ISO/IEC 27001:2005

0 1 Introduccin Alcance 1.1 General 1.2 Aplicacin Referencias normativas Trminos y definiciones SGSI 4.1 4.2 4.2.1 4.2.2 4.2.3 4.2.4 4.3 4.3.1 4.3.2 4.3.3

2 3 4

Requerimientos generals Establecer y manejar el SGSI Establecer el SGSI Implementar y operar Monitorear y revisar Mantener y mejorar Requerimientos de documentacin General Control de documentos Control de registros

Responsabilidad de la gerencia 5.1 Compromiso de la gerencia 5.2 Gestin de recursos 5.2.1 Provision de recursos 5.2.2 Capacitacin, conocimiento y capacidad Auditoria interna Revisin gerencial 7.1 General 7.2 Insumo de la revisin 7.3 Resultado de la revisin Mejoramiento del SGSI 8.1 Mejoramiento continuo 8.2 Accion correctiva 8.3 Accin preventiva
Anexo A: Objetivos de control y controles

6 7

Anexo A - Objetivos de Control y Controles de Seguridad de la Informacin ISO/IEC 27001:2005

(Conjunto de medidas, acciones y documentos que permiten cubrir y auditar cierto riesgo)

Dominio - Control Poltica de seguridad de la informacin

Dirigir y dar soporte a la gestin de la seguridad de la informacin de acuerdo con los requisitos institucionales, leyes y reglamentos pertinentes.

#Ctrls 2

A5 A6 A7 A8 A9 A10 A11 A12 A13

Organizacin de la seguridad de la informacin

Gestionar la organizacin de la seguridad de informacin.

11 5 9

Gestin de activos de informacin (AI)

Lograr y mantener la proteccin apropiada de los activos de informacin

Seguridad de los recursos humanos

Asegurar que todo el personal involucrado entienda sus responsabilidades, sean apropiados para sus roles y asi reducir el riesgo de robo, fraude o mal uso de los activos de informacin.

Seguridad fsica y medioambiental

Prevenir el acceso fsico no autorizado, dao e interferencia en las instalaciones y activos de informacin.

13 32 25 16 5

Gestin de operaciones y comunicaciones

Asegurar la operacin correcta y segura de los activos de informacin.

Control de acceso (lgico)

Controlar el acceso lgico a los activos de informacin

Adquisicin, desarrollo y mantenimiento de sistemas de informacin

Procurar que la seguridad sea una parte integral de los sitemas de informacin.

Gestin de incidentes de seguridad de informacin

Asegurar que los eventos y debilidades de seguridad de informacin sean comunicados de manera tal que, permita una accin correctiva oportuna.

Gestin de continuidad de operaciones

A14
Contrarrestar las interrupciones de las actividades del negocio y proteger los procesos crticos, de los efectos de fallas significativas o desastres, y asegurar su reanudacin oportuna.

Cumplimiento regulatorio
A15
Evitar el incumplimiento de cualquier ley, estatuto, obligacin, reglamentao o contractuales, y de cualquier requisito de seguridad.

10

133

Tabla de Escala para ISO27001 e ISO27002

N/A 0 20 Calificacin No Aplica Inexistente Inicial Descripcin No aplica. Total falta de cualquier proceso reconocible. La Organizacin ni siquiera ha reconocido que hay un problema a tratar. No se aplican controles. Hay una evidencia de que la Organizacin ha reconocido que existe un problema y que hay que tratarlo. No hay procesos estandarizados. La implementacin de un control depende de cada individuo y es principalmente reactiva. Los procesos y los controles siguen un patrn regular. Los procesos se han desarrollado hasta el punto en que diferentes procedimientos son seguidos por diferentes personas. No hay formacin ni comunicacin formal sobre los procedimientos y estndares. Hay un alto grado de confianza en los conocimientos de cada persona, por eso hay probabilidad de errores. Los procesos y los controles se documentan y se comunican. Es poco probable la deteccin de desviaciones.

40

Repetible

60

Definido

N 80 100 Gestionado Optimizado

Dominio - Control
Los controles se monitorean y se miden. Es posible monitorear y medir el cumplimiento de los procedimientos y tomar medidas de accin donde los procesos no estn funcionando eficientemente. Las buenas prcticas se siguen y automatizan. Los procesos han sido redefinidos hasta el nivel de mejores prcticas, basndose en los resultados de una mejora continua.

#Ctrls

Tabla de Escala para ISO27001 e ISO27002

Escala No Aplica Inexistente Inicial % N/A 0 20 Descripcin No aplica. Total falta de cualquier proceso reconocible. La Organizacin ni siquiera ha reconocido que hay un problema a tratar. No se aplican controles. Hay una evidencia de que la Organizacin ha reconocido que existe un problema y que hay que tratarlo. No hay procesos estandarizados. La implementacin de un control depende de cada individuo y es principalmente reactiva. Los procesos y los controles siguen un patrn regular. Los procesos se han desarrollado hasta el punto en que diferentes procedimientos son seguidos por diferentes personas. No hay formacin ni comunicacin formal sobre los procedimientos y estndares. Hay un alto grado de confianza en los conocimientos de cada persona, por eso hay probabilidad de errores. Los procesos y los controles se documentan y se comunican. Es poco probable la deteccin de desviaciones. Los controles se monitorean y se miden. Es posible monitorear y medir el cumplimiento de los procedimientos y tomar medidas de accin donde los procesos no estn funcionando eficientemente. Las buenas prcticas se siguen y automatizan. Los procesos han sido redefinidos hasta el nivel de mejores prcticas, basndose en los resultados de una mejora continua.

Repetible

40

Definido Gestionado

60 80

Optimizado

100