Iso 27001 2013

ISO 27001:2013
Sistemas de gestión de
seguridad de la información

información.
(Del lat. informatĭo, -ōnis).
1. f. Acción y efecto de informar.
2. f. Oficina donde se informa sobre algo.
3. f. Averiguación jurídica y legal de un hecho o delito.
4. f. Pruebas que se hacen de la calidad y circunstancias necesarias en una
persona para un empleo u honor. U. m. en pl.
5. f. Comunicación o adquisición de conocimientos que permiten
ampliar o precisar los que se poseen sobre una materia
determinada.
6. f. Conocimientos así comunicados o adquiridos.
7. f. Biol. Propiedad intrínseca de ciertos biopolímeros, como los ácidos
nucleicos, originada por la secuencia de las unidades componentes.
8. f. ant. Educación, instrucción.
Fuente: RAE
¿Qué es la información?

• La información es un conjunto organizado de
datos procesados, que constituyen un
mensaje que cambia el estado de
conocimiento del sujeto o sistema que recibe
dicho mensaje.
Fuente: Wikipedia

Información
La información constituye un importante activo,
esencial para las necesidades empresariales de una
organización.
La información puede existir de muchas maneras.
Puede estar impresa o escrita en papel, puede estar
almacenada electrónicamente, ser transmitida por
correo o por medios electrónicos, se la puede
mostrar en videos, o exponer oralmente en
conversaciones.
ISO / IEC 27000:2014

• La información es un activo que, como otros
activos comerciales importantes, tiene valor
para una organización y en consecuencia
necesita ser adecuadamente protegido

¿Dónde está la información?
• Papel
• Medios electrónicos
Ordenadores
Almacenamiento físico/virtual
Memorias USB
En tránsito
Etc.
• Videos
• Conversaciones
• Web
• Personas
• En los sitios más insospechados….

La importancia y la necesidad de
proteger la información
• Las Información se han convertido en un elemento
trascendental en nuestra forma de trabajar, y es
imposible pensar el trabajo de un profesional o el
desempeño de una compañía sin ellas.
• La seguridad de la información no sólo es una
cuestión de las organizaciones TI, sino también de
los entornos industriales cada vez más
interconectados.

La importancia y la necesidad de
proteger la información
• En un mundo en el que se mueven millones de datos,
la continua aparición de vulnerabilidades en los
sistemas, las noticias de accesos no deseados, hacen
de la seguridad un área de especial interés para el
correcto desarrollo de los negocios en esta era
digital. La seguridad absoluta no es posible, no existe
un sistema 100% seguro, de forma que el elemento
de riesgo está siempre presente, independiente de
las medidas que tomemos, por lo que se debe hablar
de niveles de seguridad.

3.1 riesgo
Efecto de la incertidumbre sobre los objetivos
• Nota 1 a la entrada: Un efecto es una desviación respecto a
lo previsto. Puede ser positivo, negativo o ambos, y puede
abordar, crear o resultar en oportunidades y amenazas.
• Nota 2 a la entrada: Los objetivos pueden tener diferentes
aspectos y categorías, y se pueden aplicar a diferentes
niveles.
• Nota 3 a la entrada: Con frecuencia, el riesgo se expresa en
términos de fuentes de riesgo (3.4), eventos (3.5) potenciales,
sus consecuencias (3.6) y sus probabilidades (3.7).
Términos y definiciones

3.1 Riesgo
“Efecto de la incertidumbre”
es el estado, incluso parcial,
de deficiencia de información
relacionada con la comprensión
o conocimiento de un evento,
su consecuencia o su probabilidad
DESVIACION
DE LO ESPERADO
Término común y definición esencial para las normas de sistemas de gestión que se proporcionan en Anexo SL de Directivas
ISO/IEC

• Confidencialidad: Propiedad por la cual la
información no esté disponible ni sea divulgada a
individuos, organismos o procesos no autorizados.
ISO 27000:2014, cláusula 2.12
• Integridad: Propiedad de proteger la precisión y la
totalidad de los activos.
ISO 27000:2014, cláusula 2.40
• Disponibilidad: Propiedad de estar accesible y ser
utilizable a demanda por parte de un organismo
autorizado
ISO 27000:2014, cláusula 2.9

Seguridad de la información
Preservación de la confidencialidad, integridad y
disponibilidad de la información; además de
otras propiedades, que también pueden estar
involucradas como la autenticación, registro
de responsabilidad (accountability), el no
repudio y la confiabilidad.
ISO 27000:2014

Amenaza
Evento
Daño
Recuperación
Prevención
Reducción
Detección
Represión
Gestión del
Incidente
Continuidad
Recuperación
Evaluación
Los elementos básicos que
conforman la Seguridad de la
Información son:
1. Las acciones necesarias para
reducir el riesgo antes de un
evento indeseado.
2. Las acciones que indiquen
como responder durante el
evento.
3. Las acciones que describan
como recuperarse después
de que el evento se ha
presentado.
Gestión de la Seguridad de la Información

• Las nuevas tecnologías nos permiten estar
conectados en todo momento, pero también abren
la puerta a nuevas amenazas a nuestra privacidad, a
la gestión de nuestros datos, de nuestros
información
• ¿Cómo afrontar esta situación?
• Sólo hay una forma de gestionar de forma adecuada
la seguridad: Identificar, analizar, evaluar, y
gestionar los riesgos de seguridad de la información
a los que se enfrenta la organización, y tomar las
medidas técnicas, organizativas y
legales necesarias.

• La Gestión Seguridad de la Información tiene
como fin la protección de la información y de
los sistemas de la información del acceso, uso,
divulgación, interrupción o destrucción no
autorizada.

Sistema de gestión
• Conjunto de elementos de una organización (3.2.1)
interrelacionados o que interactúan para establecer
políticas (3.5.8), objetivos (3.7.1) y procesos (3.4.1)
para lograr estos objetivos.
ISO 9000:2015
• Nota 1 a la entrada: Un sistema de gestión puede tratar una sola disciplina o varias disciplinas, por
ejemplo, gestión de la calidad (3.3.4), gestión financiera o gestión ambiental.
• Nota 2 a la entrada: Los elementos del sistema de gestión establecen la estructura de la organización, los
roles y las responsabilidades, la planificación, la operación, las políticas, las prácticas, las reglas, las
creencias, los objetivos y los procesos para lograr esos objetivos.
• Nota 3 a la entrada: El alcance de un sistema de gestión puede incluir la totalidad de la organización,
funciones específicas e identificadas de la organización, secciones específicas e identificadas de la
organización, o una o más funciones dentro de un grupo de organizaciones.
• Nota 4 a la entrada: Este término es uno de los términos comunes y definiciones esenciales para las
normas de sistemas de gestión que se proporcionan en el Anexo SL del Suplemento ISO consolidado de la
Parte 1 de las Directivas ISO/IEC. La definición original se ha modificado mediante la modificación de las
notas 1 a 3 la entrada.

Sistema de gestión
• Un Sistema de Gestión es un sistema para establecer la
política y objetivos de una organización y lograrlos,
mediante:
• Una estructura organizativa donde las funciones,
responsabilidades, autoridad, etc. de las personas están
definidas
• Existen procesos y recursos necesarios para lograr los
objetivos
• Metodología de medida y de evaluación para valorar los
resultados frente a los objetivos, incluyendo la realimentación
de resultados para planificar las mejoras del sistema
• Un proceso de revisión para asegurar que los problemas se
corrigen y se detectan oportunidades de mejora e
implementan cuando están justificadas

Sistema de gestión de seguridad de la
información (SGSI):
Es la parte del sistema global de gestión, basada en un
enfoque de riesgos empresariales, para establecer,
implementar, operar, monitorear, revisar, mantener
y mejorar la seguridad de la información.
• Nota: El sistema de gestión incluye la estructura
organizacional, políticas, actividades de planificación,
responsabilidades, prácticas, procedimientos,
procesos y recursos.

• Un sistema de gestión de la seguridad de la información
(SGSI) (en inglés: information security management system,
ISMS) es, como el nombre lo sugiere, un conjunto de políticas
de administración de la información
• Un SGSI es para una organización el diseño,
establecimiento, implementación, mantenimiento y
mejora de un conjunto de procesos para gestionar
eficientemente la accesibilidad de la información,
buscando asegurar la confidencialidad, integridad y
disponibilidad de los activos de información
minimizando a la vez los riesgos de seguridad de la
información.

• Dado el conocimiento del ciclo de vida de cada
información relevante se debe adoptar el uso
de un proceso sistemático, documentado y
conocido por toda la organización, desde un
enfoque de riesgo empresarial. Este proceso
es el que constituye un SGSI

Establecimiento de un SGSI
1. Definición de alcance del SGSI (4.3)
2. Definición de política del SGSI (5.2)
3. Definición de proceso sistemático para la evaluación de riesgos (6.1.2)
1. Identificación de riesgos (6.1.2)
2. Valoración de Riesgos (6.1.2) (8.2)
3. Identificación y selección de opciones para el tratamiento de
riesgos (6.1.3) (8.3)
1. Selección de objetivos y controles para el tratamiento de riesgos (6.2)
2. Elaboración de Declaración de Aplicabilidad (6.1.3)
3. Aceptación del riesgo residual por parte de la Dirección (6.1.3)

Factores críticos de un SGSI
Política, objetivos y medidas de seguridad
que incluyan apropiadamente las necesidades
y los objetivos del negocio
Enfoque para la implementación
en conformidad con la cultura, los requisitos
y estructura de la organización
Apoyo y compromiso
visible de todos los niveles gerenciales
Comprensión de conceptos
• requisitos de seguridad
• clasificación de riesgos
• gestión de riesgos
factores
cambiantes a lo
largo del tiempo

Beneficios de un SGSI
Un sistema de gestión de seguridad de la información
(SGSI):
• brinda la confianza sobre la gestión adecuada de
los riesgos a las partes interesadas
• preserva la
– confidencialidad
– integridad
– Disponibilidad
de la información mediante un proceso de gestión
de riesgos

• Proporcionar las mejores prácticas de seguridad de la
información
• Permitir a las organizaciones desarrollar, implantar y
medir prácticas efectivas de gestión de la seguridad
• Proporcionar confianza en las organizaciones y su
actividad (interno y externo: valor para marketing)

• Aumento de la competitividad por mejora de la
imagen corporativa. Diferenciación
• Menos auditorías de clientes
• Mejorar continuamente la gestión de la seguridad de
la información.
• Garantizar la continuidad del negocio.

• Aumento de la rentabilidad, derivado de un control
de los riesgos.
• Cumplir la legislación vigente referente a seguridad
de la información.
• Aumentar las oportunidades de negocio.
• Reducir los costos asociados a los incidentes.
• Mejorar la implicación y participación del personal
en la gestión de la seguridad.
• Posibilidad de integración con otros sistemas de
gestión como ISO 9001, ISO14001, entre otros.

• Disminuir el riesgo, con la consiguiente reducción de
gastos asociados.
• Reducción de incidentes
• Aplicable a un amplio rango de organizaciones -
grandes, medianas y pequeñas
• El proceso de evaluación periódica ayuda a
supervisar continuamente rendimiento y mejora
• Reforzar el uso de enfoque basado en procesos
• Permite de manera ordenada identificar riesgos,
evaluarlos y gestionarlos

Familia ISO 27000
• ISO 27000 es un conjunto de estándares
desarrollados por Organización Internacional de
Normalización (ISO) , que proporcionan un marco de
gestión de la seguridad de la información, alineados
con los objetivos de negocio y optimizando las
inversiones realizadas en controles o salvaguardas
que protejan los activos.

ISO 27001. Origen y evolución
• La ISO 27001, tal y como la conocemos
actualmente ha sido fruto de una evolución en
las últimas dos décadas.
• La entidad normalizadora británica BSI (British
Standards Institution) con carácter
internacional publica normas con el prefijo
“BS” desde 1901, algunas de sus normas son
origen de las actuales ISO 9001, ISO 14001.

• En el caso de la actual ISO 27001, su origen fue la BS
7799-1, publicada en 1995. Se trataba de una serie
de mejores prácticas para ayudar a las empresas
británicas a administrar la Seguridad de la
Información.
• Se trataba de recomendaciones que no daban opción
a ningún tipo de certificación ni establecía la forma
de conseguirla.
• Esta norma tuvo una segunda parte, BS 7799-2, en
1998. En este caso establecía los requisitos a cumplir
para tener un Sistema de Gestión de Seguridad de la
Información certificable.

• Ambas partes fueron revisadas en el año 1999
y en el año 2000 la Organización Internacional
para la Estandarización (ISO) tomó la norma
británica BS 7799-1 que dio lugar a la llamada
ISO 17799. En este momento la norma no
experimentó grandes cambios, pero en el año
2001 fue revisada de acuerdo a los
líneamientos de las normas ISO.

ISO 27001. Origen y evolución.
La ISO 17799 se modifica en 2005 dando lugar a la ISO
17799:2005 publicación formal de la revisión.
• En 2007 la ISO 17799 se renombra y pasa a ser la ISO
27002:2005 y se modifica en 2013

ISO 27001. Origen y evolución.
• En 2002 se publicó una nueva versión de la BS 7799-
2 que permitió la certificación de empresas por una
entidad certificadora en Reino Unido y en otros
países, en el año 2005 aparece el estándar ISO
27001.
• La norma ISO 27001:2013 se publicó el 25 de
septiembre de 2013.

ISO 27001:2013
Norma internacional que establece requisitos
para
• establecer
• implementar
• mantener
• mejorar
un sistema de gestión de seguridad de la
información (SGSI)

ISO 27001:2013
• Estos requisitos describen cuál es el
comportamiento esperado del Sistema de
Gestión una vez que esté en pleno
funcionamiento

ISO 27001:2013
• El propósito de la norma ISO/IEC 27001 es ,
garantizar que los riesgos de la seguridad de
la información sean gestionado
adecuadamente por la organización.
• La norma ISO/IEC27001 especifica las
medidas y controles de seguridad, con el fin
de proteger todo aquello que es importante
para la organización, sus activos y la
información que estos manejan.

ISO 27001:2013
• El objetivo es ayudar a las organizaciones a proteger
los activos de la organización , garantizando su
confidencialidad , integridad y disponibilidad , y
reducir riesgos e incidencias.
• Otro de los principales objetivos de la norma , es el
enfoque del sistema de gestión alineado con la
estrategia de negocios de la organización.
• ISO 27001 busca la integración de esta norma con
los demás sistemas de gestión para que sean más
accesibles a todo tipo de organizaciones. Esto lo
consigue con una estructura de alto nivel (Anexo SL)
común a todas las normas de gestión.

Anexo SL
• ¿Qué es el Anexo SL?
• El Anexo SL es un documento publicado a finales del
2012, que está teniendo gran impacto en
organizaciones, consultores, organismos de
acreditación, auditores y redactores de normas de
Sistemas de Gestión.
Es la Estructura de Alto Nivel (HSL) publicada por ISO
en el Anexo SL la que facilita la integración entre
Normas Sistemas de Gestión de ISO.

Anexo SL
• El Anexo SL aporta coherencia y compatibilidad
entre los sistemas de gestión, y simplifica en gran
medida posibles duplicidades y confusión en el
proceso de implantación de sistemas de gestión en
base a varias normas en una misma organización.
• El Anexo SL hace que las normas tengan:
1. Una estructura común (estructura de alto nivel
HSL)
2. Parte de su texto idéntico.
3. Definiciones comunes

Anexo SL
• Todas las normas sobre sistema de gestión que se
publiquen o revisen a partir de la publicación del
Anexo SL deben de hacerlo bajo esta guía, para
lograr una estructura uniforme, un marco de
sistemas de gestión genérico, que sea más fácil de
manejar y otorgue un beneficio de negocio a
aquellas empresas que cuentan con varios sistemas
de gestión integrados. Tiene un enfoque sistémico

Anexo SL
• Adopción del Anexo SL dentro del SGSI.
Es importante mencionar que este anexo describe los
lineamientos para un sistema de gestión genérico;
ayudando a las empresas que por alguna razón
deben certificar múltiples normas de sistemas de
gestión.
De esta forma ISO 27001 cumple con los requisitos
comunes a todo sistema de gestión, facilitando la
implementación y auditoria de varios sistemas en la
misma organización.

Anexo SL
• Compatibilidad con otros sistemas de gestión ISO
• Gracias a esta estructura de alto nivel ,es de fácil
integración con otros sistemas de gestión y un
sistema de gestión de la seguridad de la información
conforme a ISO/IEC 27001 se puede integrar con el
resto de sistemas de gestión ISO y especialmente con
sistemas de gestión de la calidad (ISO 9001), ISO
14001, ISO 45001, ISO 22000, ISO 26000, ISO 31000,
gestión del servicio IT (ISO/IEC 20000-1) y
continuidad de negocio (ISO 22301).

¿Cómo se relacionan los Sistemas de
Gestión?
• Los Sistemas de Gestión son la estructura operativa
que una organización establece para controlar sus
procesos de negocio con base a sus políticas y
buscando que dichos controles permitan alcanzar los
objetivos establecidos.
Entrada A B C D E Salida
ISO 27001
I1 i2 i3 i4 i5
sIT1 sIT2 sIT3 sIT4
ISO 20000-1
ISO
22301
ISO
9001

Anexo SL: Estructura de Alto Nivel
(HSL)
• El desarrollo de las normas ISO de Sistema de
Gestión sigue por lo tanto la Estructura de Alto Nivel
(HSL) y cuentan con una estructura de 10 capítulos.
• Los tres primeros 1 a 3 son introductorios, mientras
que los capítulos 4 a 10 incluyen los requisitos que se
especifican para establecer, implementar, mantener
y mejorar el Sistema de Gestión.

Anexo SL: Estructura de Alto Nivel
(HSL)
los sistemas de gestión deben ser desarrollados bajo la metodología de la
mejora continua o ciclo de Deming conocido como círculo PDCA (del inglés
plan-do-check-act, esto es, planificar-hacer-verificar-actuar) o espiral de
mejora continua .

Evaluación y tratamiento de riesgos
ISO 27001 : 2013
• Una de las principales gestiones de ISO 27001 es el
proceso de gestión del riesgo, al que se le ha querido
ofrecer una gran flexibilidad. Este proceso consiste
en identificar todos los riesgos que existen y sus
propietarios, analizarlos y gestionar un plan de
tratamiento de los mismos que tenga en cuenta la
integridad, la disponibilidad y la confidencialidad, es
necesario intentar así adaptar este proceso a la
norma ISO 31000. Esto consigue que el proceso de
evaluación de riesgos sea mucho más claro,
completo y objetivo siendo un requisito de una
buena gestión en cuanto a la seguridad de TI.

ISO 27001 : 2013
• La Norma ISO 27001 : 2013 destaca que el
sistema de gestión SGSI de la organización
considera la gestión del riesgo.
• La norma ISO 31000:2018 (Gestión del riesgo
– Principios y Guías) proporciona principios y
guías genéricas para la gestión del riesgo. Esta
norma se complementa con la ISO Guide
73:2018 Gestión del riesgo Vocabulario.

ISO 27001 : 2013
ISO 27001 : 2013 no requiere evaluaciones de
riesgo según algún proceso especifico.
ISO 31000:2018 Gestión del riesgo Principios y
directrices puede ser una referencia útil para
organizaciones que desean o necesitan un
enfoque más formal del riesgo (uso no
obligatorio)

Para integrar la gestión del riesgo en
ISO 27001 : 2013, podemos seguir los
criterios de la norma ISO 31000: 2018
ISO 31000: 2018
ISO27001:2013

4. Contexto organizacional
5. Liderazgo
6. Planificación
7. Soporte
8. Operación
9. Evaluación de
funcionamiento del SGSI
10. Mejoras y acciones
Correctivas
Entendimiento de la Organización y su contexto
Expectativas de las partes interesadas
Alcances del SGSI
Liderazgo y compromiso de la Alta Dirección
Políticas
Organización de los roles, responsables y autoridades
Como abordar riesgos y oportunidades
Recursos, competencias, concientización,
comunicación, información documentada
Plan de tratamiento de riesgos
Implementar el plan y documentar los resultados
Plan de seguimiento, medición, análisis y evaluación
Planear y realizar auditorías internas del SGSI
Revisiones regulares de la Alta Dirección
No conformidad y acciones correctivas
Mejora continua del SGSI
DO
PLAN
CHECK
ACT
Estructura General ISO 27001:2013 Ciclo PDCA

Estructura General ISO 27001:2013
Ciclo PDCA

ISO 27001 : 2013
Estructura de la Norma
0. Introducción
1. Alcance y campo de aplicación
2. Referencias normativas
3. términos y definiciones
4.Contexto de la organización
5.Liderazgo
6.Planificación
7. Soporte
8.Operación
9.Evaluación del desempeño
10.Mejora continua
Anexo A.
• hay 114 controles en 14 grupos

ISO 27001 : 2013
1.Alcance y campo de aplicación
Aplicable a cualquier organización
Genérica
En esta sección se establece la obligatoriedad de
cumplir con los requisitos especificados en los
capítulos 4 a 10 del documento, no son excluibles,
para poder obtener la conformidad de cumplimiento
y certificarse.

ISO 27001 : 2013
2. Referencias normativas
El estándar ISO 27000:2013 es la referencia normativa
obligatoria y única, ya que contiene todos los nuevos
términos y definiciones.

ISO 27001 : 2013
3. términos y definiciones
Son los términos y definiciones de la Norma ISO
27000:2013 (los cuales son validos en todos los
documentos que forman parte de esta familia), con
el objetivo de contar con una sola guía de términos y
definiciones que sea consistente.

ISO 27001 : 2013
4.1. Conocimiento de la organización y de su contexto
La organización debe determinar las cuestiones
externas e internas que son pertinentes para su
propósito y que afectan su capacidad para conseguir
todos los resultados en el Sistema de Gestión de
Seguridad de la Información.

ISO 27001 : 2013
4. 2. Comprensión de las necesidades y expectativas
de las partes interesadas
La organización debe determinar:
a) Las partes interesadas que son pertinentes al
Sistema de Gestión de Seguridad de la Información.
b) Los requisitos de estas partes interesadas
pertinentes a seguridad de la información.

ISO 27001 : 2013
4.3. Determinación del alcance del Sistema de Gestión de la
Seguridad de la Información
La empresa debe determinar los límites y la aplicabilidad del
Sistema de Gestión de la Seguridad de la Información para
establecer su alcance:
Cuando se determina este alcance, la empresa debe considerar:
a) Las cuestiones externas e internas referenciadas a 4.1
b) Los requisitos referidos en 4.2
c) Las interfaces y dependencias entre las actividades
realizadas por la empresa y la que realizan otras empresas
El alcance debe estar disponible como información
documentada.

ISO 27001 : 2013
4.4. Sistema de Gestión de Seguridad de la
Información
La organización debe establecer, implantar, mantener y
mejorar continuamente un Sistema de Gestión de
Seguridad de la Información, según a los requisitos
de la norma ISO 27001 2013.

ISO 27001 : 2013
5.Liderazgo
5.1. Liderazgo y compromiso
La alta dirección debe demostrar liderazgo y compromiso con
respecto al Sistema de Gestión de Seguridad de la
Información:
• Asegurando que se establezcan la política de la seguridad de
la información y los objetivos de la seguridad de la
información, y que estos sean compatibles con la dirección
estratégica de la organización
• Asegurando la integración de los requisitos del Sistema de
Gestión de Seguridad de la Información en los procesos de la
organización
• Asegura que los recursos necesarios para el Sistema de
Gestión de Seguridad de la Información se encuentren
disponibles

ISO 27001 : 2013
5.Liderazgo
5.1. Liderazgo y compromiso
• Combinar la importancia de una gestión de la seguridad de la
información eficaz y de la conformidad con los requisitos del
Sistema de Gestión de Seguridad de la Información
• Se debe asegurar de que el Sistema de Gestión de la
Seguridad de la Información logre los resultados previstos
• Dirigiendo y apoyando a las personas, para contribuir a la
eficiencia del Sistema de Gestión de Seguridad de la
Información
• Promover la mejora continua
• Apoyar otros roles pertinentes de la dirección, es necesario
demostrar el liderazgo aplicado a sus áreas de
responsabilidad

ISO 27001 : 2013
5.Liderazgo
5.2. Política
La alta dirección debe establecer una política de la seguridad de
la información que:
a) Sea adecuada al propósito de la organización
b) Incluya objetivos de seguridad de la información o
proporcione el marco de referencia para el establecimiento
de los objetivos de la seguridad de la información
c) Incluye el compromiso de cumplir con los requisitos
aplicables que se relacionan con la seguridad de la
información
d) Incluya el compromiso de mejora continua del Sistema de
Gestión de Seguridad de la Información

ISO 27001 : 2013
5.Liderazgo
5.2. Política
La política de seguridad de la información debe:
a) Estar disponible como información
documentada
b) Comunicarse dentro de la empresa
c) Estar disponible para las partes interesada

ISO 27001 : 2013
5.Liderazgo
5.3. Roles, responsabilidades y autoridades en la organización
La alta dirección debe asegurarse de que las responsabilidades y
autoridades para los roles pertinentes a la seguridad de la
información sean asignados y comunicados.
La alta dirección debe asignar la responsabilidad y autoridad
para:
a) Asegurarse de que el Sistema de Gestión de Seguridad de la
Información sea conforme a los requisitos de la norma ISO
27001
b) Informar a la alta dirección sobre el desempeño del

ISO 27001 : 2013
6.Planificación
6.1. Acciones para tratar riesgos y oportunidades
6.1.1 Generalidades
Al planificar el sistema de Gestión de Seguridad de la Información, la
organización debe considerar las cuestiones referidas en 4.1 y los
requisitos a que se hace referencia en 4.2 y determinar los riesgos y
oportunidades que es necesario tratar, con el fin de:
a) Asegurarse de que el Sistema de Gestión de Seguridad de la Información
pueda conseguir los resultados esperados
b) Prevenir o reducir efectos indeseados
c) Logara la mejora continua
La empresa debe planificar:
a) Las acciones para tratar estos riesgos y oportunidades
b) La manera de integrar e implantar estas acciones en sus procesos del
Sistema de Gestión de Seguridad de la Información, además evaluar la
eficiencia de las acciones

ISO 27001 : 2013
6.Planificación
6.1.2 Valoración de riesgos de la seguridad de la información
La organización debe definir y aplicar un proceso de valoración de riesgos de
la seguridad de la información que:
a) Establecer y mantener los criterios de los riesgos en la seguridad de la
información
b) Asegurarse de que las valoraciones repetidas de riesgos de la seguridad
de la información produzcan resultados consistentes, válidos y
comparables
c) Identificar los riesgos de la seguridad de la información
d) Analizar los riesgos de la seguridad de la información
e) Evaluar los riesgos de seguridad de la información
La organización debe conservar información documentada sobre el proceso
de valoración de riesgos de la seguridad de la información.

ISO 27001 : 2013
6.Planificación
6.1.3 Tratamiento de riesgos de la seguridad de la información
La organización debe definir y aplicar un proceso de tratamiento
de riesgos de la seguridad de la información para:
• Seleccionar las opciones apropiadas de tratamiento de riesgos
de la seguridad de la información, se deben tener en cuenta
los resultados de la valoración de riesgos
• Determinar todos los controles que sean necesarios para
implantar las opciones escogidas para el tratamiento de
riesgo de la seguridad de la información

ISO 27001 : 2013
6.Planificación
6.1.3 Tratamiento de riesgos de la seguridad de la información
• Producir una declaración de aplicabilidad que contenga los
controles necesarios y la justificación de las inclusiones, ya
sea que se implementen o no, y la justificación para las
exclusiones de los controles del Anexo A
• Formular un plan de tratamiento de riesgo de la seguridad
de la información
• Obtener la aprobación del plan de tratamiento de riesgo de
la seguridad de la información y la aceptación de los riesgos
residuales de la seguridad de la información
La organización debe conservar información documentada sobre
el proceso de tratamiento de riesgos de la seguridad de la
información.

ISO 27001 : 2013
6.Planificación
6.2. Objetivos de Seguridad de la información y planes para
lograrlos
La organización debe establecer los objetivos de seguridad de la
información en las funciones y niveles pertinentes.
Los objetivos de seguridad de la información:
a) Ser coherentes con la política de seguridad de la información
b) Ser medibles
c) Tener en cuenta los requisitos de la seguridad de la
información aplicada y los resultados de la valoración y el
tratamiento de los riesgos
d) Ser comunicados
e) Ser actualizados según sea necesario

ISO 27001 : 2013
6.Planificación
6.2. Objetivos de Seguridad de la información y planes para
lograrlos
La empresa debe conservar información documentada sobre los
objetivos de la seguridad de la información. Cuando se hace
la planificación para conseguir los objetivos de seguridad de
la información, la empresa debe determinar:
a) Lo que se va a hacer
b) Los recursos que se requieren
c) Quién será la persona responsable
d) Cuando se finalizará
e) Como se realizará la evaluación de resultados

ISO 27001 : 2013
7. Soporte
7.1. Recursos
La organización debe determinar y proporcionar los
recursos necesarios para el establecimiento,
implementación, mantenimiento y mejora continua
del Sistema de Gestión de Seguridad de la
Información.

ISO 27001 : 2013
7. Soporte
7.2. Competencia
La organización debe:
a) Determinar la competencia necesaria de las personas que
realizan, bajo su control, un trabajo que afecta su
desempeño de la seguridad de la información
b) Asegurarse de que dichas personas sean competentes,
basándose en la educación, formación o experiencia
adecuadas
c) Cuando se aplicable, tomar acciones para adquirir la
competencia necesaria y evaluar la eficacia de las acciones
d) Conservar la información documentada apropiada, como
evidencia de la competencia

ISO 27001 : 2013
7. Soporte
7.3. Toma de conciencia
Las personas que realizan el trabajo bajo el control de la
empresa deben tomar conciencia de:
a) La política de seguridad de la información
b) Su contribución a la eficacia del Sistema de Gestión de
Seguridad de la Información incluyendo los beneficios de
una mejora del desempeño de la seguridad de la
información
c) Las implicaciones de la no conformidad con los requisitos
del Sistema de Gestión de Seguridad de la Información

ISO 27001 : 2013
7. Soporte
7.4. Comunicación
La organización debe determinar las necesidades de
las comunicaciones internas y externas pertinentes
al Sistema de Gestión de Seguridad de la
Información, que incluyan:
a) El contenido de la comunicación
b) Cuando comunicar
c) A quien comunicar
d) Quien debe comunicar
e) Los procesos para llevar a cabo la comunicación

ISO 27001 : 2013
7. Soporte
7.5. Información documentada
7.5.1 Generalidades
El Sistema de Gestión de Seguridad de la Información
de la empresa debe incluir:
a) La información documentada requerida por la
norma ISO 27001
b) La información documentada que la empresa
debe determinar cómo necesaria para la eficacia
del Sistema de Gestión de Seguridad de la
Información

ISO 27001 : 2013
7. Soporte
7.5.2 Creación y actualización
Cuando se crea y actualiza información documentada,
la empresa debe asegurarse de que lo siguiente sea
apropiado:
a) Identificar y describir
b) Formato y medio s de soporte
c) Revisión y aprobación con respecto a
la identidad y adecuación

ISO 27001 : 2013
7. Soporte
7.5.3 Control de la información documentada
La información documentada requerida por el Sistema
de Gestión de Seguridad de la Información y por la
norma ISO 27001 se debe controlar para asegurarse
que:
a) Debe estar disponible y adecuada para su uso,
donde y cuando se necesite
b) Tiene que estar protegida de forma adecuada

ISO 27001 : 2013
7. Soporte
7.5.3 Control de la información documentada
Para el control de la información documentada, la organización
debe tratar las siguientes actividades según se aplique:
a) Distribución, acceso, recuperación y uso
b) Almacenamiento y preservación
c) Control de cambios
d) Retención y disposición
La información documentada de origen externo, que la empresa
ha determinado que es necesario para la planificación y la
operación del Sistema de Gestión de Seguridad de la
Información, se debe identificar y controlar.

ISO 27001 : 2013
7. Soporte
Documentos Registros
Información
Documentada
+ =

ISO 27001 : 2013
8.Operación
8.1. Planificación y control operacional
La organización debe planificar, implantar y controlar los procesos necesarios
para cumplir con todos los requisitos de seguridad de la información y
para implantar todas las acciones determinadas en el numeral 6.1. La
empresa también debe implementar planes para conseguir los objetivos
del Sistema de Gestión de Seguridad de la Información.
La empresa debe mantener información documentada en la medida
necesaria para tener la confianza en que los procesos se han llevado a
cabo según lo planificado.
La empresa debe controlar los cambios planificados y revisar todas las
consecuencias de los cambio son previstos, tomando acciones para
mitigar todos los efectos adversos, cuando sea necesario.
La empresa se debe asegurar de que todos los procesos contratados
externamente se encuentren controlados.

ISO 27001 : 2013
8.Operación
8.2. Valoración de riesgos de la seguridad de la
información
La empresa debe llevar a cabo valoraciones de riesgos
de la seguridad de la información a intervalos
planificados o cuando se propagan u ocurran
cambios significativos, teniendo en cuenta los
criterios establecidos.
La empresa debe conservar información documentada
de los resultados de las valoraciones de riesgos en
cuanto a la seguridad de la información

ISO 27001 : 2013
8.Operación
8.3. Tratamiento de riesgos de la seguridad de la
información
La organización debe implantar el plan de tratamiento
de riesgo de la seguridad de la información.
La organización debe conservar información
documentada de los resultados del tratamiento de
riesgos de la seguridad de la información.

ISO 27001 : 2013
9.1. Seguimiento, medición, análisis y evaluación
La organización debe evaluar el desempeño de la seriedad de la información
y la eficacia del Sistema de Gestión de Seguridad de la Información.
La organización debe determinar:
a) A qué es necesario hacer seguimiento y qué es necesario medir, incluido
los procesos y controles de la seguridad de la información
b) Los métodos de seguimiento, medición, análisis y evaluación, según sea
aplicable, para asegurar resultados válidos
c) Cuándo se debe lleva a cabo el seguimiento y la medición
d) Quién debe llevar a cabo el seguimiento y la medición
e) Cuándo se deben analizar y evaluar todos los resultados del
seguimiento y la medición
f) Quien debe analizar y evaluar todos los resultados.
La organización debe conservar información documentada apropiada como
evidencia de los resultados del monitoreo y la medición

ISO 27001 : 2013
9.2. Auditoría interna
La organización debe llevar a cabo las auditorías
internas a intervalos planificados, para proporcionar
información sobre sí el Sistema de Gestión de
Seguridad de la Información:
a) Está conforme con los requisitos de la empresa para
su sistema de gestión y los requisitos de la norma ISO
27001
b) Está implementado y mantenido de forma eficaz

ISO 27001 : 2013
9.2. Auditoría interna
La organización debe:
a) Planificar, establecer, implantar y mantener uno o varios programas de
auditoría que incluyan la frecuencia, los métodos, las responsabilidades,
los requisitos de planificación y la elaboración de informes. Los programas
de auditoría deben tener en cuenta la importancia de los procesos
involucrados y los resultados de las auditorías
b) Para cada auditoría, definir los criterios y el alcance de ésta
c) Seleccionar a los auditores y llevar a cabo auditorías para asegurarse la
objetividad y la imparcialidad del proceso de auditoría
d) Asegurase de que los resultados de las auditorías se informan a la
dirección pertinente
e) Conservar información documentada como evidencia de la
implantación del programa de auditoría y de los resultados de ésta

ISO 27001 : 2013
9.3. Revisión por la dirección
La alta dirección debe revisar el Sistema de Gestión de
Seguridad de la Información de la organización a
intervalos planificados, para asegurarse de que su
conveniencia, adecuación y eficacia son continuas.

ISO 27001 : 2013
La revisión por la dirección debe incluir consideraciones sobre:
a) El estado de las acciones con relación a las revisiones previas por la dirección
b) Los cambios en las cuestiones externas e internas que sean pertinentes al
c) Retroalimentación sobre el desempeño de la seguridad de la información
1) no conformidades y acciones correctivas;
2) resultados de seguimiento y mediciones;
3) resultados de las auditorías,
4) El cumplimiento de los objetivos
a) Retroalimentación de las partes interesadas
b) Resultados de la valoración de riesgos y estado del plan de tratamiento de
riesgos
c) Las oportunidades de mejora continua
Los elementos de salida de la revisión por la dirección deben incluir las decisiones
relacionadas con las oportunidades de mejora continua y cualquier necesidad
de cambio dentro del Sistema de Gestión de Seguridad de la Información.
La organización debe conservar información documentada como evidencia de los
resultados de las revisiones por la dirección.

ISO 27001 : 2013
10.Mejora continua
10.1. No conformidades y acciones correctivas
Cuando ocurra una no conformidad, la organización debe:
a) Reaccionar ante la no conformidad y según sea aplicable
b) Evaluar la necesidad de acciones para eliminar las causa de
la no conformidad, con el fin de que no vuelva a ocurrir ni
ocurra en otra parte.
c) Implantar cualquier acción necesaria
d) Revisar la eficacia de las acciones correctivas tomadas
e) Hacer cambios en el Sistema de Gestión de Seguridad de la
Información
f) La organización debe conservar la información documentada
adecuada, como evidencia de:
a) La naturaleza de las no conformidades y cualquier acción
posterior tomada
b) Los resultados de cualquier acción correctiva

ISO 27001 : 2013
10.Mejora continua
10.2. Mejora continua
La organización debe mejorar continuamente la
conveniencia, adecuación y Sistema de Gestión de

Anexo A
• Las empresas que quieran certificarse con esta
norma ya no están obligados a implementar todos
los controles de este anexo.
• Por lo que este se convierte en una guía para evitar
que se omitan controles importantes por parte de
la organización al momento de implementar su
sistema de gestión (SGSI). Brindando mayor
flexibilidad a las empresas para implementar de la
manera más adecuada el sistema de gestión.

Anexo A
• Ha sido eliminada la redundancia que había antes
entre ciertos controles y se ha conseguido una
agrupación más lógica.
• Han sido añadidos controles mucho más específicos,
adaptados a las nuevas realidades tecnológicas
• La inserción de la seguridad en los procesos en los
que intervienen terceras partes, como los
proveedores, son una de las partes más importantes
tratadas en el nuevo Anexo A. Todos los controles
han sido revisados y reestructurados de manera que
nos ayuden a la hora de abordar las relaciones con
los proveedores.

Políticas de seguridad
Organización de la seguridad de la información
Gestión de activos
Control de acceso
Seguridad de comunicaciones
Seguridad física y del medio ambiente
Seguridad de Operaciones
Criptografía
Relaciones con proveedores
Desarrollo, mantenimiento y adquisición sistemas
Continuidad del negocio
Getión de incidentes de seguridad de información
Seguridad de Recursos Humanos
Cumplimiento
Dominios ISO 27001:2013 de Control de la

Dominios, objetivos de control y controles
En la ISO 27001 existen 14 dominios, 35 objetivos de
control y 114 controles.
La importancia que tiene la evaluación y aprendizaje de
los eventos de seguridad de TI que se centra en el
programa de respuesta a incidentes.

Los Dominios Tecnológicos de Seguridad incorporan los activos
de la información que van a proteger y cumplir.
Los dominios ISO 27001:2013 deben ser evaluados incluyendo
los siguientes objetivos:
A.5 política de seguridad de la Información
Su objetivo es garantizar a la organización el soporte y
gestión necesarios para la seguridad de la
información según todos los requisitos
institucionales y normativos. Se debe establecer la
política según los objetivos establecidos por la
organización. Es necesario contar con el compromiso
en cuanto a la seguridad de la información.

A.6 organización de la seguridad de la información
Su finalidad es instaurar un marco de referencia para
definir el camino para la implantación y control de la
seguridad de la información dentro de la empresa.
La dirección de la empresa es la responsable de
establecer la política de seguridad, además debe
establecer los roles de los comités y nombrar al
encargado mediante una resolución. El encargado
debe coordinar y revisar el proceso.

A.7 seguridad de los recursos humanos
Su objetivo es fijar las medidas necesarias para
controlar la seguridad de la información, que ha sido
manejada por los recursos humanos de la empresa.

A.8 gestión de activos
Este dominio tiene el objetivo de llevar a cabo una
protección adecuada en cuanto a los activos de la
empresa.
En todo momento los activos se encuentran
inventariados y controlados por un responsable que
también se encarga de manipularlos de forma
correcta.

A.9 control de acceso
Se asegura el acceso autorizado a todos los sistemas de
información de la empresa.
Es necesario realizar diversas acciones como controles
para evitar el acceso de usuarios no autorizados,
controles de entrada, etc.

A10 Criptografia
• Asegurar el uso apropiado y efectivo de la
Criptografia para proteger la confidenciabilidad,
autenticidad y /o integrabilidad de la informacion

A.11 seguridad física y del medio ambiente
Con este dominio se consigue proteger todas las
instalaciones de la empresa y toda la información
que maneja. Por esto, se establecen diferentes
barreras de seguridad y controles de acceso.

A.12 Seguridad de las operaciones
El objetivo se encuentra en determinar los procesos y
responsabilidades de las operaciones que lleva a
cabo la organización. Se debe asegurar que todos los
procesos se encuentren relacionados con la
información ejecutada de forma adecuada.

A.13 Seguridad de las comunicaciones
• Asegurar la protección de la información en
las redes y sus instalaciones de procesamiento
de la información de apoyo

A.14 adquisición, desarrollo y mantenimiento
de los sistemas de información
Este dominio se encuentra dirigido a aquellas
empresas que desarrollen software
internamente o que tenga un contrato con
otra empresa que se encarga de desarrollarlo.
Se tiene que establecer los requisitos en la
etapa de implantación y desarrollo de
software para que sea seguro.

A.15 Relación con los proveedores
Asegurar la protección de los activos que son
accesible por los proveedores

A.16 gestión de incidentes en la seguridad de la
información
Con este dominio se aplica un proceso de mejora
continua en la gestión de percances de seguridad de
la información.

A.17 gestión de continuidad de negocio
El objetivo es asegurar la continuidad operativa de la
organización . Se requiere aplicar controles que
eviten o reduzcan todos los incidentes de las
actividades desarrolladas por la empresa que puedan
generar un impacto.
A.18 cumplimiento
Su finalidad es asegurar que los requisitos legales se
cumplan

¿Qué Información documentada es
necesarios?
• Las organizaciones deben conocer cuál es la documentación
necesaria para que el Sistema de Gestión de Seguridad de la
Información cumpla con la norma ISO 27001
• La lista de verificación identifica la documentación y los
registros que se requiere explícitamente en el cuerpo
principal de la norma ISO 27001 como obligatorios.
• Es posible identificar diferentes formas posibles de
documentación, ya que existen varias formas de cumplir con
los requisitos formales.
• Un listado detallado, para verificar si se cumple con la ISO
27001 de una forma correcta es:

necesarios?

necesarios?
Alcance del SGSI
• Suele ser un documento corto y se redacta al
inicio de la implementación de ISO 27001.
• En general, se trata de un documento
independiente, aunque puede ser unificado
con la política de seguridad de la información.

necesarios?
Políticas y objetivos de seguridad de la información
• La política de seguridad de la información es un
documento breve y de alto nivel que detalla el
principal objetivo del Sistema de Gestión de
• Los objetivos se presentan como un documento
independiente, pero se pueden unificar en un solo
documento con la política de seguridad de la
información.

necesarios?
Metodología e informes de evaluación y tratamiento de
riesgos
• La metodología de evaluación y tratamiento del
riesgo suele ser un documento de 4 o 5 páginas y
debe ser redactado antes de que se lleve a cabo la
evaluación y el tratamiento de riesgos.
• El informe correspondiente de evaluación y
tratamiento de riesgos se tiene que redactar una vez
que realiza la evaluación y el tratamiento de riesgos.

necesarios?
Declaración de aplicabilidad
• La Declaración de aplicabilidad se lleva a cabo en
base a los resultados del tratamiento del riesgo.
• Es un documento clave dentro del Sistema de
Gestión de Seguridad de la Información ya que no
solo se describen los controles del Anexo A, sino que
también como se implementan.
• Se deberá considerar la declaración de aplicabilidad
como un documento que describe el perfil de
seguridad de la organización.

necesarios?
• Se trata de una declaración documentada que
detalla los objetivos de control aplicables al Sistema
de Gestión de Seguridad de la Información (SGSI).
• Estos objetivos se basan en el rendimiento de los
medios de valoración y tratamiento de los riesgos,
responsabilidades contractuales y requisitos legales
o del negocio de la empresa para la seguridad de la
información.

necesarios?
Los parámetros que el formato de la declaración de
aplicabilidad debe llevar a cabo según un SGSI son
los siguientes:
1. Una aclaración para comprender si es aplicable o no
el control.
2. Numero de control la norma en el Anexo A.
3. Métodos o técnicas que implementan el control.
4. Mención a los párrafos correspondientes a los
planes de tratamiento, la evolución del riesgo y la
política de seguridad.

necesarios?
Plan de tratamiento del riesgo
• Es básicamente, un plan de acción sobre cómo se
tiene que implementar los diferentes controles
definidos en la Declaración de aplicabilidad.
• Dicho documento se utiliza en función de la
Declaración de aplicabilidad y se usa de forma activa
a lo largo de toda la implantación del Sistema de
Gestión de Seguridad de la Información.

necesarios?
Funciones y responsabilidades de seguridad
• El mejor método es describir las funciones y
responsabilidades en todas las políticas y
procedimientos de la manera más precisa posible.
• Algunas organizaciones prefieren detallar las
funciones y responsabilidades de seguridad en las
descripciones del trabajo. Las funciones y
responsabilidades de seguridad para terceros se
definen mediante contratos.

necesarios?
Uso aceptable de los activos
• De forma habitual, el documento se confecciona bajo la
forma de una política y puede cubrir un amplio rango de
temas porque la norma no define muy bien dicho control.
Política de control de acceso
• En dicho documento se puede cubrir sólo la parte comercial
de la aprobación de acceso que se determina por la
información y sistema, además se puede incluir el aspecto
técnico del control de acceso.
• Se puede optar por definir reglas para acceso lógico o para
acceso físico. El documento se debe redactar después de
finalizar el proceso de evaluación y tratamiento de riesgos.

necesarios?
Procedimientos operativos para gestión de TI
• Se puede generar el procedimiento con un único
documento o como parte de una serie de políticas y
procedimientos.

necesarios?
Principios de ingeniería para sistemas seguros
El nuevo control de ISO 27001 requiere que se documenten los
principios de la ingeniería de seguridad bajo la forma de un
procedimiento o norma y se define cómo la incorporación de
técnicas de seguridad en todas las capas de arquitectura,
negocio, datos, aplicaciones y tecnología. Los principios se
pueden incluir en la validación de datos de entrada.
Política de seguridad para proveedores
Es un nuevo control en ISO 27001, y una política de este tipo
puede abarcar un amplio rango de controles, cómo se lleva a
cabo la selección de potenciales contratistas, cómo se realiza
la evaluación de riesgos de un proveedor, qué cláusulas se
incluyen en el contrato, cómo supervisar el cumplimiento de
cláusulas contractuales de seguridad, cómo modificar el
contrato, cómo cerrar el acceso una vez cancelado el
contrato, etc.

Factores clave para el éxito de la
implementación ISO 27001
• 1. Política y objetivos del SGSI.
• 2. Gestión de riesgos.
• 3. Compromiso de la Dirección.
• 4. Metodología de mejora continua.
• 5. Certificación del SGSI.

1. Política y objetivos del SGC
• Establecer las directrices en la política.
• Identificar objetivos de calidad SMART:
Especificos (Specific): ¿El objetivo es claro y no ambiguo?
Medibles (Measurable): ¿El objetivo tiene un criterio de
medición?
Alcanzables (Achievable): ¿El objetivo es desafiante pero
alcanzable?
Realista (Realistic): ¿El objetivo puede ser logrado con los
recursos que tenemos?
Tiempo (Timely): ¿El objetivo tiene definido cuándo se desea
alcanzar?
• Alinear los objetivos con las directrices de la política
• Evidenciar a través de métricas el cumplimiento de
los objetivos.

2. Gestión de riesgos
• Participación de todo el personal involucrado:
– Dueños deben fijar la valoración o importancia de los activos
en función del negocio
– Custodios deben determinar los medios técnicos para proteger
los activos, en función de las definiciones de los dueños
• Compromiso de la Dirección con la gestión de los riesgos
• Revisiones periódicas de la gestión de riesgos y aprendizaje de
los incidentes de seguridad.
• Contar con un encargado de riesgos idóneo técnicamente y
para moderar un proceso de comunicaciones interpersonales
y liderar las negociaciones entre dueños y custodios.

3. Compromiso de la dirección
• Establecer la política, objetivos y comunicar a la
organización la importancia de alcanzarlos.
• Aprobación de la Declaración de aplicabilidad.
• Provisión de los recursos.
• Decidir los criterios de aceptación de riesgos.
• Asegurar que el programa de auditorías internas
mejorar con el tiempo.
• Revisión por la dirección.

• 4. Metodología de mejora continua

4. Metodología de mejora continua
Modelo de madurez de Philip Crosby

5. Certificación del SGSI
• Es un proceso posterior a la implementación, pero
independiente.
• La realizan un organismo certificador que determinan
si el SGSI cumple con los requisitos de ISO 27001.
• Facilita el apoyo de la Dirección.
• Alinea a las personas vinculadas con el SGSI dentro de
un objetivo compartido.

Proceso de certificación
Fase I. Auditoría de Intención o Documental
• Se verifica que la intención y los objetivos del sistema de
gestión estén considerados en la documentación.
• Se verifica que la documentación cumpla con todos los
criterios del estándar.
Fase II. Auditoría de Implementación y Eficacia
• Se verifica que el sistema de gestión implementado cumpla
con las especificaciones establecidas en la documentación.
• Se verifica que el sistema de gestión logre los objetivos
establecidos.

La organización debe demostrar evidencia:
• Alineación de la política de SGSI, objetivos y procedimientos
• Que el SGSI concuerda con todos los requisitos normativos y
que alcanza los objetivos de la política de seguridad de la
información
La auditoría de certificación se focaliza en:
• Evaluar los riesgos relativos a la seguridad de la información y
que esa evaluación produzca resultados comparables y
reproducibles
• La documentación obligatoria
• La selección de controles y objetivos de control identificados
durante el proceso de gestión de riesgos.

• Revisión de la eficacia del SGSI y las métricas de la eficacia de
los controles de seguridad de la información, reporte y
revisión versus los objetivos del SGSI
• Auditorías internas y revisiones de la Dirección
• Responsabilidad de la Dirección en función de la política de
• La correspondencia entre los controles seleccionados e
implantados, SOA, y los resultados de la evaluación y
tratamiento de riesgos, y la política y objetivos del SGSI
• La implementación de controles, teniendo en cuenta las
métricas de la eficacia de los controles de la organización,
para determinar si los controles implementados son efectivos
para alcanzar los objetivos establecidos
• Programas, procedimientos, registros, auditorías internas, y
revisiones de la eficacia para asegurar que son coherentes
con la gestión de riesgos, la política y objetivos del SGSI

Certificaciones ISO 27001
Año 2015
1º: Japón con 7.170 certificados.
2º: Reino Unido con 2.259 certificados.
3º: India con 2.170 certificados.
4º: China con 2.002 certificados.
5º: Italia con 970 certificados.
6º: Rumania con 893 certificados.
7º: Taiwán con 779 certificados.
8º: España con 701 certificados.
9º: Estados Unidos con 664 certificados.
10º: Alemania con 640 certificados.

Beneficios de la certificación
• Asegura la eficacia de la gestión de la seguridad de la
información a través del cumplimiento de una norma de
reconocimiento internacional
• Facilita el apoyo de la Dirección
• Mejora la conciencia, responsabilidad y sensibilización del
personal hacia la seguridad de la información
• Incrementa la confianza de clientes y socios estratégicos por la
garantía de calidad, confidencialidad comercial y
cumplimiento de leyes y reglamentaciones
• Implementa la seguridad de la información en los procesos de
negocio a través de la gestión de los mismos y no por la
compra sistemática de productos y tecnología (revisión de los
riesgos y controles a lo largo del tiempo)
• Integra al SGSI con otros sistemas de gestión
• Robustece la imagen de la empresa a nivel local e internacional
(elemento diferenciador de la competencia)

ISO 27001:2013
Sistemas de gestión de
FIN

Iso 27001 2013

Más contenido relacionado

La actualidad más candente

Similar a Iso 27001 2013

Más de Primala Sistema de Gestion

Último

Iso 27001 2013