Estandares
Norma UNE-ISO/IEC 27001
sobre seguridad en
sistemas de información
para pymes
2.ª edición
Luis Gómez Fernández
Ana Andrés Álvarez
Título: Guía de aplicación de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de información para pymes.
2.ª edición
Autores: Luis Gómez Fernández y Ana Andrés Álvarez
© AENOR (Asociación Española de Normalización yCertificación), 2012
Todos los derechos reservados. Queda prohibida la reproducción total o parcial en cualquier soporte,
sin la previa autorización escrita de AENOR.
ISBN: 978-84-8143-749-2
Depósito Legal: M-15948-2012
Impreso en España - Printed in Spain
Edita: AENOR
Maqueta y diseño de cubierta: AENOR
Imprime: AENOR
Nota: AENOR no se hace responsable de las opiniones expresadas por losautores en esta obra.
Génova, 6. 28004 Madrid • Tel.: 902 102 201 • Fax: 913 103 695
comercial@aenor.es • www.aenor.es
Índice
Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
9
Objeto de esta guía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
11
1.
13
1.1.
Definición deun SGSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
13
1.2.
El ciclo de mejora continua . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
14
1.3.
La Norma UNE-ISO/IEC 27001 . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.3.1. Origen de la norma . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.3.2. Objeto y campo deaplicación de la norma . . . . . . . . . . . .
16
16
17
1.4.
La Norma UNE-ISO/IEC 27002 . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.4.1. Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.4.2. Objeto y campo de aplicación . . . . . . . . . . . . . . . . . . . . . .
17
17
18
1.5.
El Esquema Nacional de Seguridad (ENS) . . . . . . . . . .. . . . . . . . . .
1.5.1. Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.5.2. Objeto y campo de aplicación . . . . . . . . . . . . . . . . . . . . . .
18
18
19
1.6.
2.
Introducción a los Sistemas de Gestión de Seguridad de
la Información (SGSI) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Términos ydefiniciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
19
Comprender la Norma UNE-ISO/IEC 27001 . . . . . . . . . . . . . . . . . . . . .
23
2.1.
Requisitos generales del sistema de gestión de la seguridad . . . . . . .
23
2.2.
Establecimiento y gestión del SGSI . . . . . . . . . . . . . . . . . . . . . . . . .
2.2.1. Establecimiento del SGSI . . . . . . .. . . . . . . . . . . . . . . . . . .
2.2.2. Definición del alcance del SGSI . . . . . . . . . . . . . . . . . . . . .
2.2.3. Definición de la política de seguridad . . . . . . . . . . . . . . . . .
25
25
27
28
4
Guía de aplicación de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de información para pymes
2.2.4.
2.2.5.
2.2.6.
2.2.7.
2.2.8.
2.2.9.
2.2.10.
2.2.11.2.2.12.
2.2.13.
28
29
30
31
31
32
32
33
33
34
2.3.
Requisitos de documentación . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.3.1. Generalidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.3.2. Control de documentos . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.3.3. Control de registros . . . . . . . . . . . . . . . . . . . . . .. . . . . . .
35
35
35
36
2.4.
Compromiso de la dirección . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
36
2.5.
Gestión de los recursos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
37
2.6.
Formación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
38
2.7.
Auditorías internas . . . . . . ....
Regístrate para leer el documento completo.