CONSULTA Los documentos normativos que se indican a continuacion son indispensables para la aplica- cién de este documento. Para los documentos normativos en los que se indica el afio de publicacién, se aplican las edi- ciones citadas. IRAM-ISO/IEC 27001:2007 Para los documentos normativos en los que no se indica el afio de publicacién, se aplican las ediciones vigentes, incluyendo todas sus modi- ficaciones. \SONEC 17799:2008 - information Technology - Security Techniques. Code of Practice for Information Security Management. NOTA IRAM2 Acualmente esta noma pass a. ser ISOIEC 27002 y esta en estudio @ nivel IRAM como IRAMISOMIEC 27002 Tecnologta do fa informacién. Tee- nicas de seguridad. Cédigo de préctca para la gostién de fa seguridad dela informacion 3 TERMINOS Y DEFINICIONES Para los propésitos de esta norma, se aplican los términos y definiciones siguientes: NOTAIRAM3. La_numeracion entre paréntesis es la ‘brante en la ISO/IEC 27001: 2008. 3.4. (3.10) aceptacién del riesgo decision de asumir un riesgo. [Guia ISONEC 73:2002} 3.2 (3.1) activo cualquier cosa que tenga valor para la organi- zacién. [ISONEC 13335-1:2004] 3.3 (3.11) anilisis de riesgo Uso sistematico de la informacion para identifi- ‘ar las fuentes y estimar el riesgo. (Guia ISONEC 73:2002) 3.4 (3.3) confidencialidad propiedad que determina que la informacién no esté disponible ni puede ser revelada a indivi- duos, entidades o procesos no autorizados. [ISONEC 13335-1:2004] 10 3.5 (3.16) declaracién de aplicabilidad declaracién documentada que describe los ob- jetivos de control y los controles pertinentes y aplicables al SGSI de la organizacién. NOTA. Los objetivos de control y los controles se basan fn los resultados y conclusiones de los procesos de eva- luacién de riesgos y tratamiento de nesgos, requisios legales o reglamentaros, obligaciones contractuales y los requerimientos de! negocio de la organizecion, en cuanto @ la seguridad de la informacion, 3.6 (3.2) disponibilidad propiedad de ser accesible y utlizable por soli- citud de una entidad autorizada. [ISONEC 13335-1:2004] 3.7 (3.12) evaluacion del riesgo proceso global de analisis de riesgo y valora- cién del riesgo. [Guia ISOnEC 73:2002} 3.8 (3.5) evento de seguridad de la informacion presencia identificada de una condicién de un sistema, servicio 0 red, que indica una posible violacién de la politica de seguridad de la in- formacién o la falla de las salvaguardas, 0 una situacion desconocida previamente que puede ser pertinente a la seguridad. [ISO/IEC TR 18044:2004) 3.9 (3.14) gestidn del riesgo actividades coordinadas para dirigir y controlar Una organizacién en relacién con el riesgo. [Guia ISOnEC 73:2002] 3.10 (3.6) incidente de seguridad de la informacién. tun evento 0 serie de eventos de seguridad de la informacion no deseados 0 inesperados, que tienen una probabilidad signficativa de compro- meter las operaciones del negocio y amenazar la seguridad de la informacién. [ISOMEC TR 18044:2004] 3.11 (3.8) integridad propiedad de salvaguardar la exactitud y esta- do completo de los actives, [ISO/IEC 13335-1:2004] 3.12 (3.9) riesgo residual nivel restante de riesgo después del tratamien- to del riesgo. [Guia ISO/IEC 73:2002} 3.13 (3.4) seguridad de la informacién preservacion de la confidencialidad, la integridad y la disponibilidad de la informacién; ademé puede involucrar otras propiedades tales como: autenticidad, responsabilidad con obligacién de reportar (“accountability”), no repudio y fiabilidad, [ISONEC 17799:2005] 3.14 (3.7) sistema de gestién de la seguridad de la in- formacién SGsI parte del sistema de gestion global, basada en un enfoque hacia los riesgos de un negocio, cuyo fin es establecer, implementar, operar, hacer seguimiento, revisar, mantener y mejorar la seguridad de la informacion. NOTA. El sistema de gestion incluye la estructura organi Zacional,poltcas, actividades de planficacion, responsa- bilidades, practicas, procedimientos, procesos y recursos, 3.15 (3.15) tratamiento del riesgo proceso de seleccién e implementacién de me- didas para modificar el riesgo. [Guia ISONEC 73:2002} NOTA. En la presente norma el término contro! se use ‘come sindnime de medida. 3.16 (3.13) valoraci6n del riesgo proceso de comparar el riesgo estimado contra Griterios de riesgo dados, para determinar la importancia del riesgo. [Guia ISO/IEC 73:2002} IRAM-ISO/IEC 27001:2007 4 SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACION 4.1 REQUISITOS GENERALES La organizacién debe establecer, implementar, operar, hacer seguimiento, revisar, mantener y mejorar un SGSI documentado, dentro del con- texto de las actividades globales de la organi- zacién y de los riesgos que enfrenta. Para ios propésitos de esta norma, el proceso utiizado se basa en el modelo PHVA que se ilustra en la figura 1 4.2 ESTABLECIMIENTO Y GESTION DEL SGsI La organizacién debe hacer lo siguiente: a) Definir el alcance y limites del SGSI en términos de las caracteristicas de su acti vidad, Ia organizacién, su ubicacién, sus activos y tecnologia, e incluir los detalles y justificacién de cualquier exclusion del ai- cance (ver 1.2). b) Definir una politica de SGSI en términos de las caracteristicas de su actividad, la orga~ nizacién, su ubicacién, sus activos y tecno- logia, que: 1) incluya un marco de referencia para fi jarlestablecer objetivos y establezca tun sentido global de direccién y princi- pios para la accién con relacién a la seguridad de la informacién; 2) tenga en cuenta los requisitos de la actividad de la organizacién, legales 0 regiamentarios, y las obligaciones de seguridad contractuales; 3) _esté alineada con el contexto de gestién del riesgo estratégico de la organizacién en el cual tendré lugar el establecimien- toy mantenimiento del SGSI; 4) establezca los criterios contra los cua- les se evaluaré el riesgo. (ver 4.2.10)); Ra IRAM-ISO/EC 27001:2007 °) d) 5) haya sido aprobada por la direccion. NOTA, Para los propésitos de esta norma, la politica el SSI se considera como un gran conjunte de po- leas de seguridad de la informacion. Estas polticas pueden estar descriptas en un solo documento Definir el enfoque organizacional para la evaluacion del riesgo. 1) Identificar una metodologia de evalua- ‘ci6n del riesgo que sea adecuade al SGSI a los requisites identificados, re- ‘glamentarios, legales y de seguridad de la informacion. 2) Desarrollar criterios para la aceptacion de riesgos, e identificar los niveles de riesgo aveptables. (Ver 5.1 f)). La metodologia de evaluacién de ries- gos seleccionada debe asegurar que la evaluacién de riesgos produce re- sultados comparables y reproducibles. NOTA. Existen diferentes metodologiae para ta fevaluacién de riesgos. Ejemplos de Metodolo- 4glas de evaluacién de riesgos se discuten en la ISONEC TR 1335-3, Information technology. Guidelines for the Management of IT Security — Techniques forthe Management of IT Securty. Identificar los riesgos 41) Identificar los activos dentro del alcance del SGSI y los propietarios’ de estos activos. 2). Identificar las amenazas a estos activos. 3) Identificar las vulnerabilidades que po- rian ser aprovechadas por las ame- nazas. 4) Identificar los impactos que la pérdida de confidencialidad, integridad y dispo- nibiidad pueda tener sobre estos activos. ? | termino propietaro identifica a un individuo o entidad que tiene responsabilidad aprobada por la alta direccion {de controlar la produccién, desarrollo, mantenimiento, uso y segutidad de los activos. Mino propielario no Se ‘eflere a que la persona realmente tiene derecho alguno e propiedad sobre el activo, 42 e) 9) Analizar y evaluar los riesgos. 1) Evaluar el impacto en las actividades de negocios que podria causar una fala en la seguridad sobre la organizacion, te- niiendo en cuenta las consecuencias de la pérdida de confidencialidad, integri- dad 0 disponibilidad de los actives. 2) Evaluar la posibilidad real de que ocurra una falla en la seguridad, considerando las amenazas, las vulnerabilidades y los impactos asociados con estos activos, asi como también los controles imple- ‘mentados hasta el momento. 3) Estimar los niveles de los riesgos. 4) Determinar si se acepta el riesgo o si es necesario su tratamiento @ partir de los criterios establecidos en 4.2.1 c) 2) \dentificar y evaluar las opciones para el tratamiento de los riesgos. Las posibles acciones incluyen: 41) aplicar los controles apropiados; 2) aceptar los riesgos con conocimiento y objetividad, siempre y cuando satisfa~ gan claramente la politica y los crite- tos de la organizacion para la acepta- ion de riesgos (ver 4.2.1 ) 2)); 3) _evitar riesgos; y 4) transferir a otras partes los riesgos de la actividad de la organizacién asocia- dos, por ejemplo: a aseguradoras, proveedores, etc, Seleccionar los objetivos de control y los controles para el tratamiento de los riesgos. Se deben seleccionar e implementar los ob- jetivos de control y los controles de manera que cumpian con los requisites identficados en el proceso de evaluacién de riesgos y tra- tamiento de riesgos. Esla seleccin debe tener en cuenta los criterios para la acepta- cién de riesgos (ver 4.2.1 c) 2), al gual que los requisitos legales, reglamentarios y con- ‘ractuales. Los objetivos de control y ios controles del ‘anexo A deben ser seleccionados como par- te de este proceso, en tanto sean adecuados, para cubrir los requisites identificados. Los objetivos de control y los controles presentados en el anexo A no son exhaus- tivos, por lo que se pueden seleccionar objetivos de control y controles adicionales. NOTA. £1 anexo A contiene una lista amplia de obje- tivos de control y controles que se han encontrado Ccomanmente importantes en las organizaciones. Se Indica a los usuarios de esta norma consultar ol ‘anexo A como punto de partda para la seleccion de Controles, con al fin de asegurarse de que no se pa~ san por alto opciones de contral importantes. hh) Obtener la aprobacién de la alta direccién sobre los riesgos residuales propuestos. ’)Obtener autorizacién de la alta direccién ara implementar y operar el SGSI i) Elaborar una declaracién de aplicabilidad, Se debe elaborar una Declaracién de Apli- cabilidad que incluya lo siguiente: 1) los objetivos de control y los controles, seleccionados en 4.2.1 9) y las razo- nes para su seleccién; 2) los objetivos de control y los controles implementados corrientemente (ver 4210) 2)y 3) la exclusién de cualquier objetivo de control y controles enumerados en el anexo A y la justificacién para su ex- clusion. NOTA. La Declaracién de aplcabilided proporciona un resumen de las decisiones concerientes al tra- tamiento de los riesgos. La justiicacion de ‘exclusiones permite veriicar que ningun control se hhaya omitido involuntariamento 4.2.2 Implementacién y operacién del SGSI La organizacién debe realizar lo siguiente: a) formular un plan para el tratamiento de los riesgos que identiique la accién de gestion apropiada, los recursos, responsabilidades IRAM-ISO/IEC 27001:2007 prioridades para gestionar los riesgos de Seguridad de la informacién (ver capitulo 5); b) _implementar el pian de tratamiento de ries- 905 para lograr los objetivos de control identificados, que incluye considerer la fi- anciacién y la asignacién de funciones y responsabilidades; ¢) implementar los controles seleccionados en 4.2.1 9) para cumplir los objetivos de control; 4) definir cémo medir la eficacia de los contro- les 0 grupos de controles seleccionados, y ‘especificar cémo se van a usar estas mo- diciones con el fin de evalua la eficacia de los controles para producir resultados ‘comparables y reproducibles (ver 4.2.3 c)}; NOTA. La medicion de la eficacia de los controes permite ais alta dreccién y al personal determina ia medida en que se cumplan los objetvos de contro! planiicados. ) implementar programas de formacién y de toma de conciencia, (ver 5.2.2); f) _gestionar la operacién del SGSI; 9) gestionar los recursos del SGSI (ver 5.2): hh) implementar procedimientos y otros contro- les para detectar y dar répida respuesta a los incidentes de seguridad (ver 4.2.3). 4.2.3 Seguimiento y revision del SGSI La organizacién debe realizar lo siguiente: a) Elecutar procedimientos de seguimiento y revisién y otros controles para’ 1) detectar répidamente errores en los resultados del procesamiento; 2) _identificar répidamente los incidentes e intentos de violacién a la seguridad, tanto los que tuvieron éxito como los que fracasaron; 3) _posibiitar que la alta direcoién determine si las actividades de seguridad delega- das a las personas o implementadas mediante tecnologia de la informacién IRAM-ISO/IEC 27001:2007 >) d) e) 4 ‘se estan ejecutando en la forma espe- rada; 4) ayudar a detectar eventos de seguri- dad, y de esta manera impedir inciden- tes de seguridad mediante el uso de indicadores; y 5) determinar si las acciones tomadas para solucionar un problema de viola cién a la seguridad fueron eficaces. Emprender revisiones regulares de la eficacia del SGSI (que incluyen el cumpli- miento de la politica y objetivos del SGSI, y la revisi6n de los controles de seguridad) teniendo en cuenta los resultados de las auditorias de seguridad, incidentes, resul- tados de las mediciones de la eficacia, sugerencias y retroalimentacién de todas las partes interesadas. Medir la eficacia de los controles para veri- ficar que se han cumplido los requisitos de seguridad. Rovisar las evaluaciones de riesgo a interva- los pianificados, y revisar el riesgo residual y el nivel de riesgo aceptable identiicado, te- rhiendo en cuenta los cambios en: 1) la organizacion; 2) Ia tecnologi 3) los objetivos y procesos del negocio; 4). las amenazas identificadas; 5) [a eficacia de los controles implemen- tados; y 6) eventos externos, tales como cambios en el entomo legal o reglamentario, en las obligaciones contractuales, y en el lima social. Realizar auditorias internas de! SGSI a in- tervalos planificados (ver 6). NOTA, Las audltorias internas, denominadas algu- ras veces auditorias de primera parte, las realize la propia organizecion u otra organizacion en su nom bre, para fines internos, f) Emprender una revision del SGSI, realiza- da por la direccién, en forma regular para asegurar que el alcance siga siendo sufi- ciente y que se han identificado mejoras en el proceso de SGSI (ver 7.1). 9) Actualizar los planes de seguridad para te- ner en cuenta los hallazgos de las activi- dades de seguimiento y revision. h) Registrar acciones y eventos que podrian tener impacto en la eficacia o el desempe- fo de! SGSI (ver 4.3.3). 4.2.4 Mantenimiento y mejora del SGSI La organizacion debe, regularmente, hacer lo siguiente: a) Implementar las mejoras identificadas en el scsi. b) Emprender las acciones correctivas y pre- ventivas adecuadas de acuerdo con 8.2 y 8.3. Aplicar las lecciones aprendidas de las experiencias de seguridad de otras organi- zaciones y las de la propia organizacién. ©) Comunicar tas acciones y mejoras a todas las partes interesadas, con un nivel de de- talle apropiado a las circunstancias, y en donde sea pertinente, llegar a acuerdos sobre cémo proceder. 4) Asegurar que las mejoras logran los objet vos previstos. 4,3 REQUISITOS DE DOCUMENTACION 4.3.1 Generalidades La documentacién del SGSI debe incluir regis- tros de las decisiones de la direccién, asegurar que las acciones sean trazables a las decisio- nes y politicas de la alta direccién, y que los, resultados registrados sean reproducibles. Es importante estar en capacidad de demostrar la relacién entre los controles seleccionados y los resultados del proceso de evaluacién y tra- tamiento de riesgos, y seguidamente, con la Politica y objetivos del SGSI La documentacién del SGS! debe incluir: a) declaraciones documentades de a politica (ver 4.2.1 b)) y objetivos del SGSI; b)_elalcance del SGSI (ver 4.2.1 a)); ©) los procedimientos y controles que apoyan el SGSI; d) una descripcién de la metodologia de eva- luacién de riesgos (ver 4.2.1 c)); €) el informe de evaluacién de riesgos (ver 421 0)ag)) f) el plan de tratamiento de riesgos (ver 4.2.2 b)); 9) los procedimientos documentados que ne- cesita la orgenizacién para asegurar la Planificaci6n, operacién y control eficaz de ‘Sus procesos de seguridad de la informa- ‘con, y para describir como medir la eficacia de los controles (ver 4.2.3 o)); h) los registros exigidos por esta norma (ver 43.3} ’) la deciaracién de aplicabilidad. NOTA 1. En esta norma, e! término procedtimiento docu ‘mentado significa que el procedimiento esta establecide,

    You might also like