0 Norma ISO 27001 Auditoria ISO 27001 2013
Páginas: 26 (6369 palabras)
Publicado: 28 de octubre de 2015
ISO 27001:2013 TECNOLOGÍA DE LA INFORMACIÓN. TÉCNICAS DE SEGURIDAD. SISTEMAS DE GESTIÓN DE LA SEGURIDAD
0 INTRODUCCIÓN. 0.1.GENERALIDADES. Esta norma ha sido elaborada para suministrar requisitos para
establecer, implementar, mantener y mejorar el SGSI. La adopción es una decisión estratégica para la
empresa. Está influenciada su establecimiento e implementación por las necesidades y objetivos dela
organización, los requisitos de seguridad, los procesos organizacionales empleados, y el tamaño y estructura
de la organización. EL SGSI preserva la confidencialidad, la integridad y la disponibilidad de la información,
mediante la aplicación de la gestión del riesgo y brinda confianza a las partes interesadas acerca de que los
riesgos son gestionados adecuadamente. Es importante que el SGSIsea parte de los procesos y de la
0.2 COMPATIBILIDAD CON OTRAS NORMAS DE SISTEMAS DE GESTIÓN Esta norma aplica la estructura de
alto nivel, títulos idénticos de apartados, textos idénticos, términos comunes y definiciones esenciales
definidas en el Anexo SL de las Directivas ISO/IEC y por tanto es compatible con otras normas de sistemas de
1 OBJETO Y CAMPO DE APLICACIÓN Esta norma específica losrequisitos para establecer, implementar,
mantener y mejorar continuamente un SGSI. Incluye también los requisitos para la evaluación y el
tratamiento de riesgos de Seguridad de la Información. Los requisitos son genéricos y están previstos para
ser aplicables a todas las organizaciones, independiente de su tipo, tamaño o naturaleza. No se permite la
2 REFERENCIAS NORMATIVAS. ISO/IEC 27000,Information Technology – Security Techniques – Information
Security Management Systems – Overview and Vocabulary.
3 TERMINOS Y DEFINICIONES. Se aplican los términos y definiciones presentados en la norma ISO/IEC
4 CONTEXTO DE LA ORGANIZACIÓN
4.1 CONOCIMIENTO DE LA ORGANIZACIÓN Y DE SU CONTEXTO. La empresa debe determinar los aspectos
externos e internos que son necesarios para cumplir su propósito y queafectan su capacidad para lograr los
resultados previstos en el SGSI. Nota. La terminación de estos aspectos hace referencia a establecer el
4.2 COMPRENSIÓN DE LAS NECESIDADES Y EXPECTATIVAS DE LAS PARTES INTERESADAS. Se debe
determinar: a. Las partes interesadas que son pertinentes al SGSI; b. Los requisitos de las partes interesadas.
Nota. Los requisitos pueden incluir los requisitos legales y dereglamentación y las obligaciones
4.3 DETERMINACIÓN DEL ALCANCE DEL SGSI. Se debe determinar los límites y la aplicabilidad del SGSI para
establecer su alcance. Para determinar el alcance la organización debe considerar: a. Aspectos internos y
externos referidas en el 4.1. y b. Los requisitos referidos en 4.2.; y c. Las interfaces y dependencias entre las
actividades realizadas y las que realizanotras empresas. El alcance debe estar disponible como información
4.4 SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN. Se debe establecer, implementar,
mantener y mejorar continuamente un SGSI, de acuerdo con los requisitos de la norma ISO 27001:2013.
5
LIDERAZGO
5.1 LIDERAZGO Y COMPROMISO. La Alta Dirección debe demostrar liderazgo y compromiso con respecto al
SGSI así: a. Asegurado que seestablece la política y los objetivos del SGS y que estos sean compatibles con la
dirección estratégica de la organización; b. Asegurando la integración de los requisitos del SGSI con los
procesos de negocio; c. Asegurando la disponibilidad de los recursos necesarios; d. Comunicando la
importancia de una gestión eficaz y de conformidad con los requisitos del SGSI; e. Asegurando que el SGSI
logrelos resultados previstos; f. Dirigiendo y apoyando al personal para aportar a la eficacia del SGSI;
5.2 POLÍTICA La Alta Dirección debe establecer una política que: a. Sea adecuada al propósito de la
empresa. b. Incluya objetivos de Seguridad de la Información (6.2) o proporcione el marco para el
establecimiento de los mismos. c. Incluya un compromiso de cumplir los requisitos aplicables...
0 INTRODUCCIÓN. 0.1.GENERALIDADES. Esta norma ha sido elaborada para suministrar requisitos para
establecer, implementar, mantener y mejorar el SGSI. La adopción es una decisión estratégica para la
empresa. Está influenciada su establecimiento e implementación por las necesidades y objetivos dela
organización, los requisitos de seguridad, los procesos organizacionales empleados, y el tamaño y estructura
de la organización. EL SGSI preserva la confidencialidad, la integridad y la disponibilidad de la información,
mediante la aplicación de la gestión del riesgo y brinda confianza a las partes interesadas acerca de que los
riesgos son gestionados adecuadamente. Es importante que el SGSIsea parte de los procesos y de la
0.2 COMPATIBILIDAD CON OTRAS NORMAS DE SISTEMAS DE GESTIÓN Esta norma aplica la estructura de
alto nivel, títulos idénticos de apartados, textos idénticos, términos comunes y definiciones esenciales
definidas en el Anexo SL de las Directivas ISO/IEC y por tanto es compatible con otras normas de sistemas de
1 OBJETO Y CAMPO DE APLICACIÓN Esta norma específica losrequisitos para establecer, implementar,
mantener y mejorar continuamente un SGSI. Incluye también los requisitos para la evaluación y el
tratamiento de riesgos de Seguridad de la Información. Los requisitos son genéricos y están previstos para
ser aplicables a todas las organizaciones, independiente de su tipo, tamaño o naturaleza. No se permite la
2 REFERENCIAS NORMATIVAS. ISO/IEC 27000,Information Technology – Security Techniques – Information
Security Management Systems – Overview and Vocabulary.
3 TERMINOS Y DEFINICIONES. Se aplican los términos y definiciones presentados en la norma ISO/IEC
4 CONTEXTO DE LA ORGANIZACIÓN
4.1 CONOCIMIENTO DE LA ORGANIZACIÓN Y DE SU CONTEXTO. La empresa debe determinar los aspectos
externos e internos que son necesarios para cumplir su propósito y queafectan su capacidad para lograr los
resultados previstos en el SGSI. Nota. La terminación de estos aspectos hace referencia a establecer el
4.2 COMPRENSIÓN DE LAS NECESIDADES Y EXPECTATIVAS DE LAS PARTES INTERESADAS. Se debe
determinar: a. Las partes interesadas que son pertinentes al SGSI; b. Los requisitos de las partes interesadas.
Nota. Los requisitos pueden incluir los requisitos legales y dereglamentación y las obligaciones
4.3 DETERMINACIÓN DEL ALCANCE DEL SGSI. Se debe determinar los límites y la aplicabilidad del SGSI para
establecer su alcance. Para determinar el alcance la organización debe considerar: a. Aspectos internos y
externos referidas en el 4.1. y b. Los requisitos referidos en 4.2.; y c. Las interfaces y dependencias entre las
actividades realizadas y las que realizanotras empresas. El alcance debe estar disponible como información
4.4 SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN. Se debe establecer, implementar,
mantener y mejorar continuamente un SGSI, de acuerdo con los requisitos de la norma ISO 27001:2013.
5
LIDERAZGO
5.1 LIDERAZGO Y COMPROMISO. La Alta Dirección debe demostrar liderazgo y compromiso con respecto al
SGSI así: a. Asegurado que seestablece la política y los objetivos del SGS y que estos sean compatibles con la
dirección estratégica de la organización; b. Asegurando la integración de los requisitos del SGSI con los
procesos de negocio; c. Asegurando la disponibilidad de los recursos necesarios; d. Comunicando la
importancia de una gestión eficaz y de conformidad con los requisitos del SGSI; e. Asegurando que el SGSI
logrelos resultados previstos; f. Dirigiendo y apoyando al personal para aportar a la eficacia del SGSI;
5.2 POLÍTICA La Alta Dirección debe establecer una política que: a. Sea adecuada al propósito de la
empresa. b. Incluya objetivos de Seguridad de la Información (6.2) o proporcione el marco para el
establecimiento de los mismos. c. Incluya un compromiso de cumplir los requisitos aplicables...
Leer documento completo
Regístrate para leer el documento completo.