Iso 27001
Páginas: 53 (13120 palabras)
Publicado: 22 de octubre de 2010
ESTÁNDAR INTERNACIONAL
ISO/IEC
27001
Primera Edicion 2005 - 10 - 15
Tecnología de la Información – Técnicas de seguridad – Sistemas de gestión de seguridad de la información – Requerimientos
Numero de Referencia ISO/IEC 27001:2005 (E)
Tabla de Contenido
Prefacio 0 Introducción 0.1 General 0.2 Enfoque del Proceso Figura 1 – Modelo PDCA aplicado a los procesos SGSI 0.3Compatibilidad con otros sistemas de gestión 4 5 5 5 6 7
Tecnología de la información – Técnicas de seguridad – Sistemas de gestión de seguridad de la información – Requerimientos 1 Alcance 1.1 General 1.2 Aplicación 2 Referencias normativas 3 Términos y definiciones 4 Sistema de gestión de seguridad de la información 4.1 Requerimientos generales 4.2 Establecer y manejar el SGSI 4.2.1 Establecer el SGSI4.2.2 Implementar y operar el SGSI 4.2.3 Monitorear y revisar el SGSI 4.2.4 Mantener y mejorar el SGSI 4.3 Requerimientos de documentación 4.3.1 General 4.3.2 Control de documentos 4.3.3 Control de registros 5 Responsabilidad de la gerencia 5.1 Compromiso de la gerencia 5.2 Gestión de recursos 5.2.1 Provisión de recursos 5.2.2 Capacitación, conocimiento y capacidad 6 Auditorías internas SGSI 7Revisión Gerencial del SGSI 8 8 8 8 9 9 12 12 12 12 14 15 16 16 16 17 17 18 18 18 18 19 19 20 2
7.1 General 7.2 Insumo de la revisión 7.3 Resultado de la revisión 8 Mejoramiento del SGSI 8.1 Mejoramiento continuo 8.2 Acción correctiva 8.3 Acción preventiva Anexo A (normativo) Objetivos de control y controles Anexo B (informativo) Principios OECD y este Estándar Internacional Tabla B.1 – PrincipiosOECD y el modelo PDCA Anexo C (informativo)
20 20 21 21 21 21 22 23 23 23 37 37 37 37 39 39
Correspondencia entre ISO 9001:2000, ISO 14001:2004 y este Estándar Internacional 39
Tabla C.1 – Correspondencia entre ISO 9001:2000, ISO 14001:2004 y este Estándar Internacional Bibliografía 39 40
3
Prefacio
ISO (la Organización Internacional para la Estandarización) e IEC (la ComisiónElectrotécnica Internacional) forman el sistema especializado para la estandarización universal. Los organismos nacionales miembros de ISO o IEC participan en el desarrollo de Estándares Internacionales a través de comités técnicos establecidos por la organización respectiva para lidiar con campos particulares de la actividad técnica. Los comités técnicos de ISO e IEC colaboran en campos de interésmutuo. Otras organizaciones internacionales, gubernamentales y no-gubernamentales,
junto con ISO e IEC, también toman parte en el trabajo. En el campo de la tecnología de la información, ISO e IEC han establecido u comité técnico conjunto, ISO/IEC JTC 1.
Los Estándares Internacionales son desarrollados en concordancia con las reglas dadas en las Directivas ISO/IEC, Parte 2. La tarea principaldel comité técnico conjunto es preparar Estándares Internacionales. Los
anteproyectos de los Estándares Internacionales adoptados por el comité técnico conjunto con enviados a los organismos nacionales para su votación. La publicación de un Estándar
Internacional requiere la aprobación de por lo menos 75% de los organismos nacionales que emiten un voto. Se debe prestar atención a laposibilidad que algunos elementos de este documento estén sujetos a derechos de patente. ISO e IEC no deben ser responsables de la identificación de algún o todos los derechos de patentes.
ISO/IEC 27001 fue preparado por el Comité Técnico Conjunto ISO/IEC JTC 1, Tecnología de la información, Subcomité SC 27, Técnicas de seguridad TI.
4
0 Introducción 0.1 General
Este Estándar Internacional hasido preparado para proporcionar un modelo para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). La adopción de un SGSI debe ser una decisión estratégica para una organización. El diseño e implementación del SGSI de una organización es influenciado por las necesidades y objetivos, requerimientos de seguridad, los...
ISO/IEC
27001
Primera Edicion 2005 - 10 - 15
Tecnología de la Información – Técnicas de seguridad – Sistemas de gestión de seguridad de la información – Requerimientos
Numero de Referencia ISO/IEC 27001:2005 (E)
Tabla de Contenido
Prefacio 0 Introducción 0.1 General 0.2 Enfoque del Proceso Figura 1 – Modelo PDCA aplicado a los procesos SGSI 0.3Compatibilidad con otros sistemas de gestión 4 5 5 5 6 7
Tecnología de la información – Técnicas de seguridad – Sistemas de gestión de seguridad de la información – Requerimientos 1 Alcance 1.1 General 1.2 Aplicación 2 Referencias normativas 3 Términos y definiciones 4 Sistema de gestión de seguridad de la información 4.1 Requerimientos generales 4.2 Establecer y manejar el SGSI 4.2.1 Establecer el SGSI4.2.2 Implementar y operar el SGSI 4.2.3 Monitorear y revisar el SGSI 4.2.4 Mantener y mejorar el SGSI 4.3 Requerimientos de documentación 4.3.1 General 4.3.2 Control de documentos 4.3.3 Control de registros 5 Responsabilidad de la gerencia 5.1 Compromiso de la gerencia 5.2 Gestión de recursos 5.2.1 Provisión de recursos 5.2.2 Capacitación, conocimiento y capacidad 6 Auditorías internas SGSI 7Revisión Gerencial del SGSI 8 8 8 8 9 9 12 12 12 12 14 15 16 16 16 17 17 18 18 18 18 19 19 20 2
7.1 General 7.2 Insumo de la revisión 7.3 Resultado de la revisión 8 Mejoramiento del SGSI 8.1 Mejoramiento continuo 8.2 Acción correctiva 8.3 Acción preventiva Anexo A (normativo) Objetivos de control y controles Anexo B (informativo) Principios OECD y este Estándar Internacional Tabla B.1 – PrincipiosOECD y el modelo PDCA Anexo C (informativo)
20 20 21 21 21 21 22 23 23 23 37 37 37 37 39 39
Correspondencia entre ISO 9001:2000, ISO 14001:2004 y este Estándar Internacional 39
Tabla C.1 – Correspondencia entre ISO 9001:2000, ISO 14001:2004 y este Estándar Internacional Bibliografía 39 40
3
Prefacio
ISO (la Organización Internacional para la Estandarización) e IEC (la ComisiónElectrotécnica Internacional) forman el sistema especializado para la estandarización universal. Los organismos nacionales miembros de ISO o IEC participan en el desarrollo de Estándares Internacionales a través de comités técnicos establecidos por la organización respectiva para lidiar con campos particulares de la actividad técnica. Los comités técnicos de ISO e IEC colaboran en campos de interésmutuo. Otras organizaciones internacionales, gubernamentales y no-gubernamentales,
junto con ISO e IEC, también toman parte en el trabajo. En el campo de la tecnología de la información, ISO e IEC han establecido u comité técnico conjunto, ISO/IEC JTC 1.
Los Estándares Internacionales son desarrollados en concordancia con las reglas dadas en las Directivas ISO/IEC, Parte 2. La tarea principaldel comité técnico conjunto es preparar Estándares Internacionales. Los
anteproyectos de los Estándares Internacionales adoptados por el comité técnico conjunto con enviados a los organismos nacionales para su votación. La publicación de un Estándar
Internacional requiere la aprobación de por lo menos 75% de los organismos nacionales que emiten un voto. Se debe prestar atención a laposibilidad que algunos elementos de este documento estén sujetos a derechos de patente. ISO e IEC no deben ser responsables de la identificación de algún o todos los derechos de patentes.
ISO/IEC 27001 fue preparado por el Comité Técnico Conjunto ISO/IEC JTC 1, Tecnología de la información, Subcomité SC 27, Técnicas de seguridad TI.
4
0 Introducción 0.1 General
Este Estándar Internacional hasido preparado para proporcionar un modelo para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). La adopción de un SGSI debe ser una decisión estratégica para una organización. El diseño e implementación del SGSI de una organización es influenciado por las necesidades y objetivos, requerimientos de seguridad, los...
Leer documento completo
Regístrate para leer el documento completo.