27001 E1 iram-iso-iec
ISO/IEC 27001 2007
Tecnología de la información Sistemas de gestión de seguridad de la información (SGSI) Requisitos
Information technology Information security management systems - Requirements
LAS OBSERVACIONES DEBEN ENVIARSE CON EL FORMULARIO DE LA ETAPA DE DISCUSIÓN PÚBLICA
DOCUMENTO EN ESTUDIO
Mayo de 2007
2
Es qu em a 1 IR A M- ISO / IE C 2 70 0 1: 2 00 7
Prefacio
El Instituto Argentino de Normalización y Certificación (IRAM) es una asociación civil sin fines de lucro cuyas finalidades específicas, en su carácter de Organismo Argentino de Normalización, son establecer normas técnicas, sin limitaciones en los ámbitos que abarquen, además de propender al conocimiento y la aplicación de la normalización como base de lacalidad, promoviendo las actividades de certificación de productos y de sistemas de la calidad en las empresas para brindar seguridad al consumidor. IRAM es el representante de la Argentina en la International Organization for Standardization (ISO), en la Comisión Panamericana de Normas Técnicas (COPANT) y en la Asociación MERCOSUR de Normalización (AMN). Esta norma IRAM es el fruto del consensotécnico entre los diversos sectores involucrados, los que a través de sus representantes han intervenido en los Organismos de Estudio de Normas correspondientes.
Esta norma es una adopción idéntica de la norma ISO/IEC 27001:2005.
3
Es qu em a 1 IR A M- I SO / IE C 2 70 0 1: 2 00 7
Índice
Página
0INTRODUCCIÓN............................................................................................. 5
0.1 GENERALIDADES....................................................................................................5 0.2 ENFOQUE BASADO EN PROCESOS.....................................................................5
1 OBJETO.......................................................................................................... 7
1.1GENERALIDADES....................................................................................................7 1.2 APLICACIÓN ............................................................................................................7
2 REFERENCIA NORMATIVA ........................................................................... 7 3 TÉRMINOS Y DEFINICIONES........................................................................ 8 4 SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ........... 9
4.1 REQUISITOS GENERALES .....................................................................................9 4.2 ESTABLECIMIENTO Y GESTIÓN DEL SGSI ..........................................................9 4.3 REQUISITOS DE DOCUMENTACIÓN...................................................................125 RESPONSABILIDAD DE LA DIRECCIÓN..................................................... 13
5.1 COMPROMISO DE LA DIRECCIÓN ......................................................................13 5.2 GESTIÓN DE RECURSOS.....................................................................................14
6 AUDITORIAS INTERNAS DEL SGSI............................................................ 14 7 REVISIÓN DEL SGSI POR LA DIRECCIÓN ................................................. 15
7.1 GENERALIDADES..................................................................................................15 7.2 INFORMACIÓN PARA LA REVISIÓN ....................................................................15 7.3 RESULTADOS DE LA REVISIÓN..........................................................................15
8 MEJORA DEL SGSI ...................................................................................... 16
8.1 MEJORA CONTINUA .............................................................................................16 8.2 ACCIÓN CORRECTIVA..........................................................................................16 8.3 ACCIÓN PREVENTIVA...
Regístrate para leer el documento completo.