Quito Ecuador NORMA TÉCNICA ECUATORIANA NTE INEN-ISO/IEC 27001 Segunda edición TECNOLOGÍAS DE LA INFORMACIÓN TÉCNICAS DE SEGURIDAD SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN REQUISITOS. (ISOIEC 27001:2013 + Cor 1:2014 + cor 2:2015, IDT) INFORMATION TECHNOLOGY SECURITY TECHNIQUES INFORMATION SECURITY MANAGEMENT SYSTEMS REQUIREMENTS (ISO/IEC 27001:2013 + CORRIGENDUM 1: 2014 + CORRIGENDUM 2: 2015 ) Correspondencia: Esta Norma Técnica Ecuatoriana es una traducción idéntica de la Norma Internacional ISO7/IEC 27001:2013 + corrigendo técnico 1:2014 + corrigendo técnico 2:2015 ICS: 35.040 29 Páginas
Prólogo nacional Esta Norma Técnica Ecuatoriana NTE INEN-ISO/IEC 27001, es una traducción idéntica de la Norma Internacional ISO/IEC 27001:2013, Information technology Security techniques Information security management systems Requirements (ISO/IEC 27001:2013), que incluye su corrigendo Técnico 1 ISO/IEC 27001:2014 y corrigendo Técnico 2 ISO/IEC 27001: 2015. El Servicio Ecuatoriano de Normalización, INEN, es el responsable de la traducción de esta Norma Técnica Ecuatoriana, y de su adopción es el Comité Técnico de Normalización del INEN, Tecnologías de la información. Para el propósito de esta Norma Técnica Ecuatoriana se han hecho los siguientes cambios editoriales: a) Las palabras esta Norma Internacional han sido reemplazadas por esta norma nacional. 2016-XX i
Índice Página Prólogo... iii 0 Introducción... iv 1 Objeto y campo de aplicación... 1 2 Referencias normativas... 1 3 Términos y definiciones... 1 4 Contexto de la Organización... 1 4.1 Comprensión de la organización y su contexto... 1 4.2 Comprensión de las necesidades y expectativas de las partes interesadas... 1 4.3 Determinar el alcance del sistema de gestión de seguridad de la información... 2 4.4 Sistema de gestión de seguridad de la información... 2 5 Liderazgo... 2 5.1 Liderazgo y compromiso... 2 5.2 Política... 3 5.3 Roles organizacionales, responsabilidades y autoridades... 3 6 Planificación... 3 6.1 Acciones para abordar los riesgos y oportunidades... 3 6.2 Objetivos y la planificación para alcanzarlos seguridad de la información... 5 7 Soporte... 6 7.1 Recursos... 6 7.2 Competencia... 6 7.3 Conciencia... 7 7.4 Comunicación... 7 7.5 Información documentada... 7 8 Funcionamiento... 8 8.1 Planificación y control operacional... 8 8.2 Evaluación de riesgos de seguridad de la información... 9 8.3 Tratamiento del riesgo de seguridad de la información... 9 9 Evaluación de desempeño... 9 9.1 Monitoreo, medición, análisis y evaluación... 9 9.2 Auditoría interna... 10 9.3 Revisión de gestión... 10 10 Mejoras... 11 10.1 No conformidad y acciones correctivas... 11 10.2 Mejora continua... 11 Anexo A (normativo) Objetivos de control y controles de referencia... 12 Bibliografía... 29 2016-XX ii
Prólogo ISO (Organización Internacional de Normalización) e IEC (Comisión Electrotécnica Internacional) constituyen el sistema especializado para la normalización a nivel mundial. Los organismos nacionales que son miembros de ISO o IEC participan en el desarrollo de las normas internacionales a través de comités técnicos establecidos por las organizaciones respectivas para realizar acuerdos en campos específicos de la actividad técnica. Los comités técnicos de ISO e IEC colaboran en los campos de interés mutuo. Otras organizaciones internacionales, gubernamentales y no gubernamentales, en colaboración con ISO e IEC, también toman parte en el trabajo. En el campo de la tecnología de la información, ISO e IEC han establecido un comité técnico conjunto, el denominado ISO/IEC JTC 1. Las normas internacionales se redactan de acuerdo con las reglas establecidas en la Parte 2 de las Directivas ISO/IEC. La tarea principal de los comités técnicos es elaborar normas internacionales. Los proyectos de normas internacionales adoptados por los comités técnicos se envían a los organismos nacionales miembros para su voto. La publicación como norma requiere la aprobación de al menos el 75% de los organismos nacionales miembros con derecho a voto. Se llama la atención sobre la posibilidad de que algunos de los elementos de esta norma puedan estar sujetos a derechos de patente. ISO e IEC no asumen la responsabilidad de la identificación de dichos derechos de patente. ISO/IEC 27001 ha sido elaborada por el subcomité SC 27 Técnicas de seguridad que forma parte del comité técnico conjunto ISO/IEC JTC 1 Tecnologías de la información. Esta segunda edición anula y sustituye a la primera edición (ISO / IEC 27001: 2005), que ha sido revisada técnicamente. 2016-XX iii
0 Introducción 0.1 Generalidades Esta norma nacional se ha preparado para proporcionar los requisitos para establecer, implementar, y mantener el mejoramiento continuo en un sistema de gestión de seguridad de la información. La adopción de un sistema de gestión de seguridad de la información es una decisión estratégica para una organización. El establecimiento y la implementación del sistema de gestión de seguridad de la información de una organización están influenciados por las necesidades y objetivos de la organización, los requisitos de seguridad, los procesos utilizados de la organización y el tamaño y estructura de la organización. Se espera que todos estos factores influyan a cambiar con el tiempo. El sistema de gestión de seguridad de la información preserva la confidencialidad, integridad y disponibilidad de la información mediante la aplicación de un proceso de gestión de riesgos y da confianza a las partes interesadas que riesgos se gestionan adecuadamente. Es importante que el sistema de gestión de seguridad de la información es parte de y se integra con el proceso y gestión general de la estructura de organización y seguridad de la información que se considera en el diseño de procesos, sistemas de información y controles. Se espera que una seguridad de la información la implementación del sistema de gestión se aplica a una escala de acuerdo con las necesidades de la organización. Esta Norma Internacional pueden utilizarla partes internas y externas para evaluar la organización de capacidad para cumplir con los requisitos de seguridad de la información propios de la organización. El orden en que se presentan los requisitos de esta norma nacional no refleja su importancia o dar a entender el orden en que han de ser aplicadas. Los elementos de la lista se enumeran a propósito de la referencia solamente. ISO/IEC 27000 descripción general y vocabulario de los sistemas de gestión de seguridad de la información, que hacen referencia a la familia de sistemas de gestión de seguridad de la información de las normas (incluyendo ISO/IEC 27003[2], ISO/IEC 27004[3] e ISO/IEC 27005[4]), con términos y definiciones relacionados. 0.2 Compatibilidad con otras normas de sistemas de gestión Esta norma nacional se aplica a la estructura de alto nivel, subcapítulos y títulos idénticos, texto idéntico, términos y definiciones comunes, definiciones básicas en el anexo SL de las Directivas ISO/IEC, Parte 1, suplemento consolidado ISO, y por lo tanto mantiene la compatibilidad con otras normas de sistemas de gestión que han adoptado el Anexo SL. Este enfoque común definido en el anexo SL será útil para aquellas organizaciones que optan por operar un único sistema de gestión que cumple los requisitos de dos o más normas de sistemas de gestión. 2016-XX iv
Tecnologías de la información Técnicas de seguridad Sistemas de gestión de seguridad de la información Requisitos 1 Objeto y campo de aplicación Esta norma nacional especifica los requisitos para establecer, implementar, mantener y mejorar continuamente un sistema de gestión de seguridad de la información en el contexto de la organización. Esta norma nacional también incluye los requisitos para la evaluación y el tratamiento de los riesgos de seguridad de la información adaptados a las necesidades de la organización. Los requisitos establecidos en esta norma nacional son genéricos y se pretende que sean aplicables a todas las organizaciones, independientemente del tipo, tamaño o naturaleza. Con exclusión de cualquiera de los requisitos especificados en el capítulo 4 al 10 no es aceptable cuando una organización afirma la conformidad con esta norma nacional. 2 Referencias normativas Los siguientes documentos, en su totalidad o en parte, hacen referencia a normativa en este documento y son indispensables para su aplicación. Para las referencias con fecha, sólo se aplica la edición citada. Para las referencias sin fecha se aplica la última edición del documento de referencia (incluyendo cualquier modificación). ISO/IEC 27000, Tecnologías de la información - Técnicas de seguridad - Sistemas de gestión de seguridad de la información - Descripción y vocabulario 3 Términos y definiciones Para los fines de este documento, los siguientes términos y definiciones aplican en ISO/IEC 27000. 4 Contexto de la Organización 4.1 Comprensión de la organización y su contexto La organización debe determinar los problemas externos e internos que son relevantes para su propósito y que afecta a su capacidad para lograr el resultado deseado (s) de su sistema de gestión de seguridad de la información. NOTA La determinación de estas cuestiones se refiere al establecimiento del contexto externo e interno de la organización considerada en 5.3 de ISO 31000: 2009 [5]. 4.2 Comprensión de las necesidades y expectativas de las partes interesadas La organización debe determinar: a) las partes interesadas que son relevantes para el sistema de gestión de seguridad de la información; y 2016-xxx 1
Documento: NTE INEN-ISO 27001 INFORMACIÓN COMPLEMENTARIA TÍTULO: TECNOLOGÍAS DE LA INFORMACIÓN TÉCNICAS DE SEGURIDAD SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN REQUISITOS. (ISOIEC 27001:2013 + Cor 1:2014 + cor 2:2015, IDT) Código ICS: 35.040 ORIGINAL: Fecha de iniciación del estudio:2016-10-03 REVISIÓN: La Subsecretaría de la Calidad del Ministerio de Industrias y Productividad aprobó este proyecto de norma Oficialización con el Carácter de por Resolución No. publicado en el Registro Oficial No. Fecha de iniciación del estudio: Fechas de consulta pública: Comité Técnico de: Tecnologías de la información Fecha de iniciación: Fecha de aprobación: Integrantes del Comité: NOMBRES: INSTITUCIÓN REPRESENTADA: Otros trámites: Esta NTE INEN-ISO/IEC 27001:2016 reemplaza a la NTE INEN ISO/IEC 27001:2011. La Subsecretaría de la Calidad del Ministerio de Industrias y Productividad aprobó este proyecto de norma Oficializada como: Por Resolución No. Registro Oficial No.
Servicio Ecuatoriano de Normalización, INEN - Baquerizo Moreno E8-29 y Av. 6 de Diciembre Casilla 17-01-3999 - Telfs: (593 2)3 825960 al 3825999 Dirección Ejecutiva: E-Mail: direccion@normalizacion.gob.ec Dirección de Normalización: E-Mail: consultanormalizacion@normalizacion.gob.ec Centro de Información: centrodeinformacion@normalizacion.gob.ec URL:www.normalizacion.gob.ec