Norma Tecnica NTC Iso Iec Colombiana 270
Norma Tecnica NTC Iso Iec Colombiana 270
Norma Tecnica NTC Iso Iec Colombiana 270
COLOMBIANA 27001
2013-12-11
TECNOLOGÍA DE LA INFORMACIÓN.
TÉCNICAS DE SEGURIDAD. SISTEMAS DE
GESTIÓN DE LA SEGURIDAD DE LA
INFORMACIÓN. REQUISITOS
I.C.S.: 35.040
ICONTEC es una entidad de carácter privado, sin ánimo de lucro, cuya Misión es fundamental
para brindar soporte y desarrollo al productor y protección al consumidor. Colabora con el
sector gubernamental y apoya al sector privado del país, para lograr ventajas competitivas en
los mercados interno y externo.
La norma NTC-ISO-IEC 27001 (Primera actualización) fue ratificada por el Consejo Directivo de
2013-12-11.
Esta norma está sujeta a ser actualizada permanentemente con el objeto de que responda en
todo momento a las necesidades y exigencias actuales.
ICONTEC cuenta con un Centro de Información que pone a disposición de los interesados
normas internacionales, regionales y nacionales y otros documentos relacionados.
DIRECCIÓN DE NORMALIZACIÓN
NORMA TÉCNICA COLOMBIANA NTC-ISO-IEC 27001 (Primera actualización)
CONTENIDO
Página
INTRODUCCIÓN .......................................................................................................................i
5. LIDERAZGO .................................................................................................................2
6. PLANIFICACIÓN ..........................................................................................................4
Página
7. SOPORTE.....................................................................................................................6
7.2 COMPETENCIA............................................................................................................6
8. OPERACIÓN ................................................................................................................8
Página
BIBLIOGRAFÍA ......................................................................................................................25
ANEXO A (Normativo)
OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA .........................................13
NORMA TÉCNICA COLOMBIANA NTC-ISO-IEC 27001 (Primera actualización)
INTRODUCCIÓN
0.1 GENERALIDADES
La presente Norma puede ser usada por partes internas y externas para evaluar la capacidad
de la organización para cumplir los requisitos de seguridad de la propia organización.
El orden en que se presentan los requisitos en esta Norma no refleja su importancia ni el orden
en el que se van a implementar. Los elementos de la lista se enumeran solamente para
propósitos de referencia.
Esta Norma aplica la estructura de alto nivel, títulos idénticos de numerales, texto idéntico,
términos comunes y definiciones esenciales definidas en el Anexo SL de las Directivas
ISO/IEC, Parte 1, Suplemento ISO consolidado, y por tanto, mantiene la compatibilidad con
otras normas de sistemas de gestión que han adoptado el Anexo SL.
Este enfoque común definido en el Anexo SL será útil para aquellas organizaciones que
decidan poner en funcionamiento un único sistema de gestión que cumpla los requisitos de dos
o más normas de sistemas de gestión.
i
NORMA TÉCNICA COLOMBIANA NTC-ISO-IEC 27001 (Primera actualización)
TECNOLOGÍA DE LA INFORMACIÓN.
TÉCNICAS DE SEGURIDAD.
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN.
REQUISITOS
Esta Norma especifica los requisitos para establecer, implementar, mantener y mejorar
continuamente un sistema de gestión de la seguridad de la información dentro del contexto de
la organización. La presente Norma incluye también los requisitos para la valoración y el
tratamiento de riesgos de seguridad de la información, adaptados a las necesidades de la
organización. Los requisitos establecidos en esta Norma son genéricos y están previstos para
ser aplicables a todas las organizaciones, independientemente de su tipo, tamaño o naturaleza.
Cuando una organización declara conformidad con esta Norma, no es aceptable excluir
cualquiera de los requisitos especificados de los numerales 4 al 10.
2. REFERENCIAS NORMATIVAS
3. TÉRMINOS Y DEFINICIONES
Para los propósitos de este documento se aplican los términos y definiciones presentados en la
norma ISO/IEC 27000.
4. CONTEXTO DE LA ORGANIZACIÓN
La organización debe determinar las cuestiones externas e internas que son pertinentes para
su propósito y que afectan su capacidad para lograr los resultados previstos de su sistema de
gestión de la seguridad de la información.
NOTA La determinación de estas cuestiones hace referencia a establecer el contexto externo e interno de la
organización, considerado en el numeral 5.3 de la NTC-ISO 31000:2011[5].
1 de 26
NORMA TÉCNICA COLOMBIANA NTC-ISO-IEC 27001 (Primera actualización)
NOTA Los requisitos de las partes interesadas pueden incluir los requisitos legales y reglamentarios, y las
obligaciones contractuales.
c) las interfaces y dependencias entre las actividades realizadas por la organización, y las
que realizan otras organizaciones.
5. LIDERAZGO
La alta dirección debe demostrar liderazgo y compromiso con respecto al sistema de gestión de
la seguridad de la información:
2
NORMA TÉCNICA COLOMBIANA NTC-ISO-IEC 27001 (Primera actualización)
5.2 POLÍTICA
La alta dirección debe asegurarse de que las responsabilidades y autoridades para los roles
pertinentes a la seguridad de la información se asignen y comuniquen.
NOTA La alta dirección también puede asignar responsabilidades y autoridades para informar sobre el
desempeño del sistema de gestión de la seguridad de la información dentro de la organización.
3
NORMA TÉCNICA COLOMBIANA NTC-ISO-IEC 27001 (Primera actualización)
6. PLANIFICACIÓN
6.1.1 Generalidades
e) la manera de:
4
NORMA TÉCNICA COLOMBIANA NTC-ISO-IEC 27001 (Primera actualización)
1) comparar los resultados del análisis de riesgos con los criterios de riesgo
establecidos en 6.1.2 a) y
b) determinar todos los controles que sean necesarios para implementar las opciones
escogidas para el tratamiento de riesgos de la seguridad de la información;
NOTA Las organizaciones pueden diseñar los controles necesarios, o identificarlos de cualquier fuente.
c) comparar los controles determinados en 6.1.3 b) con los del Anexo A, y verificar que no
se han omitidos controles necesarios;
NOTA 1 El Anexo A contiene una lista amplia de objetivos de control y controles. Se invita a los usuarios
de esta Norma a consultar el Anexo A, para asegurar que no se pasen por alto los controles necesarios.
NOTA 2 Los objetivos de control están incluidos implícitamente en los controles escogidos. Los
objetivos de control y los controles enumerados en el Anexo A no son exhaustivos, y pueden ser necesarios
objetivos de control y controles adicionales.
f) obtener, de parte de los dueños de los riesgos, la aprobación del plan de tratamiento de
riesgos de la seguridad de la información, y la aceptación de los riesgos residuales de la
seguridad de la información.
5
NORMA TÉCNICA COLOMBIANA NTC-ISO-IEC 27001 (Primera actualización)
d) ser comunicados; y
f) lo que se va a hacer;
i) cuándo se finalizará; y
7. SOPORTE
7.1 RECURSOS
7.2 COMPETENCIA
La organización debe:
6
NORMA TÉCNICA COLOMBIANA NTC-ISO-IEC 27001 (Primera actualización)
c) cuando sea aplicable, tomar acciones para adquirir la competencia necesaria y evaluar
la eficacia de las acciones tomadas; y
NOTA Las acciones aplicables pueden incluir, por ejemplo: la formación, la tutoría o la reasignación de las
personas empleadas actualmente; o la contratación de personas competentes.
Las personas que realizan el trabajo bajo el control de la organización deben tomar conciencia
de:
7.4 COMUNICACIÓN
a) el contenido de la comunicación;
b) cuándo comunicar;
c) a quién comunicar;
7.5.1 Generalidades
7
NORMA TÉCNICA COLOMBIANA NTC-ISO-IEC 27001 (Primera actualización)
b) el formato (por ejemplo, idioma, versión del software, gráficos) y sus medios de soporte
(por ejemplo, papel, electrónico);
f) retención y disposición.
NOTA El acceso implica una decisión concerniente al permiso solamente para consultar la información
documentada, o el permiso y la autoridad para consultar y modificar la información documentada, etc.
8. OPERACIÓN
La organización debe planificar, implementar y controlar los procesos necesarios para cumplir
los requisitos de seguridad de la información y para implementar las acciones determinadas en
el numeral 6.1. La organización también debe implementar planes para lograr los objetivos de
la seguridad de la información determinados en el numeral 6.2.
8
NORMA TÉCNICA COLOMBIANA NTC-ISO-IEC 27001 (Primera actualización)
La organización debe controlar los cambios planificados y revisar las consecuencias de los
cambios no previstos, tomando acciones para mitigar los efectos adversos, cuando sea
necesario.
La organización debe asegurar que los procesos contratados externamente estén controlados.
a) a qué es necesario hacer seguimiento y qué es necesario medir, incluidos los procesos
y controles de la seguridad de la información;
b) los métodos de seguimiento, medición, análisis y evaluación, según sea aplicable, para
asegurar resultados válidos;
NOTA Para ser considerados válidos, los métodos seleccionados deberían producir resultados
comparables y reproducibles.
a) es conforme con:
La organización debe:
NOTA Para mayor información consultar las normas NTC-ISO 19011 y NTC-ISO 27007
a) el estado de las acciones con relación a las revisiones previas por la dirección;
b) los cambios en las cuestiones externas e internas que sean pertinentes al sistema de
gestión de la seguridad de la información;
10
NORMA TÉCNICA COLOMBIANA NTC-ISO-IEC 27001 (Primera actualización)
3) resultados de la auditoría; y
Los elementos de salida de la revisión por la dirección deben incluir las decisiones relacionadas
con las oportunidades de mejora continua y cualquier necesidad de cambio en el sistema de
gestión de la seguridad de la información.
10. MEJORA
1) la revisión de la no conformidad
Las acciones correctivas deben ser apropiadas a los efectos de las no conformidades
encontradas.
11
NORMA TÉCNICA COLOMBIANA NTC-ISO-IEC 27001 (Primera actualización)
12
NORMA TÉCNICA COLOMBIANA NTC-ISO-IEC 27001 (Primera actualización)
ANEXO A
(Normativo)
13
NORMA TÉCNICA COLOMBIANA NTC-ISO-IEC 27001 (Primera actualización)
14
NORMA TÉCNICA COLOMBIANA NTC-ISO-IEC 27001 (Primera actualización)
15
NORMA TÉCNICA COLOMBIANA NTC-ISO-IEC 27001 (Primera actualización)
16
NORMA TÉCNICA COLOMBIANA NTC-ISO-IEC 27001 (Primera actualización)
17
NORMA TÉCNICA COLOMBIANA NTC-ISO-IEC 27001 (Primera actualización)
A.11.2 Equipos
Objetivo: Prevenir la pérdida, daño, robo o compromiso de activos, y la interrupción de las operaciones de la
organización.
A.11.2.1 Ubicación y protección de Control
los equipos Los equipos deben estar ubicados y protegidos para reducir los riesgos de
amenazas y peligros del entorno, y las posibilidades de acceso no
autorizado.
A.11.2.2 Servicios de suministro Control
Los equipos se deben proteger contra fallas de energía y otras
interrupciones causadas por fallas en los servicios de suministro.
A.11.2.3 Seguridad del cableado Control
El cableado de energía eléctrica y de telecomunicaciones que porta datos o
brinda soporte a los servicios de información se debe proteger contra
interceptación, interferencia o daño
A.11.2.4 Mantenimiento de Control
equipos Los equipos se deben mantener correctamente para asegurar su
disponibilidad e integridad continuas.
A.11.2.5 Retiro de activos Control
Los equipos, información o software no se deben retirar de su sitio sin
autorización previa.
A.11.2.6 Seguridad de equipos y Control
activos fuera de las Se deben aplicar medidas de seguridad a los activos que se encuentran
instalaciones fuera de las instalaciones de la organización, teniendo en cuenta los
diferentes riesgos de trabajar fuera de dichas instalaciones.
A.11.2.7 Disposición segura o Control
reutilización de equipos Se deben verificar todos los elementos de equipos que contengan medios
de almacenamiento para asegurar que cualquier dato confidencial o
software licenciado haya sido retirado o sobreescrito en forma segura antes
de su disposición o reuso.
A.11.2.8 Equipos de usuario Control
desatendido Los usuarios deben asegurarse de que a los equipos desatendidos se les da
protección apropiada.
A.11.2.9 Política de escritorio Control
limpio y pantalla limpia Se debe adoptar una política de escritorio limpio para los papeles y medios
de almacenamiento removibles, y una política de pantalla limpia en las
instalaciones de procesamiento de información.
A.12 SEGURIDAD DE LAS OPERACIONES
A.12.1 Procedimientos operacionales y responsabilidades
Objetivo: Asegurar las operaciones correctas y seguras de las instalaciones de procesamiento de información.
A.12.1.1 Procedimientos de Control
operación documentados Los procedimientos de operación se deben documentar y poner a
disposición de todos los usuarios que los necesitan.
A.12.1.2 Gestión de cambios Control
Se deben controlar los cambios en la organización, en los procesos de
negocio, en las instalaciones y en los sistemas de procesamiento de
información que afectan la seguridad de la información.
18
NORMA TÉCNICA COLOMBIANA NTC-ISO-IEC 27001 (Primera actualización)
19
NORMA TÉCNICA COLOMBIANA NTC-ISO-IEC 27001 (Primera actualización)
20
NORMA TÉCNICA COLOMBIANA NTC-ISO-IEC 27001 (Primera actualización)
21
NORMA TÉCNICA COLOMBIANA NTC-ISO-IEC 27001 (Primera actualización)
22
NORMA TÉCNICA COLOMBIANA NTC-ISO-IEC 27001 (Primera actualización)
23
NORMA TÉCNICA COLOMBIANA NTC-ISO-IEC 27001 (Primera actualización)
A.18 CUMPLIMIENTO
A.18.1 Cumplimiento de requisitos legales y contractuales
Objetivo: Evitar el incumplimiento de las obligaciones legales, estatutarias, de reglamentación o contractuales
relacionadas con seguridad de la información y de cualquier requisito de seguridad.
A.18.1.1 Identificación de la legislación Control
aplicable y de los requisitos Todos los requisitos estatutarios, reglamentarios y contractuales
contractuales pertinentes y el enfoque de la organización para cumplirlos, se deben
identificar y documentar explícitamente, y mantenerlos actualizados
para cada sistema de información y para la organización
A.18.1.2 Derechos de propiedad Control
intelectual Se deben implementar procedimientos apropiados para asegurar el
cumplimiento de los requisitos legislativos, de reglamentación y
contractuales relacionados con los derechos de propiedad intelectual y
el uso de productos de software patentados.
A.18.1.3 Protección de registros Control
Los registros se deben proteger contra pérdida, destrucción,
falsificación, acceso no autorizado y liberación no autorizada, de
acuerdo con los requisitos legislativos, de reglamentación,
contractuales y de negocio.
A.18.1.4 Privacidad y protección de Control
información de datos Se deben asegurar la privacidad y la protección de la información de
personales datos personales, como se exige en la legislación y la reglamentación
pertinentes, cuando sea aplicable.
A.18.1.5 Reglamentación de controles Control
criptográficos Se deben usar controles criptográficos, en cumplimiento de todos los
acuerdos, legislación y reglamentación pertinentes.
A.18.2 Revisiones de seguridad de la información
Objetivo: Asegurar que la seguridad de la información se implemente y opere de acuerdo con las políticas y
procedimientos organizacionales.
A.18.2.1 Revisión independiente de la Control
seguridad de la información El enfoque de la organización para la gestión de la seguridad de la
información y su implementación (es decir, los objetivos de control, los
controles, las políticas, los procesos y los procedimientos para
seguridad de la información) se deben revisar independientemente a
intervalos planificados o cuando ocurran cambios significativos.
A.18.2.2 Cumplimiento con las políticas Control
y normas de seguridad Los directores deben revisar con regularidad el cumplimiento del
procesamiento y procedimientos de información dentro de su área de
responsabilidad, con las políticas y normas de seguridad apropiadas, y
cualquier otro requisito de seguridad.
A.18.2.3 Revisión del cumplimiento Control
técnico Los sistemas de información se deben revisar periódicamente para
determinar el cumplimiento con las políticas y normas de seguridad de
la información.
24
NORMA TÉCNICA COLOMBIANA NTC-ISO-IEC 27001 (Primera actualización)
BIBLIOGRAFÍA
[1] ISO/IEC 27002:2013, Information Technology. Security Techniques. Code of Practice for
Information Security Controls.
[6] ISO/IEC Directives, Part 1, Consolidated ISO Supplement. Procedures Specific to ISO,
2012.
25
NORMA TÉCNICA COLOMBIANA NTC-ISO-IEC 27001 (Primera actualización)
DOCUMENTO DE REFERENCIA
26