Post on 13-Aug-2015
Actualización de la versión 2013 de la norma
ISO 27001 Sistemas de gestión de seguridad de la información
María José Buigues
Abril 2014
*
ISO 27001: 2013
Publicada el 25-09-2013
Reemplaza a ISO 27001: 2005
Cambia su estructura
Nuevos requisitos y requisitos eliminados
Nuevos controles y controles eliminados
Por qué cambia la estructura?
ISO trabaja en armonizar de las normas de sistemas de gestión.
http://isotc.iso.org/livelink/livelink?func=ll&objId=4230452&objAction=browse&sort=subtype
Anexo SL ISO/IEC Directives, Part 1,
Consolidated ISO Suplement
Directives – Procedures specific to ISO
Creación de estructura
genérica para normas de
sistemas de gestión
• Publicado en 2012
• Reemplaza la Guía ISO 83
Para qué?
• Estructura de alto nivel
• Texto básico
• Términos comunes
• Definiciones básicas
idénticos
• Ayudar al proceso de creación de nuevas normas.
• Facilitar la implementación múltiple de sistemas de gestión.
Resumen de cambios
ISO 27001 versión 2005 ISO 27001 versión 2013
Estructura no alineada con otras normas Estructura alineada con Anexo SL
12 páginas (sistema de gestión) 9 páginas (sistema de gestión)
Requerimientos: carácter más general
(mayor libertad de interpretación)
Anexo A:
• 11 cláusulas
• 133 controles
Anexo A:
• 14 cláusulas
• 113 controles
Anexo A referenciado en ISO 27002: 2013
Referencia directa a PDCA Sin referencia directa a PDCA, aunque
mantiene su espíritu
Referencia a principios OECD No hay referencia a principios OECD
Estructura alineada a Anexo SL
Planificación
Acciones para
tratar riesgos y
oportunidades
Objetivos de SI
y planes para
alcanzarlos
Mejora
No
conformidades
y acciones
correctivas
Mejora continua
Liderazgo
Liderazgo y
compromiso
Política
Funciones,
responsabilidad
es y autoridades
Operación
Planificación
y control
operativo
Análisis de
riesgos de
seguridad de la
información
Tratamiento de
riesgos de
seguridad de la
información
Evaluación
desempeño
Seguimiento,
medición,
análisis y
evaluación
Auditoría interna
Revisión por
la Dirección
Contexto
organización
Comprensión
de la
organización y
el contexto
Expectativas de
las partes
interesadas
Alcance del
sistema de
gestión
ISMS
Respaldo
Recursos
Competencia
Concientización
Comunicación
Información
documentada
10
PLAN DO CHECK ACT
9 8 7 6 5 4
Comparación entre estructuras
0. Introducción
1. Alcance
2. Referencias normativas
3. Términos y definiciones
4. Sistema de
gestión de
seguridad de
la información
5. Responsabilidad de la dirección
6. Auditoría interna del SGSI
7. Revisión por la Dirección
8. Mejora del SGSI
0. Introducción
1. Alcance
2. Referencias normativas
3. Términos y definiciones
8. Operación
9. Evaluación de desempeño
5. Liderazgo
6. Planificación
4. Contexto de la organización
7. Apoyo
10. Mejora
4.1 General
4.3 Requisitos de documentación
4.2 Establecimiento del SGSI
ISO
27001:
2005
ISO
27001:
2013
Comparación entre estructuras
0. Introducción
1. Alcance
2. Referencias normativas
3. Términos y definiciones
4. Sistema de
gestión de
seguridad de
la información
5. Responsabilidad de la dirección
6. Auditoría interna del SGSI
7. Revisión por la Dirección
8. Mejora del SGSI
0. Introducción
1. Alcance
2. Referencias normativas
3. Términos y definiciones
8. Operación
9. Evaluación de desempeño
5. Liderazgo
6. Planificación
4. Contexto de la organización
7. Apoyo
10. Mejora
4.1 General
4.3 Requisitos de documentación
4.2 Establecimiento del SGSI
ISO
27001:
2005
ISO
27001:
2013
Comparación entre estructuras
0. Introducción
1. Alcance
2. Referencias normativas
3. Términos y definiciones
4. Sistema de
gestión de
seguridad de
la información
5. Responsabilidad de la dirección
6. Auditoría interna del SGSI
7. Revisión por la Dirección
8. Mejora del SGSI
0. Introducción
1. Alcance
2. Referencias normativas
3. Términos y definiciones
8. Operación
9. Evaluación de desempeño
5. Liderazgo
6. Planificación
4. Contexto de la organización
7. Apoyo
10. Mejora
4.1 General
4.3 Requisitos de documentación
4.2 Establecimiento del SGSI
ISO
27001:
2005
ISO
27001:
2013
Comparación entre estructuras
0. Introducción
1. Alcance
2. Referencias normativas
3. Términos y definiciones
4. Sistema de
gestión de
seguridad de
la información
5. Responsabilidad de la dirección
6. Auditoría interna del SGSI
7. Revisión por la Dirección
8. Mejora del SGSI
0. Introducción
1. Alcance
2. Referencias normativas
3. Términos y definiciones
8. Operación
9. Evaluación de desempeño
5. Liderazgo
6. Planificación
4. Contexto de la organización
7. Apoyo
10. Mejora
4.1 General
4.3 Requisitos de documentación
4.2 Establecimiento del SGSI
ISO
27001:
2005
ISO
27001:
2013
Comparación entre estructuras
0. Introducción
1. Alcance
2. Referencias normativas
3. Términos y definiciones
4. Sistema de
gestión de
seguridad de
la información
5. Responsabilidad de la dirección
6. Auditoría interna del SGSI
7. Revisión por la Dirección
8. Mejora del SGSI
0. Introducción
1. Alcance
2. Referencias normativas
3. Términos y definiciones
8. Operación
9. Evaluación de desempeño
5. Liderazgo
6. Planificación
4. Contexto de la organización
7. Apoyo
10. Mejora
4.1 General
4.3 Requisitos de documentación
4.2 Establecimiento del SGSI
ISO
27001:
2005
ISO
27001:
2013
Comparación entre estructuras
0. Introducción
1. Alcance
2. Referencias normativas
3. Términos y definiciones
4. Sistema de
gestión de
seguridad de
la información
5. Responsabilidad de la dirección
6. Auditoría interna del SGSI
7. Revisión por la Dirección
8. Mejora del SGSI
0. Introducción
1. Alcance
2. Referencias normativas
3. Términos y definiciones
8. Operación
9. Evaluación de desempeño
5. Liderazgo
6. Planificación
4. Contexto de la organización
7. Apoyo
10. Mejora
4.1 General
4.3 Requisitos de documentación
4.2 Establecimiento del SGSI
ISO
27001:
2005
ISO
27001:
2013
Comparación entre estructuras
0. Introducción
1. Alcance
2. Referencias normativas
3. Términos y definiciones
4. Sistema de
gestión de
seguridad de
la información
5. Responsabilidad de la dirección
6. Auditoría interna del SGSI
7. Revisión por la Dirección
8. Mejora del SGSI
0. Introducción
1. Alcance
2. Referencias normativas
3. Términos y definiciones
8. Operación
9. Evaluación de desempeño
5. Liderazgo
6. Planificación
4. Contexto de la organización
7. Apoyo
10. Mejora
4.1 General
4.3 Requisitos de documentación
4.2 Establecimiento del SGSI
ISO
27001:
2005
ISO
27001:
2013
Comparación entre estructuras
0. Introducción
1. Alcance
2. Referencias normativas
3. Términos y definiciones
4. Sistema de
gestión de
seguridad de
la información
5. Responsabilidad de la dirección
6. Auditoría interna del SGSI
7. Revisión por la Dirección
8. Mejora del SGSI
0. Introducción
1. Alcance
2. Referencias normativas
3. Términos y definiciones
8. Operación
9. Evaluación de desempeño
5. Liderazgo
6. Planificación
4. Contexto de la organización
7. Apoyo
10. Mejora
4.1 General
4.3 Requisitos de documentación
4.2 Establecimiento del SGSI
ISO
27001:
2005
ISO
27001:
2013
Comparación entre estructuras
0. Introducción
1. Alcance
2. Referencias normativas
3. Términos y definiciones
4. Sistema de
gestión de
seguridad de
la información
5. Responsabilidad de la dirección
6. Auditoría interna del SGSI
7. Revisión por la Dirección
8. Mejora del SGSI
0. Introducción
1. Alcance
2. Referencias normativas
3. Términos y definiciones
8. Operación
9. Evaluación de desempeño
5. Liderazgo
6. Planificación
4. Contexto de la organización
7. Apoyo
10. Mejora
4.1 General
4.3 Requisitos de documentación
4.2 Establecimiento del SGSI
ISO
27001:
2005
ISO
27001:
2013
Comparación entre estructuras
0. Introducción
1. Alcance
2. Referencias normativas
3. Términos y definiciones
4. Sistema de
gestión de
seguridad de
la información
5. Responsabilidad de la dirección
6. Auditoría interna del SGSI
7. Revisión por la Dirección
8. Mejora del SGSI
0. Introducción
1. Alcance
2. Referencias normativas
3. Términos y definiciones
8. Operación
9. Evaluación de desempeño
5. Liderazgo
6. Planificación
4. Contexto de la organización
7. Apoyo
10. Mejora
4.1 General
4.3 Requisitos de documentación
4.2 Establecimiento del SGSI
ISO
27001:
2005
ISO
27001:
2013
Comparación entre estructuras
0. Introducción
1. Alcance
2. Referencias normativas
3. Términos y definiciones
4. Sistema de
gestión de
seguridad de
la información
5. Responsabilidad de la dirección
6. Auditoría interna del SGSI
7. Revisión por la Dirección
8. Mejora del SGSI
0. Introducción
1. Alcance
2. Referencias normativas
3. Términos y definiciones
8. Operación
9. Evaluación de desempeño
5. Liderazgo
6. Planificación
4. Contexto de la organización
7. Apoyo
10. Mejora
4.1 General
4.3 Requisitos de documentación
4.2 Establecimiento del SGSI
ISO
27001:
2005
ISO
27001:
2013
Comparación entre estructuras
0. Introducción
1. Alcance
2. Referencias normativas
3. Términos y definiciones
4. Sistema de
gestión de
seguridad de
la información
5. Responsabilidad de la dirección
6. Auditoría interna del SGSI
7. Revisión por la Dirección
8. Mejora del SGSI
0. Introducción
1. Alcance
2. Referencias normativas
3. Términos y definiciones
8. Operación
9. Evaluación de desempeño
5. Liderazgo
6. Planificación
4. Contexto de la organización
7. Apoyo
10. Mejora
4.1 General
4.3 Requisitos de documentación
4.2 Establecimiento del SGSI
ISO
27001:
2005
ISO
27001:
2013
Nuevos requisitos | Punto 4
Nuevos requisitos incorporados en la versión 2013
4.2 Entender las
necesidades y
expectativas de las
partes interesadas
La organización debe determinar:
a) las partes interesadas relevantes para el SGSI; y
4.3 Determinar el
alcance del SGSI
c) las interfaces y dependencias entre las actividades realizadas por la
organización, y aquellas realizadas por otras organizaciones.
Nuevos requisitos | Punto 5
Nuevos requisitos incorporados en la versión 2013
5.1 Liderazgo y
compromiso
b) asegurando la integración de los requisitos del SGSI en los procesos de
la organización;
Nuevos requisitos | Punto 6
Nuevos requisitos incorporados en la versión 2013
6.1.1 General a) asegurar que el SGSI puede alcanzar su(s) resultado(s) esperado(s);
b) prevenir, o reducir, efectos no deseados; y
c) alcanzar la mejora continua.
6.1.2 Evaluación de
riesgos de seguridad de
la información
a) establezca y mantenga un criterio de riesgo de seguridad de la
información que incluya:
Nuevos requisitos | Punto 6
Nuevos requisitos incorporados en la versión 2013
6.2 Objetivos de
seguridad de la
información y
planificación para su
cumplimiento
b) ser medibles (si es posible);
c) tomar en cuenta los requisitos de seguridad de la información aplicables,
y los resultados de la evaluación de riesgos y del tratamiento de riesgos;
Al planificar cómo alcanzar estos objetivos de seguridad de la información,
la organización debe determinar:
f) qué se hará;
g) qué recursos serán requeridos;
h) quién será responsable;
i) cuándo será completado; y
j) cómo los resultados serán evaluados.
Nuevos requisitos | Punto 7
Nuevos requisitos incorporados en la versión 2013
7.3 Concientización Las personas trabajando bajo el control de la organización deben estar
conscientes de:
a) la política de seguridad de la información;
7.4 Comunicación a) qué comunicar;
b) cuándo comunicarlo;
c) a quién comunicarlo;
d) quién lo comunicará; y
e) los procesos por los cuales la comunicación será efectuada.
7.5.1 General b) la información documentada determinada por la organización como
necesaria para la eficacia del SGSI. NOTA El alcance de la información documentada para un SGSI puede diferir de una organización a otra debido a:
1) el tamaño de la organización y su tipo de actividad, sus procesos, sus productos y servicios;
2) la complejidad de los procesos y sus interacciones; y
3) la competencia de las personas.
Nuevos requisitos | Punto 8
Nuevos requisitos incorporados en la versión 2013
8.1 Planificación
operacional y control
La organización debe planificar, implementar y controlar los procesos
necesarios para cumplir los requisitos de seguridad de la información, e
implementar las acciones determinadas en 6.1.
Nuevos requisitos | Punto 9
Nuevos requisitos incorporados en la versión 2013
9.1 Monitoreo, medición,
análisis y evaluación
c) cuándo se realizarán el monitoreo y la medición;
d) quién monitoreará y medirá;
f) quién analizará y evaluará estos resultados.
9.3 Revisión por la
dirección
4) el cumplimiento de los objetivos de seguridad de la información;
Nuevos requisitos | Punto 10
Nuevos requisitos incorporados en la versión 2013
10.1 No conformidad y
acción correctiva
Cuando ocurre una no conformidad, la organización debe:
a) reaccionar a la no conformidad, y según sea aplicable:
1) tomar acción para controlarla y corregirla; y
2) hacer frente a las consecuencias;
e) hacer cambios al SGSI, si es necesario.
La organización debe retener información documentada como evidencia de:
f) la naturaleza de las no conformidades y cualquier acción subsecuente
tomada, y
Requisitos eliminados
Requisitos de ISO 27001: 2005 eliminados en la versión 2013
4.2.1.g) (…) Se deben seleccionar los objetivos de control y controles del Anexo A como parte de este proceso
conforme sea apropiado para cubrir estos requerimientos.
4.2.1.i) Obtener la autorización de la gerencia para implementar y operar el SGSI.
4.2.3.a).1) detectar prontamente los errores en los resultados de procesamiento;
4.2.3.a).2) identificar prontamente los incidentes y violaciones de seguridad fallidos y exitosos;
4.2.3.a).4) ayudar a detectar los eventos de seguridad, evitando así los incidentes de seguridad mediante el uso de
indicadores; y
4.2.3.a).5) determinar si son efectivas las acciones tomadas para resolver una violación de seguridad.
4.2.3.h) registrar las acciones y eventos que podrían tener un impacto sobre la efectividad o desempeño del SGSI.
4.3.1 La documentación debe incluir los registros de las decisiones gerenciales, asegurar que las acciones puedan
ser monitoreadas a las decisiones políticas gerenciales, y los resultados registrados deben ser reproducibles.
Es importante ser capaces de demostrar la relación desde los controles seleccionados y de regreso a los resultados
del proceso de evaluación del riesgo y tratamiento del riesgo, y subsecuentemente, de regreso a la política y
objetivos del SGSI.
4.3.1.c) Procedimientos y controles de soporte del SGSI;
Requisitos eliminados
Requisitos de ISO 27001: 2005 eliminados en la versión 2013
4.3.2 (…) Se debe establecer un procedimiento documentado para definir las acciones gerenciales necesarias …
4.3.3 (…) Se deben documentar e implementar los controles necesarios para la identificación, almacenaje,
protección, recuperación, tiempo de retención y disposición de los registros.
4.3.3 (…) y de todas las ocurrencias de incidentes de seguridad significativos relacionados con el SGSI.
5.2.1.b) asegurar que los procedimientos de seguridad de la información respalden los requerimientos comerciales;
5.2.1.d) mantener una seguridad adecuada mediante la correcta aplicación de todos los controles implementados;
6.d) (…) Las responsabilidades y requerimientos para la planificación y realización de las auditorías, y para el
reporte de resultados y mantenimiento de registros se deben definir en un procedimiento documentado.
8.2 (…) El procedimiento documentado para la acción correctiva debe definir los requerimientos para…
8.3 (…) El procedimiento documentado para la acción preventiva debe definir los requerimientos para…
8.3.d) registrar los resultados de la acción tomada;
8.3.e) revisar la acción preventiva tomada.
8.3.e) (…) la prioridad de las acciones preventivas se debe determinar en base a los resultados de la evaluación del
riesgo.
Nuevos controles | A.6
Nuevos requisitos incorporados en la versión 2013
A.6.1.5 Seguridad de la
información en gestión
de proyectos
Se abordará la seguridad de la información en la gestión de proyectos,
independientemente del tipo de proyecto.
Nuevos controles | A.12
Nuevos requisitos incorporados en la versión 2013
A.12.6.2 Restricciones a
la instalación de
software
Deben establecerse e implementarse reglas para gobernar la instalación de
software por parte de los usuarios.
Nuevos controles | A.14
Nuevos requisitos incorporados en la versión 2013
A.14.2.1 Política de
desarrollo seguro
Deben establecerse y aplicase reglas para el desarrollo de software y
sistemas a los desarrollos en la organización.
A.14.2.5 Principios de
ingeniería segura de
sistemas
Deben establecerse, documentarse, mantenerse y aplicarse principios de
ingeniería segura de sistemas a cualquier esfuerzo de implementación de
sistemas de información.
A.14.2.6 Entorno de
desarrollo seguro
Las organizaciones deben establecer y proteger apropiadamente los
entornos seguros de desarrollo para el desarrollo de sistemas y los
esfuerzos de integración que cubran todo el ciclo completo de desarrollo.
A.14.2.8 Pruebas de
seguridad del sistema
Debe llevarse a cabo pruebas de la funcionalidad de seguridad durante el
desarrollo.
Nuevos controles | A.15
Nuevos requisitos incorporados en la versión 2013
A.15.1.1 Política de
seguridad de la
información para
relaciones con
proveedores
Los requisitos de seguridad de la información para mitigar los riesgos
asociados con el acceso de los proveedores a los activos de la organización
deben ser acordados con el proveedor y documentados.
A.15.1.3 Cadena de
suministro de tecnología
de la información y
comunicación
Los acuerdos con proveedores deben incluir los requisitos para hacer frente
a los riesgos de seguridad de la información asociados con los servicios de
tecnología de la información y las comunicaciones y la cadena de suministro
del producto.
Nuevos controles | A.16
Nuevos requisitos incorporados en la versión 2013
A.16.1.4
Evaluación de y
decisión sobre
eventos de
seguridad de la
información
Los eventos de seguridad de la información deben ser evaluados y debe
decidirse si deben ser clasificados como incidentes de seguridad de la
información.
A.16.1.5 Respuesta
a los incidentes de
seguridad de la
información
Los incidentes de seguridad de la información deben ser respondidos de acuerdo
con los procedimientos documentados.
Nuevos controles | A.17
Nuevos requisitos incorporados en la versión 2013
A.17.2.1
Disponibilidad de
las instalaciones de
procesamiento de la
información
Las instalaciones de procesamiento de la información deben ser implementadas
con suficiente redundancia para cumplir los requisitos de disponibilidad.
Controles eliminados
Controles ISO 27001: 2005 eliminados en la versión 2013
A.6.1.1 Compromiso de la dirección con la seguridad de la información
A.6.1.2 Coordinación de la seguridad de la información
A.6.1.4 Proceso de autorización para instalaciones de procesamiento de la información
A.6.2.1 Identificación de riesgos relacionados con partes externas
A.6.2.2 Abordaje de la seguridad en la gestión con clientes
A.10.7.4 Seguridad del sistema documental
A.10.8.5 Sistemas de información del negocio
A.11.4.2 Autenticación de usuarios para conexiones externas
A.11.4.3 Identificación del equipamiento en redes
A.11.4.4 Protección de diagnóstico remoto y configuración de puertos
Controles eliminados
Controles ISO 27001: 2005 eliminados en la versión 2013
A.11.4.6 Control de conexión de red
A.11.4.7 Control de ruteo de red
A.11.6.2 Aislamiento de sistemas sensibles
A.12.2.1 Validación de data de insumo
A.12.2.2 Control de procesamiento interno
A.12.2.3 Integridad del mensaje
A.12.2.4 Validación de data de output
A.12.5.4 Filtración de información
A.15.1.5 Prevención de mal uso de medios de procesamiento de información
A.15.3.2 Protección de las herramientas de auditoría de los sistemas de información
Consultora de Procesos y Comunicaciones
María José Buigues *
https://ar.linkedin.com/in/majobuigues
majobuigues@gmail.com
justmajo