• ISO 27000

    La información es un activo vital para el éxito y la continuidad en el mercado de cualquier organización. El aseguramiento de dicha información y de los sistemas que la procesan es, por tanto, un objetivo de primer nivel para la organización.

    Para la adecuada gestión de la seguridad de la información, es necesario implantar un sistema que aborde esta tarea de una forma metódica, documentada y basada en unos objetivos claros de seguridad y una evaluación de los riesgos a los que está sometida la información de la organización.

    ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.

    En este apartado se resumen las distintas normas que componen la serie ISO 27000 y se indica cómo puede una organización implantar un sistema de gestión de seguridad de la información (SGSI) basado en ISO 27001.

    Acceda directamente a las secciones de su interés a través del submenú de la izquierda o siguiendo los marcadores de final de página.

  • Origen

    Desde 1901, y como primera entidad de normalización a nivel mundial, BSI (British Standards Institution, la organización británica equivalente a AENOR en España) es responsable de la publicación de importantes normas como:

    - BS 5750. Publicada en 1979. Origen de ISO 9001

    - BS 7750. Publicada en 1992. Origen de ISO 14001

    - BS 8800. Publicada en 1996. Origen de OHSAS 18001

    La norma BS 7799 de BSI apareció por primera vez en 1995, con objeto de proporcionar a cualquier empresa -británica o no- un conjunto de buenas prácticas para la gestión de la seguridad de su información.

    La primera parte de la norma (BS 7799-1) fue una guía de buenas prácticas, para la que no se establecía un esquema de certificación. Es la segunda parte (BS 7799-2), publicada por primera vez en 1998, la que estableció los requisitos de un sistema de seguridad de la información (SGSI) para ser certificable por una entidad independiente.

    Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adoptó por ISO, sin cambios sustanciales, como ISO 17799 en el año 2000.

    En 2002, se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO de sistemas de gestión.

    En 2005, con más de 1700 empresas certificadas en BS 7799-2, esta norma se publicó por ISO, con algunos cambios, como estándar ISO 27001. Al tiempo se revisó y actualizó ISO 17799. Esta última norma se renombró como ISO 27002:2005 el 1 de Julio de 2007, manteniendo el contenido así como el año de publicación formal de la revisión.

    En Marzo de 2006, posteriormente a la publicación de ISO 27001:2005, BSI publicó la BS 7799-3:2006, centrada en la gestión del riesgo de los sistemas de información.

    Asimismo, ISO ha continuado, y continúa aún, desarrollando otras normas dentro de la serie 27000 que sirvan de apoyo a las organizaciones en la interpretación e implementación de ISO/IEC 27001, que es la norma principal y única certificable dentro de la serie.

    En la sección de Artículos y Podcasts encontrará un archivo gráfico y sonoro con la historia de ISO 27001 e ISO 17799.

  • La serie 27000

    A semejanza de otras normas ISO, la 27000 es realmente una serie de estándares. Los rangos de numeración reservados por ISO van de 27000 a 27019 y de 27030 a 27044. Las normas que incluye se enumeran a continuación (toda la información disponible públicamente sobre el desarrollo de las normas de la serie 27000 puede consultarse en las páginas web del subcomité JTC1/SC27: 1 y 2):

    • ISO/IEC 27000:

    Publicada el 1 de Mayo de 2009. Esta norma proporciona una visión general de las normas que componen la serie 27000, una introducción a los Sistemas de Gestión de Seguridad de la Información, una breve descripción del ciclo Plan-Do-Check-Act y términos y definiciones que se emplean en toda la serie 27000. En España, esta norma no está traducida, pero sí en Uruguay (UNIT-ISO/IEC 27000). El original en inglés y su traducción al francés pueden descargarse gratuitamente de standards.iso.org/ittf/PubliclyAvailableStandards. Está siendo revisada, con fecha prevista de segunda edición Mayo de 2013.

    • ISO/IEC 27001:

    Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 (que ya quedó anulada) y es la norma con arreglo a la cual se certifican por auditores externos los SGSIs de las organizaciones. En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005, para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no ser obligatoria la implementación de todos los controles enumerados en dicho anexo, la organización deberá argumentar sólidamente la no aplicabilidad de los controles no implementados. Desde el 28 de Noviembre de 2007, esta norma está publicada en España como UNE-ISO/IEC 27001:2007 y puede adquirirse online en AENOR (también en lengua gallega). En 2009, se publicó un documento adicional de modificaciones (UNE-ISO/IEC 27001:2007/1M:2009). Otros países donde también está publicada en español son, por ejemplo, Colombia (NTC-ISO-IEC 27001), Venezuela (Fondonorma ISO/IEC 27001), Argentina (IRAM-ISO IEC 27001), Chile (NCh-ISO27001), México (NMX-I-041/02-NYCE) o Uruguay (UNIT-ISO/IEC 27001). El original en inglés y la traducción al francés pueden adquirirse en iso.org. Actualmente, este estándar se encuentra en periodo de revisión en el subcomité ISO SC27, con fecha prevista de publicación de segunda edición en Mayo de 2013.

    • ISO/IEC 27002:

    Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005 como año de edición. Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su apartado correspondiente, la norma ISO 27001 contiene un anexo que resume los controles de ISO 27002:2005. Publicada en España como UNE-ISO/IEC 27002:2009 desde el 9 de Diciembre de 2009 (a la venta en AENOR). Otros países donde también está publicada en español son, por ejemplo, Colombia (NTC-ISO-IEC 27002), Venezuela (Fondonorma ISO/IEC 27002), Argentina (IRAM-ISO-IEC 27002), Chile (NCh-ISO27002), Uruguay (UNIT-ISO/IEC 27002) o Perú (como ISO 17799; descarga gratuita). El original en inglés y su traducción al francés pueden adquirirse en iso.org. Actualmente, este estándar se encuentra en periodo de revisión en el subcomité ISO SC27, con fecha prevista de publicación de la segunda edición en Mayo de 2014.

    • ISO/IEC 27003:

    Publicada el 01 de Febrero de 2010. No certificable. Es una guía que se centra en los aspectos críticos necesarios para el diseño e implementación con éxito de un SGSI de acuerdo ISO/IEC 27001:2005. Describe el proceso de especificación y diseño desde la concepción hasta la puesta en marcha de planes de implementación, así como el proceso de obtención de aprobación por la dirección para implementar un SGSI. Tiene su origen en el anexo B de la norma BS 7799-2 y en la serie de documentos publicados por BSI a lo largo de los años con recomendaciones y guías de implantación. En España, esta norma aún no está traducida, pero sí en Uruguay (UNIT-ISO/IEC 27003). El original en inglés puede adquirirse en iso.org.

    • ISO/IEC 27004:

    Publicada el 15 de Diciembre de 2009. No certificable. Es una guía para el desarrollo y utilización de métricas y técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles o grupos de controles implementados según ISO/IEC 27001. En España, esta norma aún no está traducida, sin embargo sí lo está en Argentina (IRAM-ISO-IEC 27004) o Uruguay (UNIT-ISO/IEC 27004). El original en inglés puede adquirirse en iso.org

    • ISO/IEC 27005:

    Publicada en segunda edición el 1 de Junio de 2011 (primera edición del 15 de Junio de 2008). No certificable. Proporciona directrices para la gestión del riesgo en la seguridad de la información. Apoya los conceptos generales especificados en la norma ISO/IEC 27001 y está diseñada para ayudar a la aplicación satisfactoria de la seguridad de la información basada en un enfoque de gestión de riesgos. Su primera publicación revisó y retiró las normas ISO/IEC TR 13335-3:1998 e ISO/IEC TR 13335-4:2000. El original en inglés puede adquirirse en iso.org. En España, esta norma no está traducida, sin embargo, sí lo está, para la versión de 2008, en países como México (NMX-I-041/05-NYCE), Chile (NCh-ISO27005), Uruguay (UNIT-ISO/IEC 27005) o Colombia (NTC-ISO-IEC 27005).

    • ISO/IEC 27006:

    Publicada en segunda edición el 1 de Diciembre de 2011 (primera edición del 1 de Marzo de 2007). Especifica los requisitos para la acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información. Es una versión revisada de EA-7/03 (Requisitos para la acreditación de entidades que operan certificación/registro de SGSIs) que añade a ISO/IEC 17021 (Requisitos para las entidades de auditoría y certificación de sistemas de gestión) los requisitos específicos relacionados con ISO 27001 y los SGSIs. Es decir, ayuda a interpretar los criterios de acreditación de ISO/IEC 17021 cuando se aplican a entidades de certificación de ISO 27001, pero no es una norma de acreditación por sí misma. El original en inglés puede adquirirse en iso.org. En España, esta norma no está traducida, sin embargo, sí lo está, para la versión de 2007, en México (NMX-I-041/06-NYCE) o Chile (NCh-ISO27001).

    • ISO/IEC 27007:

    Publicada el 14 de Noviembre de 2011. No certificable. Es una guía de auditoría de un SGSI, como complemento a lo especificado en ISO 19011. En España, esta norma no está traducida. El original en inglés puede adquirirse en iso.org

    • ISO/IEC TR 27008:

    Publicada el 15 de Octubre de 2011. No certificable. Es una guía de auditoría de los controles seleccionados en el marco de implantación de un SGSI. En España, esta norma no está traducida. El original en inglés puede adquirirse en iso.org

    • ISO/IEC 27010:

    En fase de desarrollo, con publicación prevista en 2012. Es una norma en 2 partes, que consistirá en una guía para la gestión de la seguridad de la información cuando se comparte entre organizaciones o sectores.

    • ISO/IEC 27011:

    Publicada el 15 de Diciembre de 2008. Es una guía de interpretación de la implementación y gestión de la seguridad de la información en organizaciones del sector de telecomunicaciones basada en ISO/IEC 27002. Está publicada también como norma ITU-T X.1051. En España, no está traducida. El original en inglés puede adquirirse en iso.org.

    • ISO/IEC 27013:

    En fase de desarrollo, con publicación prevista en 2012. Consistirá en una guía de implementación integrada de ISO/IEC 27001 (gestión de seguridad de la información) y de ISO/IEC 20000-1 (gestión de servicios TI).

    • ISO/IEC 27014:

    En fase de desarrollo, con publicación prevista en 2012. Consistirá en una guía de gobierno corporativo de la seguridad de la información.

    • ISO/IEC 27015:

    En fase de desarrollo, con publicación prevista en 2013. Consistirá en una guía de SGSI para organizaciones del sector financiero y de seguros.

    • ISO/IEC TR 27016:

    En fase de desarrollo, con publicación prevista en 2013. Consistirá en una guía de valoración de los aspectos financieros de la seguridad de la información.

    • ISO/IEC 27017:

    En fase de desarrollo, con publicación prevista en 2013. Consistirá en una guía de seguridad para Cloud Computing.

    • ISO/IEC 27031:

    Publicada el 01 de Marzo de 2011. No certificable. Es una guía de apoyo para la adecuación de las tecnologías de información y comunicación (TIC) de una organización para la continuidad del negocio. El documento toma como referencia el estándar BS 25777. En España, esta norma no está traducida. El original en inglés puede adquirirse en iso.org

    • ISO/IEC 27032:

    En fase de desarrollo, con publicación prevista en 2012. Consistirá en una guía relativa a la ciberseguridad.

    • ISO/IEC 27033:

    Parcialmente desarrollada. Norma dedicada a la seguridad en redes, consistente en 7 partes: 27033-1, conceptos generales (publicada el 15 de Diciembre de 2009 y disponible en iso.org); 27033-2, directrices de diseño e implementación de seguridad en redes (prevista para 2012); 27033-3, escenarios de referencia de redes (publicada el 3 de Diciembre de 2010 y disponible en iso.org); 27033-4, aseguramiento de las comunicaciones entre redes mediante gateways de seguridad (prevista para 2012); 27033-5, aseguramiento de comunicaciones mediante VPNs (prevista para 2013); 27033-6, convergencia IP (prevista para 2013); 27033-7, redes inalámbricas (prevista para 2013).

    • ISO/IEC 27034:

    Parcialmente desarrollada. Norma dedicada la seguridad en aplicaciones informáticas, consistente en 5 partes: 27034-1, conceptos generales (publicada el 21 de Noviembre de 2011 y disponible en iso.org); 27034-2, marco normativo de la organización (prevista para 2013); 27034-3, proceso de gestión de seguridad en aplicaciones (prevista para 2013); 27034-4, validación de la seguridad en aplicaciones (prevista para 2013); 27034-5, estructura de datos de protocolos y controles de seguridad de aplicaciones (prevista para 2013).

    • ISO/IEC 27035:

    Publicada el 17 de Agosto de 2011. Proporciona una guía sobre la gestión de incidentes de seguridad en la información. En España, no está traducida. El original en inglés puede adquirirse en iso.org.

    • ISO/IEC 27036:

    En fase de desarrollo, con publicación prevista en 2013. Consistirá en una guía en cuatro partes de seguridad en las relaciones con proveedores: 27036-1, visión general y conceptos; 27036-2, requisitos comunes; 27036-3, seguridad en la cadena de suministro TIC; 27036-4, seguridad en outsourcing (externalización de servicios).

    • ISO/IEC 27037:

    En fase de desarrollo, con publicación prevista en 2012. Consistirá en una guía de identificación, recopilación y custodia de evidencias digitales.

    • ISO/IEC 27038:

    En fase de desarrollo, con publicación prevista en 2013. Consistirá en una guía de especificación para seguridad en la redacción digital.

    • ISO/IEC 27039:

    En fase de desarrollo, con publicación prevista en 2013. Consistirá en una guía para la selección, despliege y operativa de sistemas de detección y prevención de intrusión (IDS/IPS).

    • ISO/IEC 27040:

    En fase de desarrollo, con publicación prevista en 2014. Consistirá en una guía para la seguridad en medios de almacenamiento.

    • ISO 27799:

    Publicada el 12 de Junio de 2008. Es una norma que proporciona directrices para apoyar la interpretación y aplicación en el sector sanitario de ISO/IEC 27002, en cuanto a la seguridad de la información sobre los datos de salud de los pacientes. Esta norma, al contrario que las anteriores, no la desarrolla el subcomité JTC1/SC27, sino el comité técnico TC 215. El original en inglés o francés puede adquirirse en iso.org. Desde el 20 de Enero de 2010, esta norma está publicada en España como UNE-ISO/IEC 27799:2010 y puede adquirirse online en AENOR

  • Contenido

    En esta sección se hace un breve resumen del contenido de las principales normas de la serie 27000 ya publicadas. Si desea acceder a las normas completas, debe saber que éstas no son de libre difusión sino que han de ser adquiridas.

    Para los originales en inglés, puede hacerlo online en la tienda virtual de la propia organización: iso.org

    Adicionalmente existe la opción de una previsualización de los originales publicados online en la tienda virtual oficial: webstore.iec.ch

    Las normas en español pueden adquirirse en España en AENOR (vea en la sección Serie 27000 cuáles están ya traducidas)

    Las entidades de normalización responsables de la publicación y venta de normas en cada país hispanoamericano (es decir, las homólogas del AENOR español) las puede encontrar listadas en nuestra sección de "Enlaces", bajo "Acreditación y Normalización".

    ISO 27000:2009

    0 Introduction

    1 Scope

    2 Terms and definitions

    3 Information security management systems
    3.1 Introduction
    3.2 What is an ISMS
    3.3 Process approach
    3.4 Why an ISMS is important
    3.5 Establishing, monitoring, maintaining and improving an ISMS
    3.6 ISMS critical sucess factors
    3.7 Benefits of the ISMS family of standards

    4 ISMS family of standards
    4.1 General information
    4.2 Standards describing an overview and terminology
    4.3 Standards specifying requirements
    4.4 Standards describing general guidelines
    4.5 Standards describing sector-specific guideliness

    Annex A (informative) Verbal forms for the expression of provision

    Annex B (informative) Categorized terms

    Bibliography

    ISO 27001:2005

    0 Introducción: generalidades e introducción al método PDCA.
    0.1 Generalidades
    0.2 Enfoque por proceso
    0.3 Compatibilidad con otros sistemas de gestión

    1 Objeto y campo de aplicación: se especifica el objetivo, la aplicación y el tratamiento de exclusiones.
    1.1 Generalidades
    1.2 Aplicación

    2 Normas para consulta: otras normas que sirven de referencia.

    3 Términos y definiciones: breve descripción de los términos más usados en la norma.

    4 Sistema de gestión de la seguridad de la información: cómo crear, implementar, operar, supervisar, revisar, mantener y mejorar el SGSI; requisitos de documentación y control de la misma.
    4.1 Requisitos generales
    4.2 Creación y gestión del SGSI
    - 4.2.1 Creación del SGSI
    - 4.2.2 Implementación y operación del SGSI
    - 4.2.3 Supervisión y revisión del SGSI
    - 4.2.4 Mantenimiento y mejora del SGSI
    4.3 Requisitos de documentación
    -4.3.1 Generalidades
    -4.3.2 Control de documentos
    -4.3.3 Control de registros

    5 Responsabilidad de la dirección: en cuanto a compromiso con el SGSI, gestión y provisión de recursos y concienciación, formación y capacitación del personal.
    5.1 Compromiso de la dirección
    5.2 Gestión de los recursos
    - 5.2.1 Provisión de los recursos
    - 5.2.2 Concienciación, formación y competencia

    6 Auditorías internas del SGSI: cómo realizar las auditorías internas de control y cumplimiento.

    7 Revisión del SGSI por la dirección: cómo gestionar el proceso periódico de revisión del SGSI por parte de la dirección.
    7.1 Generalidades
    7.2 Datos iniciales de la revisión
    7.3 Resultados de la revisión

    8 Mejora del SGSI: mejora continua, acciones correctivas y acciones preventivas.
    8.1 Mejora continua
    8.2 Acción correctiva
    8.3 Acción preventiva

    Anexo A: (normativo) Objetivos de control y controles - anexo normativo que enumera los objetivos de control y controles que se encuentran detallados en la norma ISO 27002:2005.

    Anexo B: (informativo) Relación con los Principios de la OCDE con la correspondencia entre los apartados de la ISO 27001 y los principios de buen gobierno de la OCDE.

    Anexo C: (informativo) Correspondencia con otras normas mediante una tabla de correspondencia de cláusulas con ISO 9001 e ISO 14001.

    Bibliografía: normas y publicaciones de referencia.

    ISO 27002:2005 (anterior ISO 17799:2005)

    0 Introducción: conceptos generales de seguridad de la información y SGSI.

    1 Campo de aplicación: se especifica el objetivo de la norma.

    2 Términos y definiciones: breve descripción de los términos más usados en la norma.

    3 Estructura del estándar: descripción de la estructura de la norma.

    4 Evaluación y tratamiento del riesgo: indicaciones sobre cómo evaluar y tratar los riesgos de seguridad de la información.

    5 Política de seguridad: documento de política de seguridad y su gestión.

    6 Aspectos organizativos de la seguridad de la información: organización interna; terceros.

    7 Gestión de activos: responsabilidad sobre los activos; clasificación de la información.

    8 Seguridad ligada a los recursos humanos: antes del empleo; durante el empleo; cese del empleo o cambio de puesto de trabajo.

    9 Seguridad física y ambiental: áreas seguras; seguridad de los equipos.

    10 Gestión de comunicaciones y operaciones: responsabilidades y procedimientos de operación; gestión de la provisión de servicios por terceros; planificación y aceptación del sistema; protección contra código malicioso y descargable; copias de seguridad; gestión de la seguridad de las redes; manipulación de los soportes; intercambio de información; servicios de comercio electrónico; supervisión.

    11 Control de acceso: requisitos de negocio para el control de acceso; gestión de acceso de usuario; responsabilidades de usuario; control de acceso a la red; control de acceso al sistema operativo; control de acceso a las aplicaciones y a la información; ordenadores portátiles y teletrabajo.

    12 Adquisición, desarrollo y mantenimiento de los sistemas de información: requisitos de seguridad de los sistemas de información; tratamiento correcto de las aplicaciones; controles criptográficos; seguridad de los archivos de sistema; seguridad en los procesos de desarrollo y soporte; gestión de la vulnerabilidad técnica.

    13 Gestión de incidentes de seguridad de la información: notificación de eventos y puntos débiles de la seguridad de la información; gestión de incidentes de seguridad de la información y mejoras.

    14 Gestión de la continuidad del negocio: aspectos de la seguridad de la información en la gestión de la continuidad del negocio.

    15 Cumplimiento: cumplimiento de los requisitos legales; cumplimiento de las políticas y normas de seguridad y cumplimiento técnico; consideraciones sobre las auditorías de los sistemas de información.

    Bibliografía: normas y publicaciones de referencia.

    Índice

    Puede descargarse una lista de todos los controles que contiene esta norma aquí: http://www.iso27000.es/download/ControlesISO27002-2005.pdf

    ISO 27003:2010

    - Foreword
    - Introduction
    1 Scope
    2 Normative references
    3 Terms and definitions

    4 Structure of this International Standard
    4.1 General structure of clauses
    4.2 General structure of a clause
    4.3 Diagrams

    5 Obtaining management approval for initiating an ISMS project
    5.1 Overview of obtaining management approval for initiating an ISMS project
    5.2 Clarify the organization’s priorities to develop an ISMS
    5.3 Define the preliminary ISMS scope
    5.4 Create the business case and the project plan for management approval

    6 Defining ISMS scope, boundaries and ISMS policy
    6.1 Overview of defining ISMS scope, boundaries and ISMS policy
    6.2 Define organizational scope and boundaries
    6.3 Define information communication technology (ICT) scope and boundaries
    6.4 Define physical scope and boundaries
    6.5 Integrate each scope and boundaries to obtain the ISMS scope and boundaries
    6.6 Develop the ISMS policy and obtain approval from management

    7 Conducting information security requirements analysis
    7.1 Overview of conducting information security requirements analysis
    7.2 Define information security requirements for the ISMS process
    7.3 Identify assets within the ISMS scope
    7.4 Conduct an information security assessment

    8 Conducting risk assessment and planning risk treatment
    8.1 Overview of conducting risk assessment and planning risk treatment
    8.2 Conduct risk assessment
    8.3 Select the control objectives and controls
    8.4 Obtain management authorization for implementing and operating an ISMS

    9 Designing the ISMS
    9.1 Overview of designing the ISMS
    9.2 Design organizational information security
    9.3 Design ICT and physical information security
    9.4 Design ISMS specific information security
    9.5 Produce the final ISMS project plan

    Annex A (informative) Checklist description
    Annex B (informative) Roles and responsibilities for Information Security
    Annex C (informative) Information about Infernal Auditing
    Annex D (informative) Structure of policies
    Annex E (informative) Monitoring and measuring
    Bibliography

    ISO 27004:2009

    0 Introduction
    0.1 General
    0.2 Management overview

    1 Scope

    2 Normative references

    3 Terms and definitions

    4 Structure of this International Standard

    5 Information security measurement overview
    5.1 Objectives of information security measurement
    5.2 Information Security Measurement Programme
    5.3 Success factors
    5.4 Information security measurement model
    - 5.4.1 Overview
    - 5.4.2 Base measure and measurement method
    - 5.4.3 Derived measure and measurement function
    - 5.4.4 Indicators and analytical model
    - 5.4.5 Measurement results and decision criteria

    6 Management responsibilities
    6.1 Overview
    6.2 Resource management
    6.3 Measurement training, awareness, and competence

    7 Measures and measurement development
    7.1 Overview
    7.2 Definition of measurement scope
    7.3 Identification of information need
    7.4 Object and attribute selection
    7.5 Measurement construct development
    - 7.5.1 Overview
    - 7.5.2 Measure selection
    - 7.5.3 Measurement method
    - 7.5.4 Measurement function
    - 7.5.5 Analytical model
    - 7.5.6 Indicators
    - 7.5.7 Decision criteria
    - 7.5.8 Stakeholders
    7.6 Measurement construct
    7.7 Data collection, analysis and reporting
    7.8 Measurement implementation and documentation

    8 Measurement operation
    8.1 Overview
    8.2 Procedure integration
    8.3 Data collection, storage and verification

    9 Data analysis and measurement results reporting
    9.1 Overview
    9.2 Analyse data and develop measurement results
    9.3 Communicate measurement results

    10 Information Security Measurement Programme Evaluation and Improvement
    10.1 Overview
    10.2 Evaluation criteria identification for the Information Security Measurement Programme
    10.3 Monitor, review, and evaluate the Information Security Measurement Programme
    10.4 Implement improvements

    Annex A (informative) Template for an information security measurement construct

    Annex B (informative) Measurement construct examples

    Bibliography

    ISO 27005:2008

    Foreword

    1 Scope

    2 Normative references

    3 Terms and definitions

    4 Structure of this International Standard

    5 Background

    6 Overview of the information security risk management process

    7 Context establishment
    7.1 General considerations
    7.2 Basic criteria
    7.3 The scope and boundaries
    7.4 Organization for information security risk management

    8 Information security risk assessment
    8.1 General description of information security risk assessment
    8.2 Risk analysis
    - 8.2.1 Risk identification
    - 8.2.2 Risk estimation
    8.3 Risk evaluation

    9 Information security risk treatment
    9.1 General description of risk treatment
    9.2 Risk reduction
    9.3 Risk retention
    9.4 Risk avoidance
    9.5 Risk transfer

    10 Information security risk acceptance

    11 Information security risk communication

    12 Information security risk monitoring and review
    12.1 Monitoring and review of risk factors
    12.2 Risk management monitoring, reviewing and improving

    Annex A (informative) Defining the scope and boundaries of the information security risk management process
    A.1 Study of the organization
    A.2 List of the constraints affecting the organization
    A.3 List of the legislative and regulatory references applicable to the organization
    A.4 List of the constraints affecting the scope

    Annex B (informative) Identification and valuation of assets and impact assessment
    B.1 Examples of asset identification
    - B.1.1 The identification of primary assets
    - B.1.2 List and description of supporting assets
    B.2 Asset valuation
    B.3 Impact assessment

    Annex C (informative) Examples of typical threats

    Annex D (informative) Vulnerabilities and methods for vulnerability assessment
    D.1 Examples of vulnerabilities
    D.2 Methods for assessment of technical vulnerabilities

    Annex E (informative) Information security risk assessment approaches
    E.1 High-level information security risk assessment
    E.2 Detailed information security risk assessment
    E.2.1 Example 1 Matrix with predefined values
    E.2.2 Example 2 Ranking of Threats by Measures of Risk
    E.2.3 Example 3 Assessing a value for the likelihood and the possible consequences of risks

    Annex F (informative) Constraints for risk reduction

    Bibliography

    ISO 27006:2007

    (Esta norma referencia directamente a muchas cláusulas de ISO 17021 -requisitos de entidades de auditoría y certificación de sistemas de gestión-, por lo que es recomendable disponer también de dicha norma, que puede adquirirse en español en AENOR).

    Foreword: presentación de las organizaciones ISO e IEC y sus actividades.

    Introduction: antecedentes de ISO 27006 y guía de uso para la norma.

    1 Scope: a quién aplica este estándar.

    2 Normative references: otras normas que sirven de referencia.

    3 Terms and definitions: breve descripción de los términos más usados en la norma.

    4 Principles: principios que rigen esta norma.

    5 General requirements: aspectos generales que deben cumplir las entidades de certificación de SGSIs.
    5.1 Legal and contractual matter
    5.2 Management of impartiality
    5.3 Liability and financing

    6 Structural requirements: estructura organizativa que deben tener las entidades de certificación de SGSIs.
    6.1 Organizational structure and top management
    6.2 Committee for safeguarding impartiality

    7 Resource requirements: competencias requeridas para el personal de dirección, administración y auditoría de la entidad de certificación, así como para auditores externos, expertos técnicos externos y subcontratas.
    7.1 Competence of management and personnel
    7.2 Personnel involved in the certification activities
    7.3 Use of individual external auditors and external technical experts
    7.4 Personnel records
    7.5 Outsourcing

    8 Information requirements: información pública, documentos de certificación, relación de clientes certificados, referencias a la certificación y marcas, confidencialidad e intercambio de información entre la entidad de certificación y sus clientes.
    8.1 Publicly accessible information
    8.2 Certification documents
    8.3 Directory of certified clients
    8.4 Reference to certification and use of marks
    8.5 Confidentiality
    8.6 Information exchange between a certification body and its clients

    9 Process requirements: requisitos generales del proceso de certificación, auditoría inicial y certificación, auditorías de seguimiento, recertificación, auditorías especiales, suspensión, retirada o modificación de alcance de la certificación, apelaciones, reclamaciones y registros de solicitantes y clientes.
    9.1 General requirements
    9.2 Initial audit and certification
    9.3 Surveillance activities
    9.4 Recertification
    9.5 Special audits
    9.6 Suspending, withdrawing or reducing scope of certification
    9.7 Appeals
    9.8 Complaints
    9.9 Records of applicants and clients

    10 Management system requirements for certification bodies: opciones, opción 1 (requisitos del sistema de gestión de acuerdo con ISO 9001) y opción 2 (requisitos del sistema de gestión general).
    10.1 Options
    10.2 Option 1 – Management system requirements in accordance with ISO 9001
    10.3 Option 2 – General management system requirements

    Annex A - Análisis de la complejidad de la organización de un cliente y aspectos específicos del sector: potencial de riesgo de la organización (tabla orientativa) y categorías de riesgo de la seguridad de la información específicas del sector de actividad.

    Annex B - Áreas de ejemplo de competencia del auditor: consideraciones de competencia general y consideraciones de competencia específica (conocimiento de los controles del Anexo A de ISO 27001:2005 y conocimientos sobre SGSIs).

    Annex c - Tiempos de auditoría: introducción, procedimiento para determinar la duración de la auditoría y tabla de tiempos de auditoría (incluyendo comparativa con tiempos de auditoría de sistemas de calidad -ISO 9001- y medioambientales -ISO 14001-).

    Annex D - Guía para la revisión de controles implantados del Anexo A de ISO 27001:2005: tabla de apoyo para el auditor sobre cómo auditar los controles, sean organizativos o técnicos.

    ISO 27011:2008

    1 Scope

    2 Normative references

    3 Definitions and abbreviations
    3.1 Definitions
    3.2 Abbreviations

    4 Overview
    4.1 Structure of this guideline
    4.2 Information security management systems in telecommunications business

    5 Security policy

    6 Organization of information security
    6.1 Internal organization
    6.2 External parties

    7 Asset management
    7.1 Responsibility for assets
    7.2 Information classification

    8 Human resources security
    8.1 Prior to employment
    8.2 During employment
    8.3 Termination or change of employment

    9 Physical and environmental security
    9.1 Secure areas
    9.2 Equipment security

    10 Communications and operations management
    10.1 Operational procedures and responsibilities
    10.2 Third party service delivery management
    10.3 System planning and acceptance
    10.4 Protection against malicious and mobile code
    10.5 Back-up
    10.6 Network security management
    10.7 Media handling
    10.8 Exchange of information
    10.9 Electronic commerce services
    10.10 Monitoring

    11 Access control
    11.1 Business requirement for access control
    11.2 User access management
    11.3 User responsibilities
    11.4 Network access control
    11.5 Operating system access control
    11.6 Application and information access control
    11.7 Mobile computing and teleworking

    12 Information systems acquisition, development and maintenance
    12.1 Security requirements of information systems
    12.2 Correct processing in applications
    12.3 Cryptographic controls
    12.4 Security of system files
    12.5 Security in development and support processes
    12.6 Technical vulnerability management

    13 Information security incident management
    13.1 Reporting information security events and weaknesses
    13.2 Management of information security incidents and improvements

    14 Business continuity management
    14.1 Information security aspects of business continuity management

    15 Compliance

    Annex A – Telecommunications extended control set
    A.9 Physical and environmental security
    A.10 Communications and operations management
    A.11 Access control
    A.15 Compliance

    Annex B – Additional implementation guidance
    B.1 Network security measures against cyber attacks
    B.2 Network security measures for network congestion

    Bibliography

    ISO 27033-1:2009

    1 Scope

    2 Normative references

    3 Terms and definitions

    4 Abbreviated terms

    5 Structure

    6 Overview
    6.1 Background
    6.2 Network Security Planning and Management

    7 Identifying Risks and Preparing to Identify Security Controls
    7.1 Introduction
    7.2 Information on Current and/or Planned Networking
    7.3 Information Security Risks and Potential Control Areas

    8 Supporting Controls
    8.1 Introduction
    8.2 Management of Network Security
    8.3 Technical Vulnerability Management
    8.4 Identification and Authentication
    8.5 Network Audit Logging and Monitoring
    8.6 Intrusion Detection and Prevention
    8.7 Protection against Malicious Code
    8.8 Cryptographic Based Services
    8.9 Business Continuity Management

    9 Guidelines for the Design and Implementation of Network Security
    9.1 Background
    9.2 Network Technical Security Architecture/Design

    10 Reference Network Scenarios – Risks, Design, Techniques and Control Issues
    10.1 Introduction
    10.2 Internet Access Services for Employees
    10.3 Enhanced Collaboration Services
    10.4 Business to Business Services
    10.5 Business to Customer Services
    10.6 Outsourcing Services
    10.7 Network Segmentation
    10.8 Mobile Communications
    10.9 Network Support for Traveling Users
    10.10 Network Support for Home and Small Business Offices

    11 ‘Technology’ Topics – Risks, Design Techniques and Control Issues

    12 Develop and Test Security Solution

    13 Operate Security Solution

    14 Monitor and Review Solution Implementation

    Annex A

    Annex B: Security Related Controls, and clauses within this part of ISO/IEC 27033

    Annex C (informative): Topics – Risks, Design Techniques and Control Issues (informative) Cross-references Between ISO/IEC 27001 and ISO/IEC 27002 Network (informative) Example Template for a SecOPs Document

    ISO 27799:2008

    • Alcance

    • Referencias (Normativas)

    • Terminología

    • Simbología

    • Seguridad de la información sanitaria (Objetivos; Seguridad en el gobierno de la información; Infomación sanitara a proteger; Amenazas y vulnerabilidades)

    • Plan de acción práctico para implantar ISO 17799/27002 (Taxonomía; Acuerdo de la dirección; establecimiento, operación, mantenimiento y mejora de un SGSI; Planning; Doing; Checking, Auditing)

    • Implicaciones sanitarias de ISO 17799/27002 (Política de seguridad de la información; Organización; gestión de activos; RRHH; Fisicos; Comunicaciones; Accesos; Adquisición; Gestión de Incidentes; Continuidad de negocio; Cumplimiento legal)

    • Anexo A: Amenazas

    • Anexo B: Tareas y documentación de un SGSI

    • Anexo C: Beneficios potenciales y atributos de herramientas

    • Anexo D: Estándares relacionados

  • Beneficios

    • Establecimiento de una metodología de gestión de la seguridad clara y estructurada.

    • Reducción del riesgo de pérdida, robo o corrupción de información.

    • Los clientes tienen acceso a la información a través medidas de seguridad.

    • Los riesgos y sus controles son continuamente revisados.

    • Confianza de clientes y socios estratégicos por la garantía de calidad y confidencialidad comercial.

    • Las auditorías externas ayudan cíclicamente a identificar las debilidades del sistema y las áreas a mejorar.

    • Posibilidad de integrarse con otros sistemas de gestión (ISO 9001, ISO 14001, OHSAS 18001…).

    • Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad.

    • Conformidad con la legislación vigente sobre información personal, propiedad intelectual y otras.

    • Imagen de empresa a nivel internacional y elemento diferenciador de la competencia.

    • Confianza y reglas claras para las personas de la organización.

    • Reducción de costes y mejora de los procesos y servicio.

    • Aumento de la motivación y satisfacción del personal.

    • Aumento de la seguridad en base a la gestión de procesos en vez de en la compra sistemática de productos y tecnologías.

  • ¿Cómo adaptarse?

    Arranque del proyecto

    • Compromiso de la Dirección: una de las bases fundamentales sobre las que iniciar un proyecto de este tipo es el apoyo claro y decidido de la Dirección de la organización. No sólo por ser un punto contemplado de forma especial por la norma sino porque el cambio de cultura y concienciación que lleva consigo el proceso hacen necesario el impulso constante de la Dirección.

    • Planificación, fechas, responsables: como en todo proyecto de envergadura, el tiempo y el esfuerzo invertidos en esta fase multiplican sus efectos positivos sobre el resto de fases.

    Planificación

    • Definir alcance del SGSI: en función de características del negocio, organización, localización, activos y tecnología, definir el alcance y los límites del SGSI (el SGSI no tiene por qué abarcar toda la organización; de hecho, es recomendable empezar por un alcance limitado). Es importante disponer de un mapa de procesos de negocio, definir claramente los interfaces con el exterior del alcance, determinar las terceras partes (proveedores, clientes...) que tienen influencia sobre la seguridad de la información del alcance, crear mapas de alto nivel de redes y sistemas, definir las ubicaciones físicas, disponer de organigramas organizativos, definir claramente los requisitos legales y contractuales relacionados con seguridad de la información, etc.

    • Definir política del SGSI: que incluya el marco general y los objetivos de seguridad de la información de la organización, tenga en cuenta los requisitos de negocio, legales y contractuales en cuanto a seguridad, esté alineada con la gestión de riesgo general, establezca criterios de evaluación de riesgo y sea aprobada por la Dirección. La política del SGSI es normalmente un documento muy general, una especie de "declaración de intenciones" de la Dirección.

    • Definir el enfoque de evaluación de riesgos: definir una metodología de evaluación de riesgos apropiada para el SGSI y las necesidades de la organización, desarrollar criterios de aceptación de riesgos y determinar el nivel de riesgo aceptable. Existen muchas metodologías de evaluación de riesgos aceptadas internacionalmente (ver sección de Herramientas); la organización puede optar por una de ellas, hacer una combinación de varias o crear la suya propia. ISO 27001 no impone ninguna ni da indicaciones de detalle, aunque ISO 27005 sí profundiza en directrices sobre la materia. El riesgo nunca es totalmente eliminable -ni sería rentable hacerlo-, por lo que es necesario definir una estrategia de aceptación de riesgo.

    • Inventario de activos: todos aquellos activos de información que tienen algún valor para la organización y que quedan dentro del alcance del SGSI.

    • Identificar amenazas y vulnerabilidades: todas las que afectan a los activos del inventario.

    • Identificar los impactos: los que podría suponer una pérdida de la confidencialidad, la integridad o la disponibilidad de cada uno de los activos de información.

    • Análisis y evaluación de los riesgos: evaluar el daño resultante de un fallo de seguridad (es decir, que una amenaza explote una vulnerabilidad) y la probabilidad de ocurrencia del fallo; estimar el nivel de riesgo resultante y determinar si el riesgo es aceptable (en función de los niveles definidos previamente) o requiere tratamiento.

    • Identificar y evaluar opciones para el tratamiento del riesgo: el riesgo puede reducido (mitigado mediante controles), eliminado (p. ej., eliminando el activo), aceptado (de forma consciente) o transferido (p. ej., con un seguro o un contrato de outsourcing).

    • Selección de controles: seleccionar controles para el tratamiento el riesgo en función de la evaluación anterior. Utilizar para ello los controles del Anexo A de ISO 27001 (teniendo en cuenta que las exclusiones habrán de ser justificadas) y otros controles adicionales si se consideran necesarios.

    • Aprobación por parte de la Dirección del riesgo residual y autorización de implantar el SGSI: hay que recordar que los riesgos de seguridad de la información son riesgos de negocio y sólo la Dirección puede tomar decisiones sobre su aceptación o tratamiento. El riesgo residual es el que queda, aún después de haber aplicado controles (el "riesgo cero" no existe prácticamente en ningún caso).

    • Confeccionar una Declaración de Aplicabilidad: la llamada SOA (Statement of Applicability) es una lista de todos los controles seleccionados y la razón de su selección, los controles actualmente implementados y la justificación de cualquier control del Anexo A excluido. Es, en definitiva, un resumen de las decisiones tomadas en cuanto al tratamiento del riesgo.

    Implementación

    • Definir plan de tratamiento de riesgos: que identifique las acciones, recursos, responsabilidades y prioridades en la gestión de los riesgos de seguridad de la información.

    • Implantar plan de tratamiento de riesgos: con la meta de alcanzar los objetivos de control identificados.

    • Implementar los controles: todos los que se seleccionaron en la fase anterior.

    • Formación y concienciación: de todo el personal en lo relativo a la seguridad de la información.

    • Desarrollo del marco normativo necesario: normas, manuales, procedimientos e instrucciones.

    • Gestionar las operaciones del SGSI y todos los recursos que se le asignen.

    • Implantar procedimientos y controles de detección y respuesta a incidentes de seguridad.

    Seguimiento

    • Ejecutar procedimientos y controles de monitorización y revisión: para detectar errores en resultados de procesamiento, identificar brechas e incidentes de seguridad, determinar si las actividades de seguridad de la información están desarrollándose como estaba planificado, detectar y prevenir incidentes de seguridad mediante el uso de indicadores y comprobar si las acciones tomadas para resolver incidentes de seguridad han sido eficaces.

    • Revisar regularmente la eficacia del SGSI: en función de los resultados de auditorías de seguridad, incidentes, mediciones de eficacia, sugerencias y feedback de todos los interesados.

    • Medir la eficacia de los controles: para verificar que se cumple con los requisitos de seguridad.

    • Revisar regularmente la evaluación de riesgos: los cambios en la organización, tecnología, procesos y objetivos de negocio, amenazas, eficacia de los controles o el entorno tienen una influencia sobre los riesgos evaluados, el riesgo residual y el nivel de riesgo aceptado.

    • Realizar regularmente auditorías internas: para determinar si los controles, procesos y procedimientos del SGSI mantienen la conformidad con los requisitos de ISO 27001, el entorno legal y los requisitos y objetivos de seguridad de la organización, están implementados y mantenidos con eficacia y tienen el rendimiento esperado.

    • Revisar regularmente el SGSI por parte de la Dirección: para determinar si el alcance definido sigue siendo el adecuado, identificar mejoras al proceso del SGSI, a la política de seguridad o a los objetivos de seguridad de la información.

    • Actualizar planes de seguridad: teniendo en cuenta los resultados de la monitorización y las revisiones.

    • Registrar acciones y eventos que puedan tener impacto en la eficacia o el rendimiento del SGSI: sirven como evidencia documental de conformidad con los requisitos y uso eficaz del SGSI.

    Mejora continua

    • Implantar mejoras: poner en marcha todas las mejoras que se hayan propuesto en la fase anterior.

    • Acciones correctivas: para solucionar no conformidades detectadas.

    • Acciones preventivas: para prevenir potenciales no conformidades.

    • Comunicar las acciones y mejoras: a todos los interesados y con el nivel adecuado de detalle.

    • Asegurarse de que las mejoras alcanzan los objetivos pretendidos: la eficacia de cualquier acción, medida o cambio debe comprobarse siempre.

  • Aspectos clave

    Fundamentales

    • Compromiso y apoyo de la Dirección de la organización.

    • Definición clara de un alcance apropiado.

    • Concienciación y formación del personal.

    • Evaluación de riesgos adecuada a la organización.

    • Compromiso de mejora continua.

    • Establecimiento de políticas y normas.

    • Organización y comunicación.

    • Gestión adecuada de la continuidad de negocio, de los incidentes de seguridad, del cumplimiento legal y de la externalización.

    • Integración del SGSI en la organización.

    Factores de éxito

    • La concienciación del empleado por la seguridad. Principal objetivo a conseguir.

    • Realización de comités a distintos niveles (operativos, de dirección, etc.) con gestión continua de no conformidades, incidentes de seguridad, acciones de mejora, tratamiento de riesgos...

    • Creación de un sistema de gestión de incidencias que recoja notificaciones continuas por parte de los usuarios (los incidentes de seguridad deben ser reportados y analizados).

    • La seguridad absoluta no existe, se trata de reducir el riesgo a niveles asumibles.

    • La seguridad no es un producto, es un proceso.

    • La seguridad no es un proyecto, es una actividad continua y el programa de protección requiere el soporte de la organización para tener éxito.

    • La seguridad debe ser inherente a los procesos de información y del negocio.

    Riesgos

    • Exceso de tiempos de implantación: con los consecuentes costes descontrolados, desmotivación, alejamiento de los objetivos iniciales, etc.

    • Temor ante el cambio: resistencia de las personas.

    • Discrepancias en los comités de dirección.

    • Delegación de todas las responsabilidades en departamentos técnicos.

    • No asumir que la seguridad de la información es inherente a los procesos de negocio.

    • Planes de formación y concienciación inadecuados.

    • Calendario de revisiones que no se puedan cumplir.

    • Definición poco clara del alcance.

    • Exceso de medidas técnicas en detrimento de la formación, concienciación y medidas de tipo organizativo.

    • Falta de comunicación de los progresos al personal de la organización.

    Consejos básicos

    • Mantener la sencillez y restringirse a un alcance manejable y reducido: un centro de trabajo, un proceso de negocio clave, un único centro de proceso de datos o un área sensible concreta; una vez conseguido el éxito y observados los beneficios, ampliar gradualmente el alcance en sucesivas fases.

    • Comprender en detalle el proceso de implantación: iniciarlo en base a cuestiones exclusivamente técnicas es un error frecuente que rápidamente sobrecarga de problemas la implantación; adquirir experiencia de otras implantaciones, asistir a cursos de formación o contar con asesoramiento de consultores externos especializados.

    • Gestionar el proyecto fijando los diferentes hitos con sus objetivos y resultados.

    • La autoridad y compromiso decidido de la Dirección de la empresa -incluso si al inicio el alcance se restringe a un alcance reducido- evitarán un muro de excusas para desarrollar las buenas prácticas, además de ser uno de los puntos fundamentales de la norma.

    • La certificación como objetivo: aunque se puede alcanzar la conformidad con la norma sin certificarse, la certificación por un tercero asegura un mejor enfoque, un objetivo más claro y tangible y, por lo tanto, mejores opciones de alcanzar el éxito. Eso sí, la certificación es la "guinda del pastel", no es bueno que sea la meta en sí misma. El objetivo principal es la gestión de la seguridad de la información alineada con el negocio.

    • No reinventar la rueda: apoyarse lo más posible en estándares, métodos y guías ya establecidos, así como en la experiencia de otras organizaciones.

    • Servirse de lo ya implementado: otros sistemas de gestión (como ISO 9001 para la calidad o ISO 14001 para medio ambiente) ya implantados en la organización son útiles como estructura de trabajo, ahorrando tiempo y esfuerzo y creando sinergias; es conveniente pedir ayuda e implicar a responsables y auditores internos de otros sistemas de gestión.

    • Reservar la dedicación necesaria diaria o semanal: el personal involucrado en el proyecto debe ser capaz de trabajar con continuidad en el proyecto.

    • Registrar evidencias: deben recogerse evidencias al menos tres meses antes del intento de certificación para demostrar que el SGSI funciona adecuadamente. No precipitarse en conseguir la certificación.

    • Mantenimiento y mejora continua: tener en consideración que el mantenimiento y la mejora del SGSI a lo largo de los años posteriores requeriran también esfuerzo y recursos.