Norma Internacional ISO/IEC 27003Primera edición 2010-02-01

La tecnología de la información - Técnicas de Seguridad - Sistema de gestión de seguridad de información de orientación en la ejecuciónTechnologies de l'information - Técnicas de sécurité - lignes directrices pour la mise en oeuvre du système de management de la sécurité de l'information

proyecto

número de referencia ISO/IEC 27003:2010(E)

© ISO/IEC 2010,

ISO/IEC 27003:2010(E)PDF DISCLAIMEREste archivo PDF puede contener tipografías incrustados. De conformidad con la política de licencia de Adobe, este archivo puede imprimirse o verse pero no podrá modificarse a menos que los tipos de letra que están incrustados son licenciados y instalado en el equipo que realiza la edición. En la descarga de este archivo, las partes aceptan en ella la responsabilidad de no infringir la política de licencias de Adobe. La Secretaría Central de la ISO no acepta ninguna responsabilidad en este ámbito.Adobe es una marca registrada de Adobe Systems Incorporated.Los detalles de los productos de software utilizados para crear este archivo PDF se encuentra en la información general relativa al archivo; los parámetros de creación de PDF optimizado para imprimir. Todo se ha tenido cuidado para garantizar que el archivo es adecuado para su uso por parte de los organismos miembros de la ISO. En el caso improbable de que un problema relativo a la que se encuentra, por favor, informen a la secretaría central en la dirección indicada a continuación.

Documento protegido por copyright

©ISO/IEC 2010Todos los derechos reservados. A menos que se especifique lo contrario, ninguna parte de esta publicación puede ser reproducida o utilizada en cualquier forma o por cualquier medio, electrónico o mecánico, incluyendo la fotocopia, microfilm, sin el permiso por escrito de ISO en la dirección abajo o ISO de miembros del cuerpo en el país del solicitante.ISO copyright office Case postale 56 • CH-1211 Ginebra 20 Tel. + 41 22 749 01 11 Fax: + 41 22 749 09 47 E-mailcopyright@iso.org Webwww.iso.orgpublicado en Suiza

ii © ISO/IEC 2010 - Todos los derechos reservados

ISO/IEC 27003:2010(E)ÍNDICE PáginaPrólogo ............................................................................................................................................................ivIntroducciónÁmbito...............................................................................................................................................................................................................................................................................................................v 1 12 referencias normativas............................................................................................................................13 Términos y definiciones ...........................................................................................................................14 Estructura de esta Asamblea structur en 4.1 4.2 4.3

52e .............................................................................................estándar internacionales de cláusulas................................................................................................................2Estructura general de una cláusula 3...............................................................................................................................................................................................................................................................Diagramas 3Obtención de Gestión 5.1 5.2 5.3 5.4 6

6.1 Laaprobación para iniciar un proyecto de ISMS.......................5Descripción general de obtención de la aprobación de la gerencia para iniciar un proyecto de ISMS .......................5aclarar las prioridades de la organización para desarrollar un SGSI...................................................................7Definir el alcance de ISMS .....................................................................................................preliminar 9Crear el caso de negocio y el plan de proyecto para la aprobación de la gerencia...................................116.2 6.3 6.4 6.5 6.6 77.1

Definición de ismos alcance, los límites y la política de ISMS.........................................................................12Resumen de definición de los "ismos" alcance, los límites y la política de ISMS ...................................................12Definir el ámbito y los límites organizativos...................................................................................15Definir la tecnología de la información y las comunicaciones (TIC) alcance y límites ......16Definir el ámbito y los límites físicos.............................................................................................17

integrar cada alcance y límites para obtener el alcance y límites de ISMS.......................18desarrollar la política de ISMS y obtener la aprobación de la gerencia.............................................197.2 7.3 7.4 8

8.1 Larealización de análisis de los requisitos de seguridad de la información 20................................................................Descripción general de la realización de análisis de los requisitos de seguridad de la información ....................................20Definir los requisitos de seguridad de la información el proceso ISMS ...................................................22Identificar activos dentro del ámbito de ISMS ..............................................................................................23realizar una evaluación de seguridad de la información 24 .................................................................................la realización de evaluaciones de riesgos y8.2 8.3 8.4 9

9.1planear el tratamiento de riesgos.............................................................25Descripción de la realización de la evaluación de riesgos y la planificación de riesgo Tratamiento ...............................25realizar evaluación del riesgo...................................................................................................................27Seleccionar los objetivos de control y controles degestión.......................................................................................28 Obtener autorización para la implantación y operación de un SGSI.............299.2 9.3 9.4 9.5Anexo A (informativo) Checklist Description .................................................................................................45

Diseñar el ISMS.............................................................................................................................30Descripción general del diseño de la ISMS........................................................................................................30Diseño organizativo .....................................................................................33Diseño de seguridad de la información las TIC y la seguridad de la información física .................................................................................38Diseño de seguridad de la información específica de ISMS.......................................................................................40Elaboración de la versión definitiva del plan de proyecto de ISMS ..................................................................................................44Anexo B (informativo) Funciones y responsabilidades para la seguridad de la información ..................................................51Anexo C (informativo) Información acerca de la auditoría interna .........................................................................55Anexo D (informativo) Estructura de políticas ...................................................................................................57Anexo E (Informativo) Supervisión y medición

Bibliografía...............................................................................................................................................................................................................................................62 68

© ISO/IEC 2010 - Todos los derechos reservados iii

ISO/IEC 27003:2010(E)Prólogo laISO (International Organization for Standardization) e IEC (International Electrotechnical Commission) forman la especializada Sistema mundial para la estandarización. Organismos nacionales que son miembros de ISO o IEC participan en el desarrollo de normas internacionales a través de comités técnicos establecidos por la organización respectiva para tratar con los campos particulares de actividad técnica. Los comités técnicos de ISO e IEC colaboran en campos de interés mutuo. Otras organizaciones internacionales, gubernamentales y no gubernamentales, en colaboración con la ISO y la CEI, también toman parte en el trabajo. En el campo de la tecnología de la información, la ISO y la CEI han establecido un comité técnico conjunto ISO/IEC JTC 1.Las normas internacionales son redactados de conformidad con las normas que figuran en las normas ISO/IEC, Parte 2.de los organismos nacionales emitir un voto. % La principal tarea del comité técnico conjunto es preparar normas internacionales. Los proyectos de normas internacionales aprobadas por el comité técnico conjunto se distribuyó a los organismos nacionales para la votación. La publicación como norma internacional requiere la aprobación por al menos 75se señala la posibilidad de que algunos de los elementos de este documento pueden estar sujetos a derechos de patente. La ISO y la CEI no se responsabiliza por la identificación de cualquiera o todos los derechos de patente.ISO/IEC 27003 fue preparada por el Comité Técnico Conjunto ISO/IEC JTC 1, la tecnología de la información, el Subcomité SC 27, técnicas de seguridad.iv © ISO/IEC 2010 - Todos los derechos reservados

ISO/IEC 27003:2010(E)IntroducciónEl propósito de esta norma internacional es proporcionar orientación práctica en el desarrollo del plan de implementación de un sistema de gestión de seguridad de información (ISMS) dentro de una organización, de conformidad con la norma ISO/IEC 27001:2005. La aplicación real de un SGSI es generalmente ejecutado como un proyecto.El proceso descrito en esta norma internacional ha sido diseñado para proporcionar apoyo a la aplicación de la norma ISO/IEC 27001:2005; las partes pertinentes de las cláusulas 4, 5 y 7 inclusive) y Documento:a) la preparación de un plan de implementación a partir de ISMS en una organización, definiendo la estructura organizacional para el proyecto y obtener la aprobación de la gerencia,b) las actividades críticas para el proyecto de ISMS y,c) ejemplos para alcanzar los requisitos de la norma ISO/IEC 27001:2005.Mediante esta norma internacional la organización será capaz de desarrollar un proceso de gestión de la seguridad de la información, dando a los interesados la garantía de que los riesgos a los activos de información son continuamente se mantienen dentro de los límites de seguridad de la información aceptable definido por la organización.Esta Norma Internacional no cubre las actividades operacionales y otros ismos actividades, sino que abarca los conceptos sobre cómo diseñar las actividades que resu

ltarán después del inicio de las operaciones de ISMS. El concepto de resultados en el último plan de ejecución del proyecto de ISMS. La ejecución real de la parte específica de una organización ismos proyecto está fuera del alcance de esta norma internacional.La aplicación de la ISMS proyecto debe realizarse utilizando metodologías de gestión de proyectos (para más información, por favor, véase la norma ISO y las normas ISO/IEC abordar la gestión de proyectos).

© ISO/IEC 2010 - Todos los derechos reservados v

estándar internacional ISO/IEC 27003:2010(E)

tecnología de la información - Técnicas de Seguridad - Sistema de gestión de seguridad de información de orientación en la ejecución1 Ámbito de aplicación deesta norma internacional se centra en los aspectos críticos necesarios para el éxito en el diseño e implementación de un sistema de gestión de seguridad de la Información (SGSI) en conformidad con la norma ISO/IEC 27001:2005. Describe el proceso de especificación y diseño de ISMS desde el inicio de la producción de los planes de aplicación. Describe el proceso de obtención de la aprobación de la gerencia para implementar un SGSI, define un proyecto para implementar un SGSI (mencionados en esta norma internacional como el proyecto ISMS) y proporciona orientación sobre cómo planificar el proyecto ISMS, resultando en un ISMS final plan de ejecución del proyecto.Esta Norma Internacional está destinado a ser utilizado por las organizaciones que implementan un sistema ISMS. Es aplicable a todos los tipos de organización (por ejemplo, empresas comerciales, agencias gubernamentales, organizaciones sin fines de lucro) de todos los tamaños. La complejidad de cada organización y los riesgos son únicos, y sus requisitos específicos impulsarán la aplicación ISMS. Las organizaciones más pequeñas encontrarán que las actividades señaladas en esta norma internacional son aplicables a ellos y pueden ser simplificados. Grandes organizaciones complejas o podrían encontrar que una organización en capas o sistema de gestión es necesaria para administrar las actividades en esta norma internacional eficaz. Sin embargo, en ambos casos, las actividades pueden ser planificadas por la aplicación de esta norma internacional.Esta Norma Internacional proporciona recomendaciones y explicaciones; no especifica ningún requisito.Esta Norma Internacional está destinado a ser utilizado en conjunción con la norma ISO/IEC 27001:2005 e ISO/IEC 27002:2005, pero no está destinado a modificar y/o reducir los requisitos especificados en la norma ISO/IEC 27001:2005 o las recomendaciones previstas en la norma ISO/IEC 27002:2005. Alegar conformidad con esta norma internacional no es el adecuado.2 referencias normativaslos documentos de referencia siguientes son indispensables para la aplicación de este documento. Para la fecha de referencia, sólo se aplica la edición citada. Para las referencias sin fecha, la última edición del documento de referencia (incluyendo cualquier modificación) se aplica.ISO/IEC 27000:2009, tecnología de la información - Técnicas de seguridad - Sistemas de gestión de seguridad de la información - Descripción y vocabularioISO/IEC 27001:2005, tecnología de la información - Técnicas de seguridad - Sistemas de gestión de seguridad de la información - Requisitos3 Términos y definicionespara los propósitos de este documento, los términos y definiciones dados en la norma ISO/IEC 27000:2009, ISO/IEC 27001:2005 y los siguientes se aplican.ISMS 3.1 actividades estructuradas proyecto emprendido por una organización para implementar un SGSIISO/IEC © 2010 - Todos los derechos reservados el 1 de

ISO/IEC 27003:2010(E)4 la estructura de esta norma internacional4.1 Estructura general de las cláusulas dela implantación de un SGSI es una actividad importante y generalmente se ejecuta como un proyecto en una organización. Este documento explica la aplicación ISMS centrándose en la iniciación, planificación y definición del proyecto. El proceso de la planificación de la ejecución final de ISMS contiene cinco fases, y cada fase está representada por una cláusula independiente. Todas las cláusulas que tienen una estructura similar, como se describe a continuación. Las cinco etapas son:a) la obtención de la aprobación de la gerencia para iniciar un proyecto de ISMS (cláusula 5)b) definir el alcance y la política de ISMS ISMS (cláusula 6)c) la realización de análisis de la Organización (cláusula 7)d) realizar la evaluación de riesgos y la planificación de tratamiento (cláusula 8)e) el diseño de los "ismos" (cláusula 9) Lafigura 1 ilustra las cinco fases de la planificación del proyecto de ISMS refiriéndose a las normas ISO/IEC y los documentos de salida principal.

Figura 1 - ismos fases del proyectoMás información se observa en los anexos. Estos anexos son:Anexo A. Resumen de actividades con referencias de acuerdo a la norma ISO/IEC 27001:2005anexo B. Los roles y responsabilidades de seguridad de la información delanexo C. Información sobre la planificación de las auditorías internasAnexo D. Estructura de políticasAnexo E. Información sobre la planificación de la supervisión y mediciónISO/IEC 2 © 2010 - Todos los derechos reservados

ISO/IEC 27003:2010(E)4.2 Estructura general de una cláusulacada cláusula contiene:a) uno o más objetivos que indique qué se logrará señaló en el comienzo de cada cláusula en un cuadro de texto;yb) una o más actividades necesarias para alcanzar el objetivo u objetivos de fase.Cada actividad está descrita en una subcláusula.Las descripciones de actividad en cada sub-cláusula se estructuran de la siguiente manera:ActividadLa actividad define qué es necesaria para cumplir con esta actividad que logra la totalidad o parte de los objetivos de fase.

La entrada entrada describe el punto de partida, como la existencia de decisione

s documentadas o salidas de otras actividades descritas en esta norma internacional. Las entradas pueden ser contemplados como el resultado de una actividad, simplemente indicando la cláusula pertinente o información específica de una actividad puede ser agregado después de la cláusula en referencia.Orientaciónla orientación proporciona información detallada para permitir la realización de esta actividad. Algunas de las orientaciones que pueden no ser apropiados en todos los casos y otras maneras de lograr los resultados pueden ser más apropiadas.

La salida de salida describe el resultado(s) o producto(s), tras la finalización de la actividad; por ejemplo, un documento. Los productos son los mismos, independientemente del tamaño de la organización o el alcance de ISMS.Otras informacionesEl resto de información proporciona cualquier información adicional que pueda ayudar a realizar la actividad, por ejemplo, referencias a otras normas.Nota Las fases y actividades descritas en este documento incluyen una secuencia sugerida de realizar actividades basadas en las dependencias identificadas a través de cada una de las actividades de "Entrada" y "salida" descripciones. Sin embargo, dependiendo de diversos factores (por ejemplo, la eficacia del sistema de gestión actualmente en lugar de entendimiento con respecto a la importancia de la seguridad de la información, las razones para la implementación de un ISMS), una organización puede seleccionar cualquier actividad en cualquier orden que sea necesario a fin de preparar para el establecimiento y ejecución del ISMS.4.3 Diagramasun proyecto a menudo se ilustra en forma gráfica o diagrama mostrando un panorama general de las actividades y los resultados.La figura 2 ilustra la Leyenda de diagramas que se ilustran en una subcláusula descripción general de cada fase. Los diagramas se proporciona una descripción de alto nivel de las actividades incluidas en cada fase.

© ISO/IEC 2010 - Todos los derechos reservados 3

ISO/IEC 27003:2010(E)

Figura 2 - Diagrama de flujo de la leyenda

ISO/IEC 4 © 2010 - Todos los derechos reservados

ISO/IEC 27003:2010(E)El cuadrado superior ilustra las etapas de planificación de un proyecto de ISMS. La fase se explica en la cláusula específica se destacó con sus principales documentos de salida.El diagrama inferior (actividades de la fase) incluye las principales actividades que se incluyen en el énfasis en la fase de la parte superior de la plaza, y la salida de los documentos principales de cada actividad.La línea de tiempo en la parte inferior de la plaza está basado en la línea de tiempo en la parte superior de la plaza.Actividad Una actividad B y se pueden ejecutar al mismo tiempo. Actividad C debe iniciarse después de la actividad A y B está terminado.5 La obtención de la aprobación de la gerencia para iniciar un proyecto de ISMS5.1 Descripción general de la obtención de la aprobación de la gerencia para iniciar un proyecto de ISMSHay varios factores que deben ser tenidos en cuenta a la hora de decidir implementar un SGSI. A fin de abordar estos factores, la administración debería comprender el caso empresarial de un proyecto de implementación de ISMS y aprobarlo. Por lo tanto, el objetivo de esta fase es:Objetivo:obtener la aprobación de la gerencia para iniciar el proyecto de ISMS definiendo un caso de negocio y el plan del proyecto.A fin de adquirir la aprobación de la gerencia, una organización debe crear un caso de negocio que incluye las prioridades y objetivos para implementar un SGSI además de la estructura de la organización para el ISMS.El ISMS inicial plan de proyecto debe también ser creado.El trabajo realizado en esta fase permitirá a la organización a comprender la relevancia de un SGSI, y aclarar las funciones y responsabilidades de la seguridad de la información dentro de la organización necesaria para un proyecto de ISMS.El resultado esperado de esta fase preliminar será la aprobación de la gestión, y el compromiso de poner en práctica, un SGSI y la realización de las actividades que se describen en esta norma internacional. Los entregables de esta cláusula incluyen un caso de negocios y un proyecto de plan de proyecto de ISMS con hitos clave.La figura 3 ilustra el proceso para obtener la aprobación de la gerencia para iniciar el proyecto de ISMS.Nota La salida de la Cláusula 5 (documentado el compromiso de la administración para planificar e implementar un SGSI) y uno de los resultados de la Cláusula 7 (Documento de síntesis de la situación de seguridad de la información) no son requisitos de la norma ISO/IEC 27001:2005. Sin embargo, los resultados de estas actividades se recomienda la entrada a otras actividades descritas en este documento.

© ISO/IEC 2010 - Todos los derechos reservados 5

ISO/IEC 27003:2010(E)

Figura 3 - Esquema de obtención de la aprobación de la gerencia para iniciar un proyecto de ISMS

ISO/IEC 6 © 2010 - Todos los derechos reservados

ISO/IEC 27003:2010(E)5.2 clarificar las prioridades de la organización para desarrollar unaactividad de ISMSLos objetivos para implementar un SGSI debe ser incluído por la Organización teniendo en cuenta las prioridades y las necesidades de seguridad de la información.Inputa) los objetivos estratégicos de la organizaciónb) descripción de los sistemas de gestión existentes,c) una lista de los aspectos legales, regulatorios y contractuales aplicables a la seguridad de la información deorientación de la organizacióna fin de iniciar el proyecto de ISMS, generalmente es necesaria la aprobación de la gestión. Por lo tanto, la primera actividad que se debe realizar es recopilar la información pertinente para ilustrar el valor de un SGSI para la organización.La organización debería aclarar por qué se necesita un SGSI y decidir los objetivos de la aplicación ISMS ISMS e iniciar el proyecto.Los objetivos para la implementación de un SGSI puede determinarse por contestar las siguientes preguntas:a) gestión de riesgos - ¿Cómo será un SGSI generar una mejor gestión de los riesgos de la seguridad de la información?B) La eficiencia - ¿Cómo puede un SGSI mejorar la gestión de la seguridad de la información?C) la ventaja empresarial - ¿Cómo puede un SGSI crean una ventaja competitiva para la organización?A fin de responder a las preguntas anteriores, la Organización de las necesidades y prioridades de seguridad están dirigidas por los siguientes factores:a) los negocios críticos y áreas de organización:1. ¿Cuáles son los críticos de las empresas y las áreas de la organización?2. Las áreas de la organización que proporcionan a la empresa y con qué orientación?3. Lo tercero las relaciones y los acuerdos existentes?4. Existen servicios que se han externalizado?B) información valiosa o confidencial:1. ¿Qué información es de importancia crítica para la organización?2. ¿Cuáles serían las consecuencias probables si cierta información iban a ser revelada a terceros no autorizados (por ejemplo, pérdida de ventaja competitiva, el daño a la marca o reputación, acciones legales, etc.).c) las leyes que exigen que las medidas de seguridad de la información:1. ¿Qué leyes relativas al tratamiento del riesgo o la seguridad de la información aplicable a la organización?2. La organización es parte de una organización global pública que es necesaria para que los informes financieros externos?D) contractuales o acuerdos organizativos relativos a la seguridad de la información:

1. ¿Cuáles son los requisitos de almacenamiento (incluyendo los períodos de retención) para el almacenamiento de datos?2. Existen requisitos contractuales relativas a la privacidad o la calidad (por ejemplo, acuerdo de nivel de servicio - SLA)?© ISO/IEC 2010 - Todos los derechos reservados 7 de

ISO/IEC 27003:2010(E)e) los requisitos de la industria que especificar determinados controles o medidas de seguridad de la información:1. Qué sector-Requisitos específicos aplicables a la organización?F) la amenaza del entorno:1. ¿Qué tipo de protección es necesaria, y contra qué amenazas?2. ¿Cuáles son las distintas categorías de información que requieren protección?3. ¿Cuáles son los distintos tipos de actividades de información que necesita ser protegido?G) impulsores competitivos:1. ¿Cuáles son los requisitos mínimos de mercado para la seguridad de la información?2. Los controles de seguridad de la información adicional que debe proporcionar una ventaja competitiva para la organización?H) Los requisitos de continuidad del negocio1. ¿Cuáles son los procesos críticos del negocio?2. ¿Cuánto tiempo puede tolerar la organización interrupciones a cada uno de los procesos críticos de negocio?El ISMS preliminar ámbito puede ser determinada por responder a la información anterior. Esto también es necesaria para crear un caso de negocio y, en general, el plan de proyecto de ISMS de obtener la aprobación de la gerencia. El ISMS detallada alcance será definido durante el proyecto de ISMS.Los requisitos señalados en la norma ISO/IEC 27001:2005 referencia 4.2.1 a) definir el alcance en términos de las características de la empresa, la organización, su localización, activos y tecnología. La información resultante de los anteriores apoya esta determinación.Algunos de los temas que deben tenerse en cuenta al tomar las decisiones iniciales sobre el ámbito incluyen:a) ¿Cuáles son los mandatos para la gestión de la seguridad de la información establecidas por la gestión organizativa y las obligaciones impuestas externamente en la organización?B) es el responsable de la propuesta en el ámbito de los sistemas mantenidos por más de un equipo de administración (por ejemplo,personas en diferentes filiales o departamentos diferentes)?C) ¿Cómo será el SIVS-los documentos relacionados se comunica a toda la organización (por ejemplo, en papel o a través de la intranet de la empresa)?D) Los sistemas de gestión actuales apoyar las necesidades de la organización? Es totalmente operativa, está bien mantenido y funcionando como se esperaba?Ejemplos de objetivos de gestión que puede utilizarse como entrada para definir el ámbito de ISMS preliminares incluyen:a) facilitar la continuidad del negocio y recuperación ante desastres.b) mejorar la resiliencia ante incidentesc) abordar legal/cumplimiento contractual/pasivosd) permitiendo la certificación contra otras normas ISO/IECe) Propiciar la evolución organizacional y la posiciónf) reducir los costos de los controles de seguridad g) proteger los activos de valor estratégicoh) establecer un control interno eficaz y saludable medio ambientei) dar seguridades a los interesados que estén debidamente protegidos de los activos de información de laISO/IEC 8 © 2010 - Todos los derechos reservados

ISO/IEC 27003:2010(E)Salida delos resultados de esta actividad son:a) un documento que resume los objetivos, las prioridades de la seguridad de la información, y las necesidades organizativas de un ISMS.b) una lista de regulatorios, contractuales y los requisitos de la industria relacionados Para la seguridad de la información de la organización.c) describió las características de la empresa, la organización, su localización, activos y tecnología.Otra informaciónISO/IEC 9001:2008, ISO/IEC 14001:2004, ISO/IEC 20000-1:2005.5.3 definir el alcance de ISMS preliminar5.3.1 Desarrollar laactividad preliminar de ISMS alcancelos objetivos para aplicar ISMS ISMS preliminar debe incluir la definición del alcance, la cual es necesaria para el proyecto de ISMS.

Desde la actividad de entrada y salida 5.2 clarificar las prioridades de la organización para desarrollar un ISMS.Orientacióna fin de ejecutar el proyecto de implantación de ISMS, la estructura de una organización para los ismos deben definirse. El preliminar del alcance del ISMS ahora debe definirse para proporcionar gestión con orientación para la ejecución de las decisiones, y para apoyar otras actividades.El ISMS preliminar ámbito es necesaria para crear el caso de negocio y el plan de proyecto propuesto para la aprobación de la gerencia.La salida de esta etapa será un documento que definía el alcance preliminar de los "ismos", que incluye:a) un resumen de los mandatos para la gestión de la seguridad de la información establecidas por la gestión organizativa, y las obligaciones impuestas externamente en la organización;b) una descripción de cómo el área(s) de alcance interactúan con otros sistemas de gestión;c) una lista de los objetivos de negocio de la gestión de la seguridad de la información (derivada en la cláusula 5.2);d) una lista de los procesos de negocio críticos, sistemas activos de información, las estructuras organizativas y las ubicaciones geográficas a las que se aplicará el ISMS.e) la relación de los sistemas de gestión existentes, cumplimiento de regulaciones, y de los objetivos de la organización;f) las características del negocio, la organización, su localización, activos y tecnología.Los elementos comunes y las diferencias de funcionamiento entre los procesos de cualquier sistema de gestión existente(s) y el proyecto de SGSI debe ser identificado.

La salida de entrega es un documento que describe el alcance preliminar del ISMS.© ISO/IEC 2010 - Todos los derechos reservados 9 de

ISO/IEC 27003:2010(E)

Otra información queninguna otra información específica.Nota merece especial atención que en el caso de certificación documentación específica a los requisitos de la norma ISO/IEC 27001:2005, como para el ámbito de ISMS se cumplan independientemente de los sistemas de gestión en su lugar dentro de la organización.5.3.2 Definir los roles y responsabilidades en el ámbito de ISMS preliminar de

la actividad global de las funciones y responsabilidades de la ISMS preliminares alcance debe ser definido.

A) salida entrada de la Actividad 5.3.1 Desarrollar el ámbito ISMS preliminarb) Lista de participantes que se beneficiarán de los resultados del proyecto de ISMS.Orientacióna fin de ejecutar el proyecto de ISMS, el papel de una organización para el proyecto debe ser determinado. El papel generalmente es diferente en cada organización, debido al número de personas que se ocupan de la seguridad de la información.La estructura y los recursos para la seguridad de la información varían con el tamaño, el tipo y la estructura de la organización. Por ejemplo, en una organización pequeña, varias funciones pueden ser realizadas por la misma persona.No obstante, la administración debería identificar explícitamente el papel (normalmente, Chief Information Security Officer, Director de seguridad de la información o similar) con la responsabilidad global de la gestión de la seguridad de la información, y el personal se debe asignar roles y responsabilidades sobre la base de las habilidades necesarias para realizar el trabajo. Esto es esencial para asegurar que las tareas sean llevadas a cabo de manera eficiente y eficaz.Las consideraciones más importantes en la definición de roles en la gestión de la seguridad de la información son:a) la responsabilidad global de las tareas permanece en el nivel de gestión,b) una persona (normalmente el jefe oficial de seguridad de la información) es designado para promover y coordinar el proceso de seguridad de la información,c) Cada empleado es igualmente responsable de su tarea original y para mantener la seguridad de la información en el lugar de trabajo y en la organización.Las funciones de gestión de la seguridad de la información deben trabajar juntos; esto puede facilitarse mediante un foro de seguridad de la información, o un órgano similar.Colaboración con especialistas de negocio adecuadas deben ser llevadas a cabo (y documentado) en todas las etapas del desarrollo, implementación, operación y mantenimiento de la ISMS.Representantes de los departamentos dentro del alcance identificadas (tales como la gestión del riesgo) son potenciales miembros del equipo de aplicación de ISMS. Este equipo debe mantenerse en el tamaño práctico más pequeño para la velocidad y el uso eficaz de los recursos. Estas zonas no son sólo aquellos directamente incluido en el SIVS alcance, sino también las divisiones indirectas, como legal, gestión de riesgos y departamentos administrativos.

La salida de entrega es un documento o una tabla que describe las funciones y responsabilidades con los nombres y la organización necesaria para implementar correctamente un ISMS.Otras informaciones enel Anexo B se proporciona detalles de los roles y responsabilidades necesarias en una organización para implementar exitosamente un ISMS.ISO/IEC 10 © 2010 - Todos los derechos reservados

ISO/IEC 27003:2010(E)

5.4 Crear el caso de negocio y el plan de proyecto para la gestión de laactividad de autorización deaprobación de la gestión y el compromiso de recursos para el proyecto de implantación de ISMS debería obtenerse mediante la creación del caso de negocio y la propuesta de proyecto de ISMS.

A) salida entrada de la Actividad 5.2 clarificar las prioridades de la organización para desarrollar un SGSIb) Resultado de la Actividad 5.3 definir el alcance - La ISMS preliminar documentado: preliminar1. ISMS alcance y2. sus roles y responsabilidades.La orientación dela información para el caso de negocio y plan de proyecto ISMS inicial debe incluir plazos estimados, los recursos y los hitos necesarios para las principales actividades que se indican en las cláusulas 6 a 9 de esta norma internacional.El caso de negocio y plan de proyecto ISMS inicial servirá como base del proyecto, sino que también asegura el compromiso de la administración y la aprobación de los recursos necesarios para la ejecución de ISMS. La forma en que los implementa ismos se apoyan los objetivos de la empresa contribuye a la eficacia de los procesos de organización y aumenta la eficiencia de la empresa.El caso de negocio para la implementación de un SGSI debe incluir breves declaraciones vinculadas a los objetivos de la organización y cubrir los siguientes temas:a) metas y objetivos específicos b) beneficio para la organización,c) preliminar del alcance del ISMS incluyendo los procesos de negocio afectadosd) procesos y factores críticos para alcanzar los objetivos de ISMSe) descripción general de alto nivel para el proyecto inicial del plan de ejecución f)g) definición de funciones y responsabilidadesh) los recursos necesarios (tanto la tecnología y personas)i) consideraciones acerca de la implementación de la seguridad de la información, incluyendo actualesj) escala de tiempo con hitos clave k) Los costes esperadosl) factores críticos de éxitom) cuantificar los beneficios para la organizaciónel plan del proyecto debe incluir las actividades de las fases en la cláusula 6-9 establecidos en esta norma internacional.© ISO/IEC 2010 - Todos los derechos reservados 11 de

ISO/IEC 27003:2010(E)individuos que afectan o son afectados por el ISMS deben ser identificados y permitir suficiente tiempo para revisar y comentar el caso de negocio de ISMS ISMS y propuesta de proyecto. El caso de negocio y la propuesta de proyecto de ISMS se actualizará en caso necesario se proporciona como entrada. Una vez que se obtiene el apoyo suficiente, el caso de negocio y los ismos propuesta de proyecto deberá ser presentado a la administración para su aprobación.La administración debería aprobar el caso de negocio y el plan inicial del proyecto, a fin de lograr el pleno compromiso de organización y comenzar la ejecución del proyecto de ISMS.Los beneficios esperados de compromiso de la gerencia para la implementación de un SGSI son:a) el conocimiento y aplicación de las leyes, los reglamentos, las obligaciones contractuales y las normas relativas a la seguridad de la información, resultando en la evitación de responsabilidades y sanciones en caso de incumplimiento,b) uso eficiente de múltiples procesos de seguridad de la información,c) la estabilidad y el aumento de la confianza para crecer a través de una mejor g

estión de los riesgos de la seguridad de la información,d) identificación y protección de la información crítica de la empresa.Salida delos resultados de esta actividad son:a) una aprobación documentada por parte de la administración para ejecutar el proyecto con el ISMS asignado recursosb) documentado un caso de negocioc) una primera propuesta de proyecto ISMS, con hitos, tales como la realización de la evaluación de riesgos, la implementación, las auditorías internas, y examen de la gestión)Otra InformaciónISO/IEC 27000:2009 para ver ejemplos de factores críticos de éxito para apoyar el caso de negocio de ISMS.6 Definición ismos alcance, los límites y la política de ISMS6.1 Resumen de definición de ISMS ISMS, los límites y el alcance dela aprobación de la gestión de la política para la implementación de un SGSI está basado sobre el anteproyecto de ISMS ISMS alcance, caso de negocio y el proyecto inicial. La definición detallada de los alcances y límites de los ismos, la definición de la política de ISMS y aceptación y apoyo por parte de la administración son los principales factores clave para el éxito de la aplicación de la ISMS.Por lo tanto, los objetivos de esta fase son:Objetivos:Definir el ámbito y los límites detallados del ISMS y desarrollar la política de ISMS, y obtener el respaldo de gestiónISO/IEC 27001:2005 referencia: 4.2.1 a) y 4.2.1 b)ISO/IEC 12 © 2010 - Todos los derechos reservados

ISO/IEC 27003:2010(E)a fin de lograr "Definir el ámbito y los límites detallados para los ismos" objetivo, son necesarias las siguientes actividades:a) definir el ámbito y los límites organizativos,b) Las tecnologías de la información y la Comunicación (TIC) alcance y límites yc) alcance y límites físicos.d) las características especificadas en la norma ISO/IEC 27001:2005 referencia 4.2.1 a) y b), es decir, negocio, organización, localización, activos y tecnología, aspectos del ámbito y los límites, y las políticas se determinan en el proceso de definición de estas Alcance y límitese) integrar el ámbito y los límites elementales para obtener el ISMS alcance y límitespara lograr la definición de la política de ISMS y obtener la aceptación de la gestión, una única actividad es necesaria.Para construir un sistema eficaz de gestión de la organización, el alcance detallado del ISMS debe determinarse teniendo en cuenta los activos de información críticos de la organización. Es importante disponer de una terminología común y un enfoque sistemático para la identificación de los activos de información y evaluación de mecanismos viables de seguridad. Esto permite la facilidad de comunicación y fomenta la comprensión coherente a través de todas las fases de la implementación. También es importante velar por que la organización crítica áreas incluidas en el ámbito.Es posible definir el alcance de un SGSI para abarcar toda la organización o parte de ella, como una división o claramente delimitado elemento subsidiario. Por ejemplo, en el caso de los "servicios" prestados a los clientes, el alcance del ISMS puede ser un servicio o un sistema de gestión de funciones cruzadas (una división entera o una parte de una división). Los requisitos de la norma ISO/IEC 27001:2005 deberán cumplirse para la certificación, independientemente de los sistemas de gestión existentes en el lugar dentro de la organización.Ámbito organizativo y los límites, el alcance y los límites de las TIC (6,3) y el ámbito y los límites físicos (6.4) no son siempre que se llevarán a cabo secuencialmente. Si

n embargo, es útil hacer referencia ya obtenidos, alcance y límites a la hora de definir otras posibilidades y límites.

© ISO/IEC 2010 - Todos los derechos reservados 13 de

ISO/IEC 27003:2010(E)

Figura 4 - Esquema de definición de ismos alcance, los límites y la política de ISMSISO/IEC 14 © 2010 - Todos los derechos reservados

ISO/IEC 27003:2010(E)6.2 Definir ámbito organizativo y los límites deactividadel ámbito organizativo y los límites deben ser definidos.

A) salida entrada de la Actividad 5.3 definir el alcance de ISMS preliminar - la documentación preliminar del alcance de los ismos que aborda:1. relación de los actuales sistemas de gestión, cumplimiento de regulaciones, y de los objetivos de la Organización;2. Características del negocio, la organización, su localización, activos y tecnología.b) la producción de la Actividad 5.2 clarificar las prioridades de la organización para desarrollar un documentado ISMS - la aprobación por parte de la administración para implementar un SGSI y comenzar el proyecto con recursos asignados.Orientaciónla cantidad de esfuerzo requerido para implementar un SGSI depende de la magnitud del ámbito al que se aplica. Esto también puede afectar a todas las actividades relacionadas con el mantenimiento de la seguridad de la información de la gama de productos (como proceso, Ubicaciones físicas, sistemas y personas), incluyendo la implementación y el mantenimiento de controles,administración de operaciones y llevar a cabo tareas como la identificación de los activos de información y evaluación del riesgo. Si la administración decide excluir a ciertas partes de la organización en el ámbito de la ISMS, sus razones para hacerlo debe estar documentada.Cuando el alcance del ISMS está definido, es importante que sus límites son lo suficientemente claras para ser explicado a quienes no participaron en su definición.Algunos de los controles relativos a la seguridad de la información puede estar ya en existencia como resultado de la implementación de otros sistemas de gestión. Estos deben ser tenidos en cuenta a la hora de planificar los ismos, pero no necesariamente indican los límites de las posibilidades de los actuales ISMS.Un método de definir los límites de la organización consiste en identificar las áreas de responsabilidad que no son la superposición para facilitar la asignación de responsabilidad dentro de una organización.Responsabilidades directamente relacionadas a los activos de información o procesos de negocio incluidas en el SIVS alcance deben ser seleccionados como parte de la organización que está bajo control del ISMS. Al definir los límites de la organización se deben considerar los siguientes factores:a) gestión de ISMS Forum debe consistir de los gestores implicados directamente en el ámbito de la ISMS.b) los estados de la gestión responsable de los "ismos" debe ser uno de los que es responsable en última instancia de todas las áreas de responsabilidad afectados (es decir, su papel suele ser dictada por su capacidad de control y responsabilidad dentro de una organización).c) En el caso donde la función responsable de gestionar los ismos no es un miembro

de la gerencia senior, un patrocinador de administración superior es esencial para representar los intereses de la seguridad de la información y actuar como abogado de los ismos a los más altos niveles de la organización.d) el alcance y los límites de la necesidad de Ser definidos para garantizar que todos los activos pertinentes sean tenidas en cuenta en la evaluación de riesgos, y para hacer frente a los riesgos que puedan surgir a través de estas fronteras.Basado en el enfoque de los límites organizativos analizados deben identificar a todo el personal afectado por los ismos, y esto debería ser incluido en el alcance. La identificación del personal puede estar vinculada a los procesos y/o funciones en función del enfoque seleccionado. Si algunos procesos dentro del alcance se subcontratan a terceros esas dependencias deben estar claramente documentados. Dichas dependencias se someterá a nuevos análisis en el proyecto de implantación de ISMS.© ISO/IEC 2010 - Todos los derechos reservados 15 de

ISO/IEC 27003:2010(E)SalidaLos resultados de esta actividad son:a) descripción de los límites organizativos para los ismos, incluidas las justificaciones por parte de la organización que han sido excluidas del alcance de ISMS,b) las funciones y la estructura de las partes de la organización dentro del ámbito del ISMS,c) la identificación de la información intercambiada dentro del alcance y la información intercambiada a través de las fronteras d) procesos de organización y las responsabilidades de los activos de información del alcance y fuera de alcance,e) proceso de jerarquía de toma de decisiones, así como de la estructura dentro de la ISMS.Otra información queninguna otra información específica.6.3 Definición de las tecnologías de la información y la comunicación (TIC) el alcance y los límites deactividadel ámbito y los límites de los elementos de la información y la comunicación (TIC) y la tecnología de otros elementos cubiertos por el ISMS deben definirse.

A) salida entrada de la Actividad 5.3 definir el alcance - La ISMS preliminar para el documento preliminar del alcance del ISMSb) Resultado de la Actividad 6.2 definir el ámbito y los límites organizativosorientaciónla definición del ámbito y los límites de las TIC pueden obtenerse a través de un sistema de información (en lugar de que se enfoque de base). Una vez que existe una decisión de gestión para incluir el sistema de información de procesos de negocio en el ámbito de ISMS TIC, todos los elementos deben ser considerados también. Esto incluye todos los componentes de la organización que almacene, procese o transportar información crítica, activos o que son críticos para las partes de la organización en el ámbito. Los sistemas de información pueden abarcar organizativas o de las fronteras nacionales. Si este fuera el caso, debe considerarse lo siguiente:a) el entorno socio-culturalb) los requisitos legales, regulatorios y contractuales aplicables a las organizacionesc) Responsabilidad por responsabilidades claved) limitaciones técnicas (por ejemplo, el ancho de banda disponible, la disponibilidad del servicio, etc.)teniendo en cuenta lo anterior, los límites de las TIC deben incluir una descripción de las siguientes cuando sea aplicablea) la infraestructura de comunicaciones, donde la responsabilidad de la gestión está a cargo de la organización, incluyendo diferentes tecnologías (por ejemplo, telefonía

inalámbrica, o redes de voz/datos).b) el software dentro de los límites organizativos que se utiliza y controladas por la organizaciónc) las TIC requiere de hardware por la red o redes, aplicaciones o sistemas de producciónISO/IEC 16 © 2010 - Todos los derechos reservados

ISO/IEC 27003:2010(E)d) los roles y responsabilidades en cuanto a Las TIC, hardware y software de redsi uno o más de estas viñetas no está controlada por la organización, las dependencias de terceros debe estar documentada. Véase el apartado 6.2, la orientación.Salida delos resultados de esta actividad son:a) la información intercambiada dentro del alcance y la información intercambiada a través de fronterasb) límites de TIC para los ismos, incluidas las justificaciones para la exclusión de las TIC en la gestión de la organización que han sido excluidas del alcance de ISMS,c) los sistemas de información y redes de telecomunicaciones, describiendo lo que está en el ámbito, junto con las funciones y responsabilidades de estos sistemas. Fuera de alcance deben describirse brevemente los sistemas deinformación queningún otro tipo de información específica6.4 definir el alcance y los límites de laactividad físicael ámbito físico y los límites que deben ser cubiertos por el SGSI debe ser definido.

A) salida entrada de la Actividad 5.3 definir el alcance - La ISMS preliminar para el documento preliminar del alcance del ISMSb) Resultado de la Actividad 6.2 definir el ámbito y los límites organizativos .c) salida de la Actividad 6.3 definir las tecnologías de la información y la comunicación (TIC) el alcance y los límites de laorientaciónla definición del ámbito y los límites físicos consiste en identificar los locales, los lugares o instalaciones dentro de una organización que debe ser parte de la ISMS. Es más compleja para tratar con sistemas de información, que cruzan las fronteras físicas que necesitan:a) instalaciones remotas.b) interfaces para los sistemas de información del cliente y de los servicios prestados por servicio de tercerosc) interfaces apropiadas aplicables y los niveles de servicio.Habida cuenta de lo que antecede, las fronteras físicas deben incluir una descripción de la siguiente, cuando proceda:a) las funciones o descripción del proceso teniendo en cuenta su ubicación física y el alcance de la organización los controlab) instalaciones especiales utilizados para almacenar/TIC que contienen el hardware o en el ámbito de datos (por ejemplo, cintas de back-up), que se basa en la cobertura de los límites de las TICsi uno o más de estas viñetas no está controlada por la organización, las dependencias de terceros debe estar documentada. Véase el apartado 6.2, la orientación.© ISO/IEC 2010 - Todos los derechos reservados 17 de

ISO/IEC 27003:2010(E)SalidaLos resultados de esta actividad son:a) la descripción de los límites físicos de los ismos, incluidas las justificaciones para la exclusión de los límites físicos, bajo la dirección de la organización que han sido excluidas del alcance de ISMS,b) descripción de la organización y sus características geográficas relevantes para el ámbito.Otra información queninguna otra información específica.6.5 Integrar cada alcance y límites para obtener el alcance y límites de ISMS

ISMS Actividad El ámbito y los límites deben ser obtenidos mediante la integración de cada uno de los alcances y límites.

A) salida entrada de la Actividad 5.3 definir el alcance - La ISMS preliminar para el documento preliminar del alcance del ISMSb) Resultado de la Actividad 6.2 definir el ámbito y los límites organizativosc) salida de la Actividad 6.3 definir las tecnologías de la información y la comunicación (TIC) alcance y límitesd) resultado de la Actividad 6.4 definir el alcance y los límites de laorientación físicadel ámbito de un SGSI puede ser descrito y justificado de muchas maneras. Por ejemplo, una ubicación física, como un centro de datos u oficina puede ser seleccionado y procesos críticos enumerados; cada uno de los cuales afectan a áreas fuera del datacenter llevar esas zonas exteriores al alcance. Uno de esos procesos críticos, por ejemplo, podría ser un acceso móvil a un sistema de información central.

La entrega de la salida de esta actividad es un documento que describe el alcance y los límites del ISMS, que contiene la siguiente información:a) las características clave de la organización (su función, estructura, servicios y activos, y el alcance y los límites de la responsabilidad de cada activo).b) en el ámbito de los procesos organizativosc) la configuración de equipos y redes de ámbitod) una lista preliminar de los activos de información en el ámbito dee) una lista de activos en el ámbito de las TIC (por ejemplo, servidores)f) en el ámbito de los mapas de sitios, indicando los límites físicos de la ISMS.g) las descripciones de funciones y responsabilidades dentro de los "ismos" y sus relaciones con la estructura organizativah) los detalles y la justificación de las exclusiones del alcance de ISMSISO/IEC 18 © 2010 - Todos los derechos Reservados

ISO/IEC 27003:2010(E)Otra información queninguna otra información específica.6.6 Desarrollar la política de ISMS y obtener la aprobación de la gestión de

la actividad política de ISMS deben ser desarrolladas y a la aprobación de la gestión debe ser obtenida.

A) salida entrada de la Actividad 6.5 Integrar cada alcance y límites para obtener el ISMS - alcance y límites del ISMS documentado alcance y límitesb) Resultado de la Actividad 5.2 clarificar las prioridades de la organización para desarrollar un ISMS - Los objetivos documentados para la aplicación de la ISMSc) salida de la Actividad 5.4 Crear el caso de negocio y el plan de proyecto para la aprobación de la gerencia - La documentada:

1. Los requisitos de la organización y las prioridades de la seguridad de la información,2. El proyecto inicial para la aplicación ISMS, con hitos, tales como la realización de la evaluación de riesgos, la implementación, las auditorías internas, y examen de la gestión),

además de definir la orientación política de ISMS, los siguientes aspectos deben ser considerados:a) establecer los objetivos de ISMS basado en los requisitos de la organización y las prioridades de la seguridad de la información La organizaciónb) establecer la orientación general y guía a la acción para lograr los objetivos de ISMSc) considerar las necesidades de la organización, legales o reglamentarios y las obligaciones contractuales relacionadas con la seguridad de la informaciónd) gestión de riesgos contexto dentro de la organizacióne) establecer los criterios para la evaluación de riesgos (véase ISO/IEC 27005:2008) y la definición de una estructura de evaluación de riesgof) aclarar las responsabilidades de gestión de alto nivel con respecto a los ismosg) obtener la aprobación de la gerencia.

La salida de entrega es un documento que describe la documentación aprobada por la gestión política de ISMS. Este documento debería ser re-confirmó en una fase posterior del proyecto ya que depende de los resultados de la evaluación del riesgo.Otra informaciónISO/IEC 27005:2008 proporciona información adicional sobre los criterios de evaluación de los riesgos.© ISO/IEC 2010 - Todos los derechos reservados 19 de

ISO/IEC 27003:2010(E)7 realizando análisis de los requisitos de seguridad de la información7.1 Descripción general de la realización de análisis de los requisitos de seguridad de la informacióndel análisis de la situación actual de la organización es importante, ya que existen requisitos existentes y los activos de información que deben tenerse en cuenta al implementar un SGSI. Las actividades descritas en esta fase puede ser realizado principalmente en paralelo con los descritos en la cláusula 6, por razones de eficiencia y practicidad.Objetivos:Definir los requisitos pertinentes para ser apoyado por el ISMS, identificar los activos de información, y obtener la información actualizada sobre el estado de la seguridad en el marco deISO/IEC 27001:2005 referencia: 4.2.1.c)1) parcialmente, 4.2.1. d), 4.2.1. e)

La información obtenida mediante el análisis de la seguridad de la información debe:a) prestar servicios de gestión con un punto de partida (es decir, corregir los datos básicos)b) identificar y documentar las condiciones para la aplicaciónc) proporcionan un claro entendimiento y bien establecidas de la organización instalacionesd) considerar las circunstancias particulares y la situación de la organizacióne) identificar el nivel deseado de protección de la informaciónf) Determinar la recopilación de la información necesaria para toda o parte de una empresa en el ámbito de la aplicación.ISO/IEC 20 © 2010 - Todos los derechos reservados

ISO/IEC 27003:2010(E)

Figura 5 - Esquema de realización de fase de requisitos de seguridad de la información

ISO/IEC © 2010 - Todos los derechos reservados 21 de

ISO/IEC 27003:2010(E)7.2 Definir los requisitos de seguridad de la información ISMS

La información detallada de la actividad de los procesos de requisitos de seguridad para el proceso ISMS debe analizarse y definirse.

A) salida entrada de la Actividad 5.2 clarificar las prioridades de la organización para desarrollar un ISMS - los documentos:1. para resumir los objetivos, las prioridades de la seguridad de la información y requisitos de la organización para ISMS 2. Lista de regulatorios, contractuales y las limitaciones del sector relevantes para la seguridad de la información de la organización,b) Resultado de la Actividad 6.5 Integrar cada alcance y límites para obtener el alcance y límites de ISMS - El alcance y los límites del ISMSc) salida de la Actividad 6.6 Desarrollar la política de ISMS y obtener la aprobación de la gestión - la orientación política de ISMSEl primer paso requiere que toda la información de compatibilidad para el ISMS para ser recogidas. Para cada proceso organizativo y la tarea especializada, hay que adoptar una decisión en términos de cómo la información es crítica, es decir, el nivel de protección requerido. Una variedad de condiciones internas pueden afectar a la seguridad de la información, y estos deben ser determinados. En esta etapa temprana no es importante para describir la tecnología de la información en detalle. Debe haber un resumen básico de la información analizada por un proceso de organización y las aplicaciones TIC y sistemas asociados.El análisis de los procesos de la organización proporciona afirmaciones acerca de los efectos de los incidentes de seguridad de la información sobre la actividad de la organización. En muchos casos es adecuada para trabajar con una descripción muy básica de los procesos de la organización. Los procesos, funciones, ubicaciones, sistemas de información y redes de comunicaciones necesitan ser identificados y documentados, si no han sido ya incluidas como parte del ámbito de ISMS.Lo siguiente debe ser dirigida a obtener la información detallada de los requisitos de seguridad de la ISMS:a) identificación preliminar de importantes activos de información y su actual protección de la seguridad de la información.b) identificar las visiones de la organización y determinar el efecto de determinadas visiones sobre las futuras necesidades de procesamiento de la información.c) analizar las formas actuales de procesamiento de la información, aplicaciones del sistema, redes de comunicación, la ubicación de las actividades y los recursos de TI, etc.d) identificar todos los requisitos esenciales (por ejemplo, requisitos legales y reglamentarios, las obligaciones contractuales, los requisitos de la organización, los estándares de la industria, clientes y los acuerdos con los proveedores, las condiciones de seguro, etc.).e) identificar el nivel de concienciación en seguridad de la información, y a partir de ahí, se derivan los requisitos de capacitación y educación, en términos de cada unidad administrativa y operacional.

Salida delos resultados de esta actividad son los siguientes:a) identificación de los principales procesos, funciones, ubicaciones, sistemas de información y redes de comunicaciónb) los activos de información de la organización c) procesos críticos/activos clasificaciónISO/IEC 22 © 2010 - Todos los derechos reservados

ISO/IEC 27003:2010(E)d) requisitos de seguridad de la información derivada de la organización legal y reglamentario y los requisitos contractualese) lista de las vulnerabilidades conocidas públicamente que se abordarán como resultado de los requisitos de seguridadf) Organización de la seguridad de la información requisitos de capacitación y educaciónotra informaciónninguna otra información específica.7.3 Identificar activos dentro del ámbito deactividad de ISMSlos activos para ser apoyado por el SGSI debe ser identificado.

A) salida entrada de la Actividad 6.5 Integrar cada alcance y límites para obtener el alcance y límites de ISMS - El alcance y los límites del ISMSb) Resultado de la Actividad 6.6 Desarrollar la política de ISMS y obtener la aprobación de la gestión - La política de ISMSc) salida de la Actividad 7.2 Definir los requisitos de seguridad de la información ISMSorientación acerca del procesopara identificar los activos dentro de la ISMS alcance la siguiente información debe ser identificado y que se relacionan a continuación:a) el nombre único del procesob) la descripción de los procesos y actividades asociadas (crear, almacenar, transmitir, eliminado).c) la criticidad del proceso a la organización (crítica, importante, apoyando)d) propietario del proceso (unidad de organización)e) procesos proporcionar entrada y salidas de este procesof) Aplicaciones que soportan laG) proceso de clasificación de la información (confidencialidad, integridad, disponibilidad, control de acceso, no-repudio, y/o otras propiedades importantes para la organización, por ejemplo, cuánto tiempo la información puede ser almacenada)SalidaLos resultados de esta actividad son:a) identifica los activos de información de los procesos principales de la organización dentro del ámbito de ISMSb) clasificación de seguridad de la información de procesos críticos y activos de informaciónOtra informaciónninguna otra información específica.© ISO/IEC 2010 - Todos los derechos reservados 23 de

ISO/IEC 27003:2010(E)7.4 Realizar unaactividad de evaluación de la seguridad de la información

La seguridad de la información evaluación debería realizarse comparando el estado actual de la seguridad de la información de la organización frente a los objetivos de la organización deseada.

A) salida entrada de la Actividad 6.5 Integrar cada alcance y límites para obtener el alcance y límites de ISMS - El alcance y los límites del ISMSb) Resultado de la Actividad 6.6 Desarrollar la política de ISMS y obtener la aprobación de la gestión - La política de ISMSc) salida de la Actividad 7.2 Definir los requisitos de seguridad de la información ISMS el procesod) la producción de la Actividad 7.3 Identificar activos dentro del ámbito de ISMSDirectrices deevaluación de seguridad de la información es la actividad para determinar el nivel actual de seguridad de la información (es decir, la organización, los procedimientos actuales de protección de manejo de información). El propósito fundamental de la evaluación de seguridad de la información es proporcionar información en apoyo de la descripción requerida para el sistema de gestión en forma de políticas y directrices. Por supuesto, es necesario asegurarse de que las deficiencias detectadas sean tratadas en paralelo a través de un plan de acción prioritarios. Todas las partes implicadas deben estar familiarizados con los resultados del análisis de la organización, documentos, normas y tienen acceso a un adecuado manejo de personal.Las evaluaciones de la seguridad de la información analizar la situación actual de la organización mediante la siguiente información y determinar el estado actual de la seguridad de la información y documentar vulnerabilidades:a) estudiar los antecedentes basados en procesos críticosb) clasificación de los activos de informaciónc) información sobre la organización de los requisitos de seguridad.Los resultados de la evaluación de seguridad de la información, junto con los objetivos de la organización son a menudo una parte importante de los incentivos para el trabajo futuro sobre la seguridad de la información. La evaluación de seguridad de la información debe ser realizado por un recurso interno o externo con un estatuto independiente en relación con la organización.Participación en la evaluación de la seguridad de la información debe incluir individuos que poseen un profundo conocimiento del entorno actual, condiciones y lo que es relevante en términos de seguridad de la información. Estas personas deberían ser seleccionados para representar a un amplio espectro de toda la organización e incluyen:a) los gerentes de línea (por ejemplo, jefes de unidad de organización).b) los propietarios del proceso (es decir, representan importantes áreas de organización)c) otros individuos que poseen conocimiento fuerte en el entorno actual, las condiciones, y lo que es relevante en términos de seguridad de la información. Por ejemplo, procesos de negocio y de los usuarios, las funciones administrativas y operacionales funciones jurídicas.Las siguientes acciones son importantes para el éxito de la evaluación de seguridad de la información:a) identificar y enumerar las normas pertinentes de la organización (p.ej. ISO/IEC 27002:2005).b) identificar los requisitos de control conocidos que surgen de políticas, los requisitos legales y reglamentarios, las obligaciones contractuales, los resultados de auditorías anteriores, o los resultados de las evaluaciones de riesgos realizadas en el pasado.c) el uso de estos documentos como referencia para una estimación aproximada de las necesidades actuales de la organización respecto de su nivel de seguridad de la información.ISO/IEC 24 © 2010 - Todos los derechos reservados

ISO/IEC 27003:2010(E)la priorización hecha en relación con la organización, el análisis constituye la base para que las precauciones de seguridad y controles (controles) debe ser considerado.El enfoque para la realización de la evaluación de seguridad de la información es como sigue:a) seleccionar los importantes procesos de organización empresarial y de los pasos del proceso relativo a los requisitos de seguridad de la información,b) crear un diagrama de flujo integral que cubre los principales procesos de la organización (incluyendo la infraestructura técnica y lógica), si no está ya presente o realizadas durante el análisis de la organización.c) discutir con el personal clave adecuada y analizar la situación actual de la organización en relación con los requisitos de seguridad de la información. Por ejemplo, procesos que son críticos, ¿cuán bien trabajan actualmente? (Los resultados se utilizan posteriormente en la evaluación del riesgo).d) determinar las deficiencias de control comparando los controles existentes con requisitos de control previamente identificados.e) completar y documentar el estado actual.

La entrega de la salida de esta actividad es:a) un documento que resume la evaluación de estado de seguridad de la organización, y se evaluaron las vulnerabilidades.Otras informacionessobre la seguridad de la información evaluación realizada en esta etapa sólo entregará información preliminar sobre el estado de la organización de la seguridad de la información y las vulnerabilidades, porque todo el conjunto de políticas y normas de seguridad de la información se desarrolla en una etapa posterior (véase la cláusula 9), y una evaluación del riesgo no se ha realizado todavía.8 Realización de evaluación de riesgos y la planificación de tratamiento de riesgos8.1 Descripción general de la realización de la evaluación de riesgos y la planificación de tratamiento de riesgosLa aplicación de un SGSI deberían abordar los riesgos de seguridad de la información. La identificación, evaluación y tratamiento planificado de los riesgos y la selección de objetivos de control y controles son pasos importantes para una implementación de ISMS y debería tratarse en esta fase.ISO/IEC 27005:2008 proporciona directrices específicas para la gestión de riesgos de seguridad de la información y deben ser mencionadas en la cláusula 8.Se supone que la administración se ha comprometido a la aplicación de los "ismos", y que el alcance y la política de ISMS ISMS se han definido, y que los activos de información son conocidos, así como los resultados de la evaluación de la seguridad de la información.Objetivo:definir la metodología de evaluación de riesgos, identificar, analizar y evaluar los riesgos de seguridad de la información para la selección de las opciones de tratamiento del riesgo y la selección de objetivos de control y controles de lanorma ISO/IEC 27001 referencia 4.2.1 a 4.2.1 c) j)© ISO/IEC 2010 - Todos los derechos reservados 25 de

ISO/IEC 27003:2010(E)

Figura 6: Descripción de la fase de evaluación de riesgosISO/IEC 26 © 2010 - Todos los derechos reservados

ISO/IEC 27003:2010(E)8.2 Realizaractividad de evaluación de riesgosLa evaluación de riesgos debe ser realizada.

Una entrada) salidas de actividad en la cláusula 7, realizando análisis de los requisitos de seguridad de la información - La información relativa a:1. Un resumen de la información del estado de seguridad delos activos de información identificados 2.b) la producción de la actividad en la cláusula 6 de la definición de los "ismos" alcance, los límites y la política de ISMS - la documentada:1. ISMS Alcance 2. Política de ISMS c) ISO/IEC 27005:2008orientaciónal rendimiento de una evaluación de riesgos de seguridad dentro del contexto empresarial en apoyo de la ISMS alcance es esencial para el cumplimiento y la correcta aplicación de ISMS según ISO/IEC 27001:2005. La evaluación de riesgos debe:a) identificar las amenazas y sus fuentes,b) determinar los controles existentes y previstosc) identificar las vulnerabilidades que pueden ser explotadas por amenazas, para causar daño a los bienes o a la organizaciónd) determinar las consecuencias que la pérdida de confidencialidad, integridad, disponibilidad, no-repudio, y otros requisitos de seguridad pueden tener sobre los activose) evaluar el impacto empresarial que podría ser el resultado de información previstas o reales incidentes de seguridadf) evaluar la probabilidad de los escenarios de incidenciag) estimar el nivel de riesgoh) comparar los niveles de riesgo frente a los criterios de evaluación de riesgo y criterios de aceptación de riesgos de laparticipación en la evaluación de riesgos debe incluir individuos que poseen un profundo conocimiento de los objetivos de la organización y comprensión de seguridad (p. ej. una buena percepción de ¿Cuál es actualmente pertinente en términos de amenazas a los objetivos de la organización). Estas personas deberían ser seleccionados para representar a un amplio espectro de toda la organización. Para referencia, véase el anexo B, "Roles y responsabilidades".Una organización puede emplear una metodología de evaluación de riesgos que es específica del proyecto, empresa o específicas de un sector estándar específico.Salida delos resultados de esta actividad son:a) la descripción de las metodologías de evaluación del riesgob) los resultados de la evaluación del riesgo© ISO/IEC 2010 - Todos los derechos reservados 27 de

ISO/IEC 27003:2010(E)Otra informaciónAnexo B - información acerca de las funciones y responsabilidades.Nota Un incidente escenario es la descripción de una amenaza aprovechando una cierta vulnerabilidad o conjunto de vulnerabilidades en un incidente de seguridad de la información. ISO/IEC 27001 describe la ocurrencia de escenarios de incidencia como "fallos de seguridad". (véase ISO/IEC 27005:2008)8.3 Seleccionar los objetivos de control y controles de

la actividad de las opciones para el tratamiento de los riesgos deben ser identificados, así como la selección apropiada de los controles deben ser identificados de

conformidad con el riesgo identificado en las opciones de tratamiento.

A) salida entrada de la Actividad 8.2 realizar evaluación del riesgo - el resultado de la evaluación de riesgob) ISO/IEC 27005:2008 c) ISO/IEC 27002:2005orientaciónes importante especificar la relación entre los riesgos y las opciones seleccionadas para su tratamiento (por ejemplo, un plan de tratamiento de riesgos), ya que esto proporcionará un resumen de tratamiento de riesgos. Las posibles opciones para el tratamiento de los riesgos se enumeran en la norma ISO/IEC 27001:2005 referencia 4.2.1 f).La norma ISO/IEC 27001:2005 Anexo A (normativo) "objetivos de control y controles" se utiliza para seleccionar objetivos de control y controles para el tratamiento de riesgos. Si no hay objetivos de control o controles adecuados en el anexo A, los objetivos de control y controles adicionales deben ser especificados y utilizados. Es importante demostrar cómo los controles seleccionados podrán mitigar riesgos como requerido por el plan de tratamiento de riesgos.Los datos que figuran en la norma ISO/IEC 27001:2005 anexo A no pretende ser exhaustiva. Controles específicos del sector pueden ser identificados para apoyar las necesidades específicas del negocio así como el ISMS.En el caso de reducción del riesgo, la gestión de la relación entre cada uno de los riesgos y de los objetivos de control y controles seleccionados es beneficioso para diseñar la aplicación ISMS. Podría añadirse a la lista que describe la relación entre los riesgos y las opciones seleccionadas para el tratamiento de riesgos.Para facilitar las auditorías, la organización debería compilar una lista de controles que han sido seleccionados como pertinentes y aplicables a la organización de la ISMS. Esto tiene la ventaja de mejorar las relaciones comerciales, tales como la subcontratación electrónica, ofreciendo un resumen de controles en el lugar.Es importante ser consciente de que el resumen de los controles es muy probable que contenga información confidencial.Por lo tanto, deben tomarse precauciones al hacer el resumen de los controles disponibles para usuarios internos y externos. En realidad, puede ser apropiado para tomar la información generada como parte de la creación del ISMS en cuenta durante la definición de activos.Salida delos resultados de esta actividad son:a) una lista con los controles seleccionados y los objetivos de controlb) el plan de tratamiento de riesgos, con:1. Una descripción de la relación entre riesgos y tratamiento de riesgo seleccionado la opción2. Una descripción de la relación entre riesgos y objetivos de control y controles seleccionados (especialmente en el caso de reducción de riesgos)ISO/IEC 28 © 2010 - Todos los derechos reservados

ISO/IEC 27003:2010(E)Otra información ISO/IEC 27002:20058.4 Gestión de obtener autorización para la implantación y operación de un SGSIactividaddebe obtenerse la aprobación de la administración para implementar un SGSI así como el documento de la aceptación de los riesgos residuales.

A) Entrada Salida desde actividades en 5.4 Crear el caso de negocio y el plan de proyecto para la aprobación de la gerencia, la aprobación inicial de gestión para los ismos Proyectob) resultados de las actividades en la cláusula 6 de la definición de los "ismos" alcance, los límites y la política de ISMS - las declaraciones documentadas de:

1. La política y objetivos de ISMS2. El alcance del ISMSc) salida de la Actividad 8.2 realizar evaluación del riesgo - El documentado:1. Descripción de las metodologías de evaluación del riesgo2. El resultado de la evaluación del riesgod) resultado de la Actividad 8.3 Seleccionar los objetivos de control y controles - el plan de tratamiento de riesgosorientaciónpara obtener la aprobación de la gerencia, los documentos se describe como la entrada de esta subcláusula deben estar preparados para la evaluación de la gestión y la toma de decisiones.Los preparativos para la Declaración de Aplicabilidad (SoA) deben ser incluidos como parte de los esfuerzos de gestión de la seguridad de la información. El nivel de detalles en el que los controles están especificados deben cumplir los requisitos necesarios para dar soporte a la gestión de la organización la aprobación para el ISMS.Debe obtenerse la aprobación de la gestión de alto nivel para la decisión de aceptar los riesgos residuales, y se ha obtenido la autorización para el funcionamiento real de la ISMS. Estas decisiones deben basarse en una evaluación de los riesgos y oportunidades que probablemente ocurren como resultado de la aplicación de los ismos, en comparación con los derivados de no llevarlo a cabo.Salida delos resultados de esta actividad son:a) notificación escrita de la aprobación de la administración para la aplicación de la ISMSb) gestión aceptación de riesgos residuales.c) declaración de aplicabilidad, incluyendo los objetivos de control y los controles seleccionadosotra informaciónninguna otra información específica.© ISO/IEC 2010 - Todos los derechos reservados 29 de

ISO/IEC 27003:2010(E)9 Diseñar el ISMS9.1 Descripción general del diseño de los ismosun diseño detallado de la ISMS proyecto, las actividades previstas para su aplicación debe ser desarrollada. El último proyecto de ISMS plan será único en su detalle de la organización específica, dependiendo de los resultados de actividades anteriores, así como los resultados de las actividades concretas en la fase de diseño descrito en la presente cláusula.El ISMS final específico plan de ejecución del proyecto es el resultado de esta cláusula. En base a este plan, los ismos proyecto puede ser lanzado en la organización como parte de la primera fase de "hacer" el ciclo PDCA como se describe en la norma ISO/IEC 27001:2005.Se supone que la administración se ha comprometido a la aplicación de los "ismos" que se define en el SIVS alcance y política de ISMS. Los activos de información, así como los resultados de la evaluación de seguridad de la información se supone están disponibles. Además, el plan de tratamiento de riesgos describiendo los riesgos, las opciones de tratamiento del riesgo, identificadas con los objetivos de control y controles seleccionados también debería estar disponible.El ISMS diseño descrito aquí se centra en la estructura interna y los requisitos de la ISMS. Cabe señalar que, en algunos casos, los ismos diseño puede tener un impacto directo o indirecto en el diseño de procesos de negocio. Asimismo cabe señalar que generalmente hay una necesidad de integrar componentes de ISMS con pre-existentes de gestión y arreglos de infraestructura.Objetivo:

completar el plan definitivo para el ISMS por: Diseño de seguridad de la Organización basado en el riesgo seleccionado opciones de tratamiento, así como requisitos relativos a la grabación y documentos , y diseñar los controles integrar las disposiciones de seguridad para las TIC, procesos físicos y organizacionales, y el diseño de los requisitos específicos de la ISMSISO/IEC 27001: 2005 Referencia: 4.2.2 a)-e), h)ISO/IEC 30 © 2010 - Todos los derechos reservados

ISO/IEC 27003:2010(E)en el diseño de los ismos, las cuestiones siguientes deben ser considerados:a) seguridad de la organización - cubre los aspectos administrativos de la seguridad de la información, incluida la responsabilidad de la operación de la organización para el tratamiento de riesgos. Esto debe ser formado en el conjunto de las actividades derivadas de las políticas, objetivos, procesos y procedimientos para gestionar y mejorar la seguridad de la información en relación con las necesidades de la organización y los riesgos.b) la seguridad de las TIC - cubre aspectos de la seguridad de la información, especialmente la relativa a la responsabilidad de las operaciones de TIC para la reducción del riesgo. Esto es para cumplir con los requisitos establecidos por la organización y la ejecución técnica de los controles para reducir los riesgos.c) la seguridad física - cubre aspectos de la seguridad de la información específicamente relacionada con la responsabilidad de la gestión del medio ambiente físico, tales como edificios y su infraestructura para la reducción del riesgo. Esto es para cumplir con los requisitos establecidos por la organización y la ejecución técnica de los controles para reducir los riesgos.d) ISMS - cubre los aspectos específicos de los diferentes requisitos específicos para un SGSI según ISO/IEC 27001:2005, aparte de lo que se trata en las otras tres zonas. La atención se centra en algunas de las actividades que deben realizarse en la aplicación para lograr un ISMS operacionales que son:1. Supervisión. 2.3. Medición interna de auditoría ISMS 4. capacitación y sensibilización 5. Gestión de incidencias 6. Examen de la gestión7. Mejora de ISMS incluyendo las acciones correctivas y preventivasEl desarrollo de los "ismos" y el diseño de proyectos relacionados con su ejecución planificada de controles deberían involucrar y hacer uso de los conocimientos y experiencia del personal de las partes de la organización que están dentro del alcance de ISMS ISMS o tienen responsabilidades de gestión relacionados. El ISMS aspectos específicos requiere el diálogo con la administración.Para diseñar los controles seleccionados para el tratamiento de riesgos, es fundamental para el diseño de las TIC y la seguridad física del medio ambiente y el entorno de seguridad de la organización. La seguridad de las TIC no sólo se ocupa de los sistemas de información y redes, sino también con los requisitos operacionales. La seguridad física se ocupa de todos los aspectos del control del acceso, no-repudio, la protección física de los activos de información y lo que se almacena o mantenido, así como un medio de protección para los controles de seguridad.Los controles seleccionados en las actividades descritas en la cláusula 8.3 deben aplicarse de acuerdo a un plan de implementación detallado y estructurado, como parte del plan de proyecto de ISMS. Esta parte específica del ISMS plan de proyecto debe abordar cómo manejar cada uno de los riesgos a fin de lograr los objetivos de control. Esta parte específica del plan de proyecto de ISMS es esencial si los controles seleccionados deben ser implementadas de manera adecuada y eficaz. El equipo de gestión de la seguridad de la información es responsable de la elaboración de esta parte específica del plan de ejecución, que constituye el último plan de proyecto de ISMS.

© ISO/IEC 2010 - Todos los derechos reservados 31 de

ISO/IEC 27003:2010(E)

Figura 7 - Descripción general del diseño de la fase de ISMS

ISO/IEC 32 © 2010 - Todos los derechos reservados

ISO/IEC 27003:2010(E)9.2 Diseño de seguridad de la información organizacional9.2.1 Diseño de la estructura organizativa para el final de laactividad de la seguridad de la informaciónlas funciones de organización, funciones y responsabilidad de la seguridad de la información debe estar alineada con el tratamiento de riesgos.

A) salida entrada de la Actividad 5.3.2 Definir roles y responsabilidades en el ámbito de ISMS Preliminar - La tabla de funciones y responsabilidades,b) Resultado de la Actividad 6.5 Integrar cada alcance y límites para obtener el alcance y límites de ISMS - El alcance y los límites del ISMSc) salida de la Actividad 6.6 Desarrollar la política de ISMS y obtener la aprobación de la gestión - La política de ISMSd) resultado de la Actividad 7.2 Definir los requisitos de seguridad de la información ISMS el procesoe) Salida de Actividad 7.3 Identificar activos dentro del ámbito de ISMSf) salida desde la Actividad 7.4 Realizar una evaluación de la seguridad de la informacióng) Salida de Actividad 8.2 realizar evaluación del riesgo - los resultados de la evaluación de riesgosh) salida desde la Actividad 8.3 Seleccione el Objetivos de control y controlesi) ISO/IEC 27002:2005orientación enel diseño de las estructuras organizativas y los procesos para operaciones internas al ISMS debe tratar de aprovechar e integrar con la pre-existencia de áreas donde corresponda. Asimismo, la integración de los ismos en amplias estructuras de gestión pre-existente (por ejemplo, la auditoría interna deben ser tenidas en cuenta en el proceso de diseño de ISMS.La estructura organizacional diseñada para los ismos deberían reflejar las actividades para la implementación y operación de ismos, abordar, por ejemplo, los métodos de supervisión y grabación como parte de las operaciones de ISMS.En consecuencia, la estructura de los "ismos" las operaciones deben ser diseñados sobre la base de la aplicación ISMS planificadas por las siguientes consideraciones:a) para cada función es necesaria para la aplicación ISMS ISMS operaciones?B) las funciones definidas son diferentes a los de los ismos la aplicación?C) ¿Qué funciones deben agregarse para ISMS la aplicación?Por ejemplo, las siguientes funciones pueden añadirse para operaciones de ISMS:a) alguien responsable de las operaciones de seguridad de la información en cada departamentob) alguien responsable de medir el SGSI en cada departamento© ISO/IEC 2010 - Todos los derechos reservados 33

ISO/IEC 27003:2010(E) elexamen de los puntos enunciados en el Anexo B de las "Funciones y responsabilidades" puede ayudar a decidir la estructura y las funciones de operación de ISMS por la revisión de la estructura y las funciones de la aplicación ISMS.

La salida de esta actividad se entrega un documento de resumen:a) la estructura de la organización, sus funciones y responsabilidades y

otra informaciónAnexo B - Información acerca de las funciones y responsabilidades delAnexo C -Información acerca de la planificación de la auditoría9.2.2 Diseñar un marco para la documentación de laactividad de los "ismos" delos registros y documentos en el SIVS debe ser controlada mediante la identificación de las necesidades y el marco que permite el cumplimiento de los requisitos para un control permanente de registros y documentos en el SIVS.

A) salida entrada de la Actividad 6.5 Integrar cada alcance y límites para obtener el alcance y límites de ISMS - El alcance y los límites del ISMS ISMS b) Alcance y definición de fronterac) salida de la Actividad 6.6 Desarrollar la política de ISMS y obtener la aprobación de la gestión - La política de ISMSd) resultado de la Actividad 8.4 Obtener autorización para la gestión de la implementación y el funcionamiento de un SGSIe) Salida de la actividad 9.2.1El diseño final de la estructura organizativa para la seguridad de la informaciónf) ISO/IEC 27002:2005Orientacióndiseñar ismos grabación incluye las siguientes actividades:a) un marco describir principios de la documentación de los ismos, la estructura de procedimientos para documentar los ismos, roles involucrados, formatos de datos, informes y rutas para la gestiónb) diseño de la documentación Requisitosc) diseñar los requisitos de grabación dela ISMS documentación debería incluir registros de las decisiones de gestión; asegurar que las acciones son trazables a decisiones administrativas y políticas, y que los resultados registrados son reproducibles.ISMS documentos deberían proporcionar la evidencia de que los controles son seleccionados sobre la base de los resultados de la evaluación y tratamiento de riesgos, y que tales procesos se aplican junto con la política y objetivos de ISMS.La documentación es esencial para la reproducibilidad de los resultados y procedimientos. En cuanto a los controles seleccionados, el establecimiento y la documentación de los procedimientos deben tener una referencia a la persona responsable de la parte de la documentación.ISO/IEC 34 © 2010 - Todos los derechos reservados

ISO/IEC 27003:2010(E)El ISMS documentación debe incluir la documentación según lo especificado en la norma ISO/IEC 27001:2005 referencia:4.3.1.Es necesario que los ismos documentos a ser administrados y a disposición del personal según sea necesario. Esto incluye los siguientes:a) establecer el procedimiento administrativo del ISMS Gestión documental

b) una aprobación formal de los documentos de idoneidad antes de emitirc) garantizar que los cambios y el estado de revisión actual de los documentos se identifican d) la protección y el control de los documentos como un activo de información de la organización,es importante que las versiones pertinentes de los documentos aplicables están disponibles en los puntos de uso, asegurando que los documentos permanezcan legibles, fácilmente identificables, transportar, almacenar y, en última instancia, eliminarse de acuerdo con los procedimientos aplicables para su clasificación.Además, garantiza que los documentos de origen externo sean identificados, que la distribución de documentos se controla, prevenir el uso no intencionado de documentos obsoletos, y aplicar el seguimiento adecuado para ellos si son retenidos por cualquier propósito.Los registros deben ser creados, mantenidos y controlados como evidencia de que los ismos de la organización conforme a ISO/IEC 27001:2005, y demostrar la eficacia de las operaciones.También es necesario para mantener los registros de aplicación para toda la fase de PDCA, así como registros de incidentes de seguridad de la información y eventos, los registros de educación, capacitación, conocimientos, experiencia y aptitudes, auditorías internas al ISMS, acciones correctivas y preventivas, y registros de organización.Las siguientes tareas deben realizarse para el control de registros:a) documentar los controles necesarios para identificar, proteger, almacenar, buscar y descartar los datos, y documentar su duración de almacenamientob) definir lo que debe ser registrada, y en qué medida, en la gestión operativa de los procesosc) cuando algún período de retención es especificado por las leyes pertinentes o la legislación, el período de retención debe establecerse conforme a los requisitos legales.Salida delos resultados de esta actividad son:a) un documento que resume los requisitos de documentación y registros de ISMS controlb) repositorios y plantillas para los registros obligatorios de los ismosotra informaciónninguna otra información específica9.2.3 el diseño de la política de seguridad de la información

y la gestión de la actividad de la administración estratégica de los objetivos de seguridad de la información, con respecto a la operación de ISMS, deben estar documentados.© ISO/IEC 2010 - Todos los derechos reservados 35

ISO/IEC 27003:2010(E)Entradaa) Salida de Actividad 5.2 clarificar las prioridades de la organización para desarrollar un SGSI -el resumen objetivos y lista de requisitosb) Resultado de la actividad 5.4 Crear el caso de negocio y el plan de proyecto para la aprobación de la gerencia, la aprobación inicial de gestión para los ismos proyectoc) salida de la Actividad 6.5 Integrar cada alcance y límites para obtener el alcance y límites de ISMS - El alcance y límites del ISMSId) resultado de la Actividad 6.6 Desarrollar la política de ISMS y obtener la aprobación de la gestión - La política de ISMSe) Salida desde la Actividad 7.2 Definir los requisitos de seguridad de la información ISMS procesof) salida desde la Actividad 7.3 Identificar activos dentro El ISMS alcance

g) Salida desde la Actividad 7.4 Realizar una evaluación de la seguridad de la informaciónh) salida desde la Actividad 8.2 realizar evaluación del riesgo - los resultados de la evaluación del riesgo de la actividad de salida 8.3 Seleccionar los objetivos de control y controlesi) Salida desde la Actividad 9.2.1 El diseño definitivo de la estructura organizativa para la seguridad de la informaciónj) Salida desde la Actividad 9.2.2 Diseñar un marco para la documentación del ISMSk) ISO/IEC 27002:2005 referencia: 5.1.1 laorientación dela política de seguridad de la información de documentos la posición estratégica de la organización con respecto a los objetivos de seguridad de la información en toda la organización.La política está elaborado sobre la base de la información y el conocimiento. Lo que ha sido identificado por la dirección como importante en el análisis realizado previamente debe hacerse evidente y destacado en la política a fin de proporcionar incentivos y motivación en la organización. También es importante señalar lo que sucede si la política no se sigue. Las leyes y los choques reglamentarios que afectan a la organización en cuestión también debe ser enfatizada.Ejemplos de una política de seguridad de la información puede extraerse de la bibliografía de referencia, Internet, asociaciones de interés y asociaciones de la industria. Las formulaciones y matices pueden ser extraídos de los informes anuales, otros documentos de política o en otros documentos que la administración apoya.Puede haber diferentes interpretaciones y requisitos con respecto al tamaño real de la política. Debería ser lo bastante resumido, de modo que el personal es capaz de entender la intención de la directiva. Además, debería distinguir suficientemente cuáles son los objetivos necesarios para abordar el conjunto de los reglamentos y de los objetivos de la organización.El tamaño y la estructura de la política de seguridad de la información deberían apoyar los documentos que se utilizan en la siguiente etapa en el proceso de introducir un sistema de gestión de seguridad de información (véase también el apéndice D - Información sobre la estructura política).Para organizaciones grandes y complejas (p. ej. con muy diferentes áreas operativas) puede ser necesario elaborar una política global y una serie de políticas adaptadas operacionalmente subyacente.Orientación sobre el contenido de un documento de política de seguridad de la información es proporcionada en la norma ISO/IEC 27002:2005 referencia 5.1.1ISO/IEC 36 © 2010 - Todos los derechos reservados

ISO/IEC 27003:2010(E)La propuesta de directiva (con el número de versión y fecha) deben verificarse y establecido dentro de la organización por el gerente de operaciones. Tras el establecimiento dentro del grupo de administración o equivalente, el gerente operacional aprueba la política de seguridad de la información. Se comunica a todos los miembros de la organización de tal manera que sea pertinente, accesible y comprensible para sus lectores.

La salida de esta actividad es la entrega de un documento de la política de seguridad de la información.Otras informacionesEl Anexo B - Información acerca de las funciones y responsabilidades delAnexo D- Información sobre la estructura política9.2.4 El color desarrollar normas y procedimientos de seguridad de la información

la actividad de estándares de seguridad de la información y procedimientos que contemplen la organización entera o determinadas partes de él deben ser desarrolladas.

A) salida entrada de la Actividad 6.5 Integrar cada alcance y límites para obtener el alcance y límites de ISMS - El alcance y los límites del ISMSb) Resultado de la Actividad 6.6 Desarrollar la política de ISMS y obtener la aprobación de la gestión - La política de ISMSc) salida de la Actividad 8.2 realizar evaluación del riesgod) resultado de la Actividad 8.3 Seleccionar los objetivos de control y controlese) Salida desde la Actividad 8.4 Obtener autorización de administración para implementar y operar el ISMS - la Declaración de aplicabilidad, incluyendo los objetivos de control y los controles seleccionadosf) salida desde la Actividad 9.2.1 El diseño definitivo de la estructura organizativa para la seguridad de la informacióng) Salida desde la Actividad 9.2.2 Diseñar un marco para la documentación del ISMSh) salida desde Actividad 9.2.3 el diseño de la política de seguridad de la informacióni) ISO/IEC 27002:2005orientacióna fin de proporcionar una base para la seguridad de la información dentro de la organización de trabajo, normas de seguridad de la información, así como el conjunto de requisitos legales y reglamentarios aplicables deben estar disponibles para aquellos que necesitan saber.Los representantes de las distintas partes de la organización incluidos en el ámbito de los ismos deberían participar en el proceso de elaboración de normas y procedimientos. Los participantes deben tener autoridad y ser representante de la organización. Por ejemplo, las siguientes funciones pueden incluirse:a) los directores de seguridad de información,b) los representantes de seguridad física, c) Sistemas de información propietarios, yd) un proceso de propietarios de áreas estratégicas y operativas.© ISO/IEC 2010 - Todos los derechos reservados 37

ISO/IEC 27003:2010(E)se sugiere mantener el grupo editorial tan pequeño como sea posible, con la opción de nombrar a especialistas para el equipo sobre una base temporal, según sea necesario. Cada Representante debe colaborar activamente con su propia zona de la organización para ofrecer apoyo operacional. Esto facilita la posterior refinamiento en la forma de procedimientos y rutinas en el nivel operacional.Normas y procedimientos de seguridad deben utilizarse posteriormente como base para el diseño técnico detallado o procedimientos operacionales.Una manera útil de abordar el desarrollo de estándares de seguridad de la información y procedimientos para examinar cada punto de orientación en materia de aplicación de la norma ISO/IEC 27001:2005 e ISO/IEC 27002:2005, que se considera aplicable (basado en los resultados de la evaluación del riesgo), y describir con precisión la forma en que debe aplicarse.Una evaluación de toda la información existente de normas y procedimientos de seguridad deben ser revisados. Por ejemplo, pueden ser refinado y desarrollado, o tiene que ser sustituido?Relevante y actualizada la documentación debe ser proporcionada a cada miembro del personal en el ámbito. Las normas y procedimientos de seguridad de la información debe aplicarse a toda la organización o dejar claro en cuanto a qué funciones, sistemas y áreas están cubiertas. Una primera versión debe ser producida en forma oportunala revisión y proceso de revisión debería ser definido en una etapa temprana. Una estrategia debe elaborarse por el modo en que la información sobre los cambios de la política debe ser distribuida.Salida

a) la entrega de esta actividad es estructurada y un plan detallado de aplicación de los controles relativos a la seguridad de la organización como parte de la ISMS final del plan del proyecto, que incluya un marco documentada del conjunto de estándares de seguridad de la informaciónb) estándares de seguridad de la información, incluida la línea de base de la organizaciónc) procedimientos de seguridad de la información alcanzar los estándares de seguridad de la informaciónOtra informaciónAnexo D- Información sobre la estructura política dediseño 9.3 Las TIC y la información física de laactividad de seguridadlos controles para las TIC y entornos de seguridad física debe ser concebido.

A) salida entrada de la Actividad 6.5 Integrar cada alcance y límites para obtener el alcance y límites de ISMS - El alcance y los límites del ISMSb) Resultado de la Actividad 6.6 Desarrollar la política de ISMS y obtener la aprobación de la gestión - La política de ISMSc) salida de la Actividad 7.2 Definir los requisitos de seguridad de la información ISMS el procesod) la producción de la Actividad 7.3 Identificar activos dentro del ámbito de ISMSe) Salida desde la Actividad 7.4 Realizar una evaluación de la seguridad de la informaciónf) salida desde la Actividad 8.3 Seleccionar los objetivos de control y controles dela norma ISO/IEC 38 © 2010 - Todos los derechos reservados

ISO/IEC 27003:2010(E)g) Salida desde la Actividad 8.4 Obtener autorización para la gestión de la implementación y el funcionamiento de un SGSI- Declaración de aplicabilidad, incluyendo los objetivos de control Y los controles seleccionadosh) ISO/IEC 27002:2005orientaciónen esta actividad los siguientes deben ser documentados para cada control, que debería ser parte de los "ismos" plan de proyecto:a) nombre de la persona responsable de la aplicación de un controlb) la prioridad del control para ser aplicado c) las tareas o actividades a implementar controlesd) declaración de la hora en la que el control debería haber aplicadoe) Persona a la ejecución de las medidas de control deben ser reportados, una vez completof) recursos de ejecución (mano de obra, necesidades de recursos, los requisitos de espacio, costos),inicialmente, las TIC y la seguridad física debe ser conceptualmente diseñado. Deberían considerarse los siguientes puntos:Las responsabilidades para el proceso de aplicación inicial generalmente incluyen:a) la especificación de objetivos de control con una descripción del esperado Estado planificadob) asignación de recursos (trabajo, recursos financieros) c) Objetivo de tiempo realista para la ejecución del controld) opciones de integración con las TIC ,después de seguridad físicas y organizativas del diseño conceptual, diseño real como, por ejemplo, un sistema de desarrollo a fin de lograr y aplicar las mejores prácticas para la organización debería hacerse. Deberían considerarse los siguientes puntos:Las responsabilidades para la implementación real proceso incluyen:a) el diseño de cada uno de los controles seleccionados para las TIC, áreas físicas y

organizativas a nivel operativo de los lugares de trabajob) la instanciación de cada control según el diseño acordadoc) provisión de procedimientos e información para la promoción del conocimiento de los controles de seguridad y cursos de formaciónd) la provisión de ayudas y la ejecución de los controles en el lugar de trabajodependiendo del tipo de controles (TIC, física u organizacional); puede que no siempre sea adecuado o necesario para trazar una clara línea divisoria entre la parte inicial y la parte final del proceso de aplicación.La aplicación de los controles con frecuencia requiere la cooperación entre diferentes roles dentro de una organización. Así, por ejemplo, las personas con responsabilidad del sistema será necesario para adquirir, instalar y mantener instalaciones técnicas. Otras funciones que pueden ser más adecuadas para diseñar y documentar los procedimientos que rigen el uso de los sistemas.© ISO/IEC 2010 - Todos los derechos reservados 39

ISO/IEC 27003:2010(E)La seguridad de la información debe integrarse en toda la organización los procesos y procedimientos. Si esto resulta difícil para una parte de la organización, o a un tercero, para llevar a la práctica, las partes pertinentes deben comunicarse inmediatamente para que una resolución pueda ser acordado. Soluciones a este tipo de problema incluyen la modificación de los procedimientos y procesos, la reasignación de funciones y responsabilidades, y la adaptación de procedimientos técnicos.Los siguientes son los resultados de la aplicación de controles de ISMS.a) plan de aplicación que especifica los detalles de la aplicación de los controles, como la programación, la estructura del equipo de implementación, etc.b) registros y documentación de los resultados de la aplicación de

la salida de las entregas de esta actividad es estructurada y un plan detallado de aplicación de controles relativos a las TIC y a la seguridad física como parte del plan del proyecto ISMS, para incluir, para cada control:a)b) descripción detallada para el diseño y la aplicación de responsabilidadesc) prevé plazos d) Tareas implicadas e)f) la propiedad de los recursos necesarios (líneas de comunicación)Otra información queninguna otra información específica.9.4 Diseño de seguridad de la información específica de ISMS9.4.1 Plan de administración examina laactividaddebe desarrollarse un plan de gestión para asegurar la participación y el compromiso de revisión del ISMS funcionamiento y mejora continua.

A) salida entrada de la Actividad 6.5 Integrar cada alcance y límites para obtener el alcance y límites de ISMS - El alcance y los límites del ISMSb) Resultado de la Actividad 6.6 Desarrollar la política de ISMS y obtener la aprobación de la gestión - La política de ISMSc) salida de la Actividad 8.4 Obtener autorización para la gestión de la implementación y el funcionamiento de un SGSI- Declaración de aplicabilidad, incluyendo los objetivos de control y los controles seleccionadosd) resultado de la Actividad 9.2.3 el diseño de la política de seguridad de la informacióne) ISO/IEC CP: 27004:2009La norma ISO/IEC 40 © 2010 - Todos los derechos reservados

ISO/IEC 27003:2010(E)Orientaciónexamen de gestión de actividades de ISMS debería comenzar en las primeras fases de la ISMS la especificación y desarrollo de casos de negocios y continuar a la revisión periódica de los "ismos" Las operaciones. Esta estrecha participación proporciona un medio para validar el ISMS contra las necesidades del negocio y a mantener el compromiso de la empresa con el ISMS.La planificación de la gestión comentarios incluye establecer cuándo y cómo deben realizarse exámenes de la gestión. Información detallada acerca de los requisitos previos para las revisiones por la dirección se da en la sub-cláusula 7.2 de la norma ISO/IEC 27001:2005.Para planificar el examen, una evaluación de los roles que involucrar a tiene que ser hecho. La aprobación de la gerencia debe buscarse para la elección de funciones, y estas funciones deben ser informado tan pronto como sea posible. Es aconsejable prever la gestión con datos adecuados sobre la necesidad y finalidad, el proceso de revisión.(Véase el Anexo B para obtener más información sobre las funciones y responsabilidades.)exámenes de gestión debe basarse en los resultados de las mediciones de ISMS y otra información recopilada durante la operación del ISMS. Esta información es utilizada por las actividades de ISMS Gestión para determinar la madurez y efectividad del ISMS. Las entradas y salidas necesarias para mediciones de ISMS están dados en la norma ISO/IEC 27001:2005, así como más información sobre mediciones de ISMS está disponible en el Anexo E ISO/IEC y CP: 27004:2009.Cabe señalar también que este debe incluir una revisión de la metodología y los resultados de la evaluación del riesgo.Esto debe llevarse a cabo a intervalos planificados, teniendo en cuenta los cambios en el medio ambiente, tales como la organización y la tecnología.Planificación de la auditoría ISMS interno debe hacerse a fin de poder evaluar con regularidad los ismos una vez que se ha aplicado. Los resultados de las auditorías internas al ISMS son insumos importantes de ismos examen de gestión. Por lo tanto, antes del examen de la gestión está ejecutado, ismos auditoría interna debe ser planificado. El ISMS internas auditoría debería incluir la perspectiva si los objetivos de control, controles, procesos y procedimientos de los ismos son efectivamente aplicada y mantenida y ajustarse a:a) los requisitos de la norma ISO/IEC 27001:2005,b) la legislación o los reglamentos, yc) los requisitos de seguridad de la información identificada,(véase el Anexo C para obtener más información acerca de la planificación de la auditoría.)Requisitos de exámenes de la gestión se basa en la información recopilada el implementado y operado ISMS. La información proporcionada a un equipo de examen de la gestión pueden incluir las siguientes:a) informes de incidentes durante el último período de operaciónb) verificación de la eficacia del control y se identificó la no conformidadc) Los resultados de otras verificaciones periódicas (más detalle si los controles han revelado los incumplimientos con política).d) recomendaciones para la Mejora del ISMS.Un plan de seguimiento deben documentar los resultados de la vigilancia que deben ser registrados y reportados a la gerencia (para información adicional sobre la supervisión véase el anexo E).© ISO/IEC 2010 - Todos los derechos reservados 41

ISO/IEC 27003:2010(E)

Salidael resultado de esta actividad de salida es un documento que resume el plan necesario para el examen de la gestión en los temas siguientes:a) los insumos necesarios para llevar a cabo una revisión de la administración de ISMSb) procedimientos para el examen de la gestión que abarca la auditoría y supervisión y medición de los aspectos deotra informaciónAnexo B - Roles y responsabilidades para la seguridad de la información delAnexo C - Información acerca de la auditoría internaANEXO E - Información acerca de la configuración de supervisión y medición9.4.2 Diseño sensibilización en seguridad de la información, la formación y la educación laactividad del programa deconcienciación en seguridad de la información, el programa de educación y capacitación deben ser desarrollados.

A) salida entrada de la Actividad 6.5 Integrar cada alcance y límites para obtener el alcance y límites de ISMS - El alcance y los límites del ISMSb) Resultado de la Actividad 6.6 Desarrollar la política de ISMS y obtener la aprobación de la gestión - La política de ISMSc) salida de la Actividad 7.2 Definir los requisitos de seguridad de la información ISMS el proceso, en particular las organizaciones requisitos de seguridad de la información para la capacitación y la educaciónd) resultado de la actividad 8.4 Obtener autorización para la gestión de la implementación y el funcionamiento de un SGSI- Declaración de aplicabilidad, incluyendo los objetivos de control y los controles seleccionadose) Salida desde la actividad 8.3 Seleccionar los objetivos de control y controles - plan de tratamiento de riesgosf) salida desde la actividad 9.2:3 Diseño de la política de seguridad de la informacióng) salida Desde la actividad 9.2.4 El color desarrollar normas y procedimientos de seguridad de la informaciónh) Descripción general de la organización de programas de educación y capacitación de

gestión de Orientación es el responsable de llevar a cabo la educación y la formación para asegurar que todo el personal que tienen asignada una función claramente definida tiene la competencia necesaria para realizar las operaciones necesarias. Idealmente, el contenido de la educación y la formación realizada debe ayudar a todo el personal debe conocer y entender el significado y la importancia de las actividades de seguridad de la información en la que están implicados y cómo pueden contribuir al logro de los objetivos de ISMS.Es importante asegurar en este punto que cada empleado dentro del ámbito de ISMS recibe la capacitación necesaria en materia de seguridad y/o la educación. En organizaciones grandes, un cuerpo único de material de formación generalmente no es suficiente, ya que contienen demasiada información que es relevante sólo para determinados tipos de trabajo, y por lo tanto será grande, compleja y difícil de usar. En estos casos, es conveniente tener diferentes conjuntos de material didáctico diseñado para cada gran tipo de papel, como los empleados de oficina, el personal de TI o controladores, que se adapte a sus necesidades específicas."ISO/IEC 42 © 2010 - Todos los derechos reservados

ISO/IEC 27003:2010(E)sensibilización en seguridad de la información de un programa de educación y capacitación deben asegurarse de que los registros de seguridad, la capacitación y la educación son generados. Estos registros deben ser revisadas periódicamente para asegurar q

ue todo el personal haya recibido la capacitación que necesitan. Un papel deben hacerse responsables de este proceso.Los materiales de capacitación sobre seguridad de la información debería ser diseñada para vincularse con otros materiales de capacitación utilizados por la organización, especialmente en los cursos de capacitación impartidos a los usuarios de sistemas de TI. Capacitación en aspectos relevantes de la seguridad de la información debe ser idealmente integrado en cada curso para los usuarios de TI.El material de capacitación sobre seguridad de la información debe contener los siguientes puntos como mínimo, según corresponda a la audiencia objetivo:a) los riesgos y amenazas sobre la seguridad de la informaciónb) los términos básicos de la seguridad de la informaciónc) definición clara de un incidente de seguridad: orientación en cuanto a cómo uno puede ser identificado y cómo deben tratarse con e informód) la política de seguridad de la información, normas y procedimientos de la organizacióne) responsabilidades y cauces para la presentación de informes relativos a la seguridad de la información en la organizaciónf) orientación sobre cómo ayudar en la mejora de la seguridad de la información g) orientación sobre incidentes de seguridad de la información y presentación de informesh) dónde obtener más información.Un equipo de formación de la seguridad de la información debe ser determinado que puede incluir las siguientes tareas:a) creación y gestión de registros de formación b) creación y gestión de materiales de capacitación,c) llevar a caboestas tareas de capacitación pueden ser asignados mediante la capacitación del personal existente. Pero el personal existente puede requerir sustancial de formación en seguridad de la información para asegurar que estos conceptos son presentados de forma eficaz y precisa.La importancia de la seguridad de la información, la formación y la educación programa debería incluir un procedimiento para garantizar que los materiales de capacitación se revisan y actualizan periódicamente. Una función debe indicarse explícitamente responsable de la revisión y actualización de los materiales de capacitación.Salida delos resultados de esta actividad son:a) sensibilización en seguridad de la información, educación y materiales de capacitaciónb) formación de concienciación en seguridad de la información, la educación y la formación como funciones y responsabilidadesc) planes de sensibilización en seguridad de la información, la educación y la formaciónd) registros reales mostrando los resultados de la sensibilización en seguridad de la información, la educación y la capacitación de los empleados otra informaciónninguna otra información específica.© ISO/IEC 2010 - Todos los derechos reservados 43

ISO/IEC 27003:2010(E)9.5 La elaboración de la versión definitiva del plan de proyecto de ISMS

ISMS Actividad el plan del proyecto debe finalizarse la inclusión de las actividades necesarias para implementar los controles seleccionados.

A) salida entrada de la Actividad 6.5 Integrar cada alcance y límites para obtener el alcance y límites de ISMS - El alcance y los límites del ISMSb) Resultado de la Actividad 6.6 Desarrollar la política de ISMS y obtener la aprobación de la gestión - La política de ISMSc) salida de la Actividad 9.2 - Diseño de la seguridad de la información organizacio

nal d) resultado de la Actividad 9.3 - Diseño físico de las TIC y la seguridad de la informacióne) Salida desde la Actividad 9.4 - Diseño de la seguridad de la información específica de ISMSf) ISO/IEC 27002:2005orientaciónlas actividades necesarias para implementar los controles seleccionados y efectuar otros ismos actividades conexas debe formalizarse en un plan de implementación detallado como parte del último proyecto de ISMS. El plan detallado de implementación también puede ser apoyado por descripciones de herramientas y métodos de aplicación propuesto. Como un SGSI Proyecto involucra diferentes roles en la organización, es importante que las actividades están claramente asignadas a las partes responsables, y que el plan es comunicada tanto en las fases iniciales del proyecto, y en toda la organización.Como con todos los proyectos, por supuesto, es fundamental que la persona responsable del proyecto asegura que se han asignado recursos suficientes al proyecto.

La entrega de la salida de esta actividad es el último proyecto del plan de implementación de ISMS.Otra información queninguna otra información específica.

ISO/IEC 44 © 2010 - Todos los derechos reservados

ISO/IEC 27003:2010(E) delAnexo A (informativo)Checklist DescriptionObjetivo:• Proporcionar una lista de actividades necesarias para establecer e implementar un SGSI • para apoyar el seguimiento del progreso de un SGSI aplicación • Mapa relacionado con las respectivas actividades de aplicación ISMS ISO/IEC 27001 Requisitos, actividad de aplicación de la norma ISO/IEC 27003 de referencia documentada la fase de referencia de salida alpaso de ISO/IEC 27003 ISO/IEC 27001 Número Paso 5 Previas obtención 1. Recopilar corporation business ninguna lista de corporation N/A objetivos de gestión los objetivos empresariales para la aplicación de la autorización 2. Lograr la comprensión existente de ninguna descripción de las N/un SGSI sistemas de gestión sistemas de gestión3. 5.2 definir objetivos, información 1, 2 Resumen de las N/A necesidades de seguridad, objetivos empresariales, las necesidades de información para la seguridad ISMS necesidades y requisitos empresariales para el ISMS 4. Recopilar reglamentación pertinente, ninguno Resumen de N/A y cumplimiento regulatorio de la industria, el cumplimiento de las normas aplicables a la corporación y los estándares de la industria que son aplicables a la corporación5. 5.3 Definición de ISMS preliminares 3, 4 Descripción de N/A alcance preliminar del alcance de los "ismos" (5.3.1)Definición de ISMOS N/A roles y responsabilidades (5.3.2)6. 5.4 Crear el caso de negocio y 5 caso de negocio y N/A el plan de proyecto para la administración propuso la aprobación del plan del proyecto7. 5.5 Obtener la aprobación de la administración de la aprobación de la gestión de 6 N/A y el compromiso de iniciar un proyecto para iniciar un proyecto para implementar un SGSI implementar un SGSIISO/IEC © 2010 - Todos los derechos reservados 45

ISO/IEC 27003:2010(E) laejecución de la actividad, la referencia de la norma ISO/IEC 27003 documentado elpaso de la fase de referencia de la salida de la norma ISO/IEC 27003ISMS Definición Número 6 8. 6.2 definira la organización ISO/IEC 27001 Paso pre-requisito 7 Ámbito de aplicación y límites de ISMS Política9. 6.3 Definir información• Descripción de 4.2.1.a) organizacionales (parcialmente) Límites• funciones y estructura de la Organización• intercambio de información a través de límites• procesos de negocio y las responsabilidades de los activos de información del alcance y fuera del alcance decomunicación 7 tecnología • Descripción de las TIC 4.2.1.a)límites10. 6.4 definir los límites físicos 7límites (parcialmente)• Descripción de los sistemas de información y de redes de telecomunicaciones, describiendo el interior y el exterior del ámbito11. 6.5 Límites para finalizar• Descripción de ISMS 4.2.1.a) física (parcialmente) los límites del ISMS• Descripción de la organización y sus características geográficas que describe el ámbito interno y externo de8, 9, 10, un documento que describa el alcance12. 6.6 Desarrollar la política de ISMS 11 Gestión homologado4.2.1.a) el alcance y los límites del ISMS4.2.1.b)46

política de ISMSISO/IEC © 2010 - Todos los derechos reservados

actividad de implementación, haga referencia a la norma ISO/IEC 27003ISO/IEC 27003:2010(E)Fase de salida de referencia documentadospaso ISO/IEC 27003 número7 Realización de 13. 7.2 definir la seguridad de la información 12de ISO/IEC 27001 Paso pre-requisitos de organización necesaria apoyar el • La lista de los principales N/AISMS Análisis14. 7.3 Identificar los activos dentro de los 13procesos, funciones, ubicación, sistemas de información, redes de comunicación Organización N/A abordar los requisitos de confidencialidad, disponibilidad e integridadde la Organización 4.2.1.c) 1) abordar los requisitos legales y reglamentarios parcialmente, contractuales y requisitos de seguridad de la información empresarial Lista de los conocidos 4.2.1.d) vulnerabilidades de los 3) organizaciónalcance ISMSISO/IEC © 2010 - Todos Los Derechos ReservadosDescripción de los principales N/A los procesos de la organización Identificación de 4.2.1.d) de activos de información 1) los principales procesos de la organizaciónN/A procesos críticos/activos clasificación47

ISO/IEC 27003:2010(E) laejecución de la actividad, la referencia de la norma ISO/IEC 27003 documentado elpaso de la fase de referencia de la salida de la norma ISO/IEC 27003 número15. 7.4 Generar una información 14de ISO/IEC 27001 Paso Pre- necesarios deseguridad evaluación8 Realización de riesgo 16. 8.2 Realizar evaluación del riesgo 15• Documento de 4.2.1.e) 2) la organización información real parcialmente el estado de la seguridad y la evaluación, incluida la información existente en los controles de seguridad• El documento de la organización examinó y evaluó las deficiencias deevaluación y selección de las opciones de tratamiento del riesgo17. 8.3 Seleccionar los objetivos de control 16• Margen de riesgo 4.2.1.c) evaluación 1)• Aprobó la metodología de evaluación de riesgos, alineado con la organización de la gestión estratégica de riesgos de contexto• criterios de aceptación de riesgosdocumentados de alto nivel 4.2.1.e) y18 controles. 8.4 Obtener la aprobación de la gestión deevaluación de riesgos 3) parcialmente;Identificar la necesidad de N/A adicionales en profundidad la evaluación del riesgodocumentado en profundidad 4.2.1.e) evaluación de riesgos 3) parcialmentelos resultados agregados de N/17 una evaluación del riesgo para la implementación de un ISMS riesgos y sus 4.2.1.f)48

identifica las opciones para el tratamiento de riesgos control seleccionado 4.2.1.g) Objetivos y controles para la reducción del riesgo© ISO/IEC 2010 - Todos los derechos reservados

actividad de implementación, haga referencia a la norma ISO/IEC 27003ISO/IEC 27003:2010(E)Fase de salida de referencia documentadospaso ISO/IEC 27003 número19. Aprobación de la gestión residualde la ISO/IEC 27001 Paso Previas 18 riesgos documentados20. Gestión de autorización a 19 documentados4.2.1.h) la aprobación de la gestión de los riesgos residuales propuestos (debe ser resultado de 8.4)implementar y operar el ISMS 4.2.1.i) gestión21. Preparar declaración de aplicabilidad 18 Declaración deautorización para implementar y operar el ISMS (debe ser resultado de 8.4)4.2.1.j)9 Diseñar el 22. 9.2 Diseño de seguridad organizativa 20Aplicabilidad deestructura de la Organización, los "ismos"

23. 9.3 Diseño físico y TIC 20, 215.1.c) y la seguridad de la información relacionada con sus funciones y responsabilidades• Identificación de documentación relacionada con el ISMS 4.3• plantillas para registros de ISMS y las instrucciones para su uso y almacenamiento de la

seguridad de la información documento normativo ISO/IEC 27002; 5.1.1Base de políticas y procedimientos de seguridad de la información (y, si procede, los planes para el desarrollo de políticas específicas, procedimientos, etc.)Seguridad© ISO/IEC 2010 - Todos los derechos reservados• Aplicación 4.2.2.c) planes de proyecto para la implementación del proceso parcialmente para determinados controles de seguridad física para las TIC y la seguridad de la información49

ISO/IEC 27003:2010(E) laejecución de la actividad, la referencia de la norma ISO/IEC 27003 documentado elpaso de la fase de referencia de la salida de la norma ISO/IEC 27003 número

24. 9.4 Diseño específico de ISMS 22, 23 procedimientos que describena ISO/IEC 27001 Paso previas a laseguridad de la información25.26.

27. 9.5 La elaboración de la versión definitiva del ISMS 25 aprobados de gestión N/A7.1 la notificación y los procesos de revisión administrativa• descripciones de 4.2.3.a), auditoría y supervisión parcialmente 4.2.3.b) midiendo parcialmente; 6

• Un programa de sensibilización y formación 5.2.2plan de proyecto

28. El último plan de proyecto ISMS ISMS 28 unplan de proyecto de implementación de la organización de los procesos de ejecución

50

N/un plan de proyecto de implementación específico que abarca la ejecución prevista de las actividades de la organización, las tecnologías de la información y física, así como la seguridad de la información ISMS requisitos específicos para la implementación de un SGSI de acuerdo a los resultados de las actividades contempladas en la norma ISO/IEC 27003ISO/IEC © 2010 - Todos los derechos reservados

ISO/IEC 27003:2010(E) delanexo B (informativo)Funciones y responsabilidades para la seguridad de la información elpresente Anexo proporciona orientación adicional sobre los roles y responsabilidades dentro de una organización relativos a la seguridad de la información. Los roles están dados en la primera vista organizativa para implementar un SGSI. Una tabla resume esta información y presenta ejemplos generales de roles y responsabilidades.1. Papel del Comité de Seguridad de la InformaciónEl comité de seguridad de la información debe tener un papel de liderazgo en el SIVS en una organización. El comité de seguridad de la información deben ser responsables de la gestión de los activos de información de la organización, y debería tener un conocimiento suficiente de la seguridad de la información para dirigir, supervisar y completar las tareas necesarias.

Los siguientes son ejemplos de las posibles funciones del comité de seguridad de la información:a) la realización de la gestión de riesgos, estableciendo el plan de ismos documentos, siendo el responsable de determinar el contenido de estos documentos y adquirir la aceptación de la direcciónb) planificar la adquisición de nuevos equipos y/o decidir sobre la reutilización de los equipos existentes que la organización ya poseec) manejar cualquier problema que pueda surgird) considerando las mejoras derivadas de la siguiente ejecución y medición de los ismos e) dar una orientación estratégica a los ismos (tanto durante la ejecución del proyecto y en funcionamiento), yf) el enlace entre la gerencia y el equipo del proyecto de implementación de seguridad de la información y las personas.2. Funciones para el equipo de planificación de la seguridad de la información,el equipo del proyecto responsable de los "ismos", cuando la planificación del proyecto, debe ser atendido por los socios que poseen un amplio conocimiento de los importantes activos de información dentro del ámbito de ISMS y tienen el conocimiento suficiente para considerar cómo manejar esta información. Por ejemplo, al determinar cómo manejar los activos de información, podría haber diferentes opiniones entre departamentos dentro de la ISMS alcance, de modo que podría ser necesario ajustar los efectos positivos y negativos del plan. El equipo del proyecto es necesario para trabajar como coordinador de los conflictos más allá de los límites departamentales. Para ello, sus miembros necesitan habilidades de comunicación fundada sobre sus experiencias y habilidades de coordinación, así como altos niveles de conocimientos acerca de la seguridad.3. Los especialistas y consultores externos queuna organización debe seleccionar miembros para el ejercicio de las funciones anteriores (si es posible, los miembros con una función exclusiva) antes de establecer el ISMS. Sin embargo, los miembros deben tener amplio conocimiento y experiencia en el campo de la seguridad de la información tales como "ella", "decisiones administrativas" y "una comprensión de la organización".Las personas responsables de determinadas operaciones de una organización pueden conocer mejor sus campos específicos. Los muchos especialistas que son expertos en campos específicos de su organización debe ser contemplado en términos de "ismos" en lo que se refiere a su uso en sus campos específicos. Es importante también tener un balance de esta experiencia con el amplio conocimiento necesario para cumplir los objetivos de la organización. Los consultores externos pueden dar consejos basados en sus puntos de vista macroscópico de una organización y la experiencia de otras ocasiones similares, aunque generalmente no tienen necesariamente un conocimiento profundo acerca de los detalles de la organización y los detalles operativos de una organización. Los términos que se utilizan en los ejemplos anteriores, tales como el Comité de Seguridad de la información y el equipo de planificación de la seguridad de la información, no son importantes. Sólo la función de cada estructura© ISO/IEC 2010 - Todos los derechos reservados 51

ISO/IEC 27003:2010(E)debe ser entendida. Idealmente debe haber estructuras internas para coordinar la organización de la seguridad de la información, comunicarse y trabajar estrechamente con cada departamento técnico.4. Los propietarios de activos de información deuna persona debe ser nombrado para cada proceso de organización y especialista de aplicación; esta persona actúa como la denominada "información de propietarios de activos" para todas las cuestiones de seguridad de la información relativa al procesamiento de datos dentro de este proceso de organización. La persona de contacto o propietario del proceso es responsable, por ejemplo, en el caso de delegar tareas y manejo de información dentro de la organización, los procesos a los que se les hay

a asignado.En caso de compartir los riesgos, la evitación del riesgo y el riesgo de retención, las acciones necesarias deben ser tomadas de los aspectos de seguridad de la organización. Si se ha tomado la decisión de transferir los riesgos, las medidas deben ser adoptadas, mediante contratos, acuerdos de seguro y la estructura organizacional como la colaboración y joint ventures.Figura B.1 muestra un ejemplo de la estructura organizacional para el establecimiento del ISMS. Las principales funciones y responsabilidades de la organización que se dan a continuación están basadas en este ejemplo.

Gestióny emitir una carta de nombramiento y respaldar lainformación del comité de seguridady ajuste y apoyar laplanificación de la seguridad de la información equipo de especialistas consultores externosdel sistema aconsejan departamento administrativo recursos humanos departamento deauditoría contable departamento de edificios e instalaciones del departamento de gestión de la

Figura B.1 - Ejemplo de estructura organizacional para establecer el ISMS lainteracción con la organización atodas las partes implicadas deberían revisar y estar muy familiarizado con las necesidades actuales en materia de protección de los activos de la organización. Participación en el análisis organizacional debe incluir individuos que poseen un profundo conocimiento de la organización y el entorno en el que opera. Estas personas deberían ser seleccionados para representar a un amplio espectro de toda la organización e incluyen:a) el personal directivo superior (p. ej. COO y CFO)b) los miembros del Comité de Seguridad de la informaciónc) miembros del equipo de planificación de la seguridad de la informaciónd) los gerentes de línea (por ejemplo, jefes de unidad de organización)ISO/IEC 52 © 2010 - Todos los derechos reservados

ISO/IEC 27003:2010(E)e) propietarios de proceso (es decir, representan importantes áreas operacionales)f) especialistas y consultores externosejemplos de funciones y responsabilidades generales relativos a la seguridad de la informaciónLa seguridad de la información es una gran área que afecta a toda la organización. Como tal, define claramente las responsabilidades en materia de seguridad son esenciales para una implementación exitosa. Como las funciones y responsabilidades conexas de seguridad varían, la comprensión de las distintas funciones es fundamental para comprender algunas de las actividades que se describen más adelante en esta norma internacional. La siguiente tabla describe las funciones y responsabilidades relacionadas con la seguridad. Cabe señalar que estas funciones son de carácter general y descripciones específicas son necesarios para cada aplicación individual de un SGSI.Cuadro B.1 - Lista de ejemplifica de roles y responsabilidades para lafunción de seguridad de la información Breve descripción de ResponsabilidadPersonal Directivo (p. ej. COO, CEO, visión de futuro, las decisiones estratégicas y coordina las actividades de las OSC directo y CFO) y control de la organización.Los gerentes de línea tiene la responsabilidad superior para funciones de organización.El jefe oficial de seguridad de la información tiene la responsabilidad global y g

estión de seguridad de la información para garantizar el correcto manejo de los activos de información.Comité de Seguridad de la información (miembros activos y el manejo de la información tiene un papel rector para la de ISMS) en la organización.El equipo de planificación de la seguridad de la información durante las operaciones mientras se está creando el ISMS. (miembro del equipo de planificación) funciona a través de los departamentos y resuelve los conflictos hasta el SGSI está establecido.Las partes interesadas en el contexto de las descripciones de otras funciones relativas a la seguridad de la información, el interesado es principalmente aquí definido como personas y órganos fuera de las operaciones normales, como la junta, propietarios (tanto en términos de organización de propietarios si la organización es parte de un grupo o una organización gubernamental, y/o propietarios directos tales como accionistas de una organización privada). Otros ejemplos de los interesados podrían ser compañías afiliadas, clientes, proveedores o más organizaciones públicas, tales como organismos de control financiero gubernamental o bolsa correspondiente, si la organización está en la lista.Administrador del sistema el administrador del sistema es responsable de un sistema de TI.IT Manager El administrador de todos los recursos de TI (p. ej. Director de departamento de TI)La seguridad física de la persona responsable de la seguridad física, por ejemplo, edificios, etc., a menudo referido como un gerente de las instalaciones.La gestión del riesgo de la persona o personas responsables de la organización del marco de gestión de riesgos la evaluación de riesgos, incluyendo el tratamiento de riesgos y monitoreo de riesgos.Asesor jurídico de muchos riesgos de seguridad de la información tiene aspectos jurídicos y el asesor jurídico es responsable de tomar esto en cuenta.Recursos humanos La persona o personas con responsabilidad general para el personal.© ISO/IEC 2010 - Todos los derechos reservados 53

ISO/IEC 27003:2010(E)Función Breve descripción de responsabilidad archivar todas las organizaciones tienen archivos que contienen la información vital que necesita ser almacenado para el largo plazo. La información puede encontrarse en varios tipos de medios y una persona específica debe ser responsable de la seguridad de su almacenamiento.Si los datos personales exigidos por la legislación nacional, puede haber una persona responsable de la junta de inspección de datos de contacto o similar organización oficial que supervisa la integridad personal y a cuestiones de privacidad.Desarrollador de sistemas si una organización desarrolla sus propios sistemas de información, alguien tiene la responsabilidad de este desarrollo.Especialista / Experto Los especialistas y expertos responsables de algunas de las operaciones de una organización debe ser contemplado en términos de su intención acerca de ismos asuntos en lo que se refiere a su uso en sus campos específicos.Consultor externo de consultores externos pueden dar consejos basados en sus puntos de vista macroscópico de una organización y experiencia en el sector.Sin embargo, los consultores pueden no tener el conocimiento profundo de la organización y el funcionamiento de la organización.Empleado / Personal / Usuario Cada empleado es igualmente responsable por mantener la seguridad de la información en el lugar de trabajo y en su entorno.Auditor el auditor es responsable de evaluar y valorar el ISMS.El Trainer implementa programas de capacitación y sensibilización.Es Local o es responsable de una organización más grande a menudo hay alguien en la organización local que tiene la responsabilidad local de asuntos y, posiblemente, para la seguridad de la información.

Campeón (persona influyente) Este no es un papel responsable como tal, sino en una organización más grande puede ser de gran ayuda en la fase de ejecución, para que las personas que tienen un conocimiento profundo acerca de la aplicación de un SGSI y puede apoyar el entendimiento y las razones detrás de la aplicación. Pueden influir en la opinión de una manera positiva y también puede ser llamado "embajadores".

ISO/IEC 54 © 2010 - Todos los derechos reservados

ISO/IEC 27003:2010(E) delanexo C (informativo)Información acerca de la auditoría interna elpresente Anexo proporciona orientación adicional para apoyar la planificación de la auditoría.La aplicación de un SGSI debe evaluarse a intervalos regulares por medio de auditorías internas e independientes. Estos también sirven al propósito de reunir y evaluar las experiencias en la práctica cotidiana.Con el fin de implementar un SGSI los formularios de auditoría tienen que planificarse.En una auditoría de ISMS, auditoría de resultados debe ser determinado con base en la evidencia. Por lo tanto, algún tiempo de longitud adecuada durante el ISMS operaciones deben ser asignados a recoger las pruebas oportunas.Un ISMS internas de auditoría debería ser aplicado y ejecutado con regularidad para evaluar si los objetivos de control, controles, procesos y procedimientos de la ISMS se ajustan a los requisitos de la norma ISO/IEC 27001 y leyes o reglamentos pertinentes, conforme a los requisitos de seguridad de la información identificadas, y se implementan de forma eficaz y mantenida.No obstante, la selección de los auditores ISMS internas puede ser difícil para las pequeñas empresas. Si no hay suficientes recursos para tener estos tipos de auditorías realizadas por experimentados miembros del personal interno, expertos externos, por el contrario, deben ser acusados de realizar actividades de auditoría.Cuando las organizaciones utilizan auditores externos, debe considerarse lo siguiente: auditores externos son familiarizarse con el ISMS auditorías internas; sin embargo, pueden no tener suficiente conocimiento sobre el ambiente organizacional de la organización. Esta información debe ser suministrada por el personal interno. Por otra parte, los auditores internos pueden ser capaces de realizar auditorías detalladas considerando el ambiente organizacional de la organización, pero es posible que no tenga suficientes conocimientos sobre la realización de auditorías de ISMS. Las organizaciones deben reconocer las características y las posibles deficiencias de los auditores internos y externos de llevar a cabo las auditorías internas al ISMS.La eficacia y la eficiencia de los controles implementados (véase ISO/IEC CP: 27004:2009) deberán examinarse en el ámbito de las auditorías internas.Es importante que ninguna de las auditorías se realizan por aquellos individuos que estuvieron involucrados en la planificación y el diseño de los objetivos de seguridad, porque es difícil encontrar los errores propios. Por lo tanto, unidades de organización o individuos que están fuera del alcance de las auditorías de ISMS internas deben ser seleccionados como los auditores de la administración. Estos auditores debe planificar, realizar y presentar informes y seguimiento de las auditorías internas al ISMS para adquirir el compromiso de la administración. Dependiendo del tamaño de la organización, podría ser útil llamar a auditores externos para evitar la situación en la cual los funcionarios ser cegado a su propio trabajo.En un SGSI auditoria interna, debe comprobarse que el ISMS está siendo operados y mantenidos, y como se espera. Los auditores deben tener el estado y la importancia de los objetivos de gestión, controles de procesos y procedimientos para ser auditados en cuenta al planificar un programa de auditoría, así como los resultados de auditorías anteriores.

En la realización de una auditoría, los criterios aplicables, el alcance, la frecuencia y el método de la auditoría debe ser documentado.La objetividad e imparcialidad del proceso de auditoría debe estar garantizada cuando los auditores están seleccionados. Un auditor es necesario tener las siguientes competencias al llevar a cabo la serie de procesos de auditoría:a) planificar y llevar a cabo la auditoría b) informar los resultadosc) proponer acciones correctivas y preventivas, etc.© ISO/IEC 2010 - Todos los derechos reservados 55

ISO/IEC 27003:2010(E)Además, la Organización está obligada a definir las responsabilidades de los auditores y la serie de procesos para la auditoría en el proceso de documentación.Un gerente que es responsable de un proceso que está siendo auditado debe asegurar que las no conformidades y sus causas son debidamente atendidas sin demora. Sin embargo, esto no significa que el inconformismo necesariamente debe corregirse de inmediato. Además, las acciones correctoras realizado debería incluir una verificación de la acción que ha tomado y un informe de los resultados de la verificación.Desde el punto de vista de la gobernanza, los ismos auditoría interna puede realizarse efectivamente como parte de, o en colaboración con otras auditorías internas de la organización. Al realizar la auditoría, es una buena idea para referirse a "Requisitos de organismos de auditoría y certificación de ISMS ISO/IEC 27005:2007".

ISO/IEC 56 © 2010 - Todos los derechos reservados

ISO/IEC 27003:2010(E)Anexo D (informativo)Estructura de políticasEste anexo proporciona orientación adicional sobre la estructura de políticas, incluida la política de seguridad de la información.En general, una declaración de política general de intención y dirección como expresó oficialmente por la administración (véase la FCD 27000 e ISO/IEC 27002). El contenido de una política que guía las acciones y decisiones relativas al tema de la política. Una organización puede tener un número de políticas; uno para cada una de las áreas de actividad que es importante para la organización. Algunas políticas son independientes uno del otro, mientras que otras políticas tienen una relación jerárquica. En el ámbito de la seguridad, las políticas son comúnmente organizados jerárquicamente. Normalmente, la política de seguridad de la organización es el nivel más alto en la política. Esto es apoyado por una serie de políticas más específicas, incluida la política de seguridad de la información y la política del sistema de gestión de la seguridad de la información. A su vez, la política de seguridad de la información puede ser respaldada por una serie de políticas más detalladas sobre temas específicos relacionados con aspectos de la seguridad de la información. Algunos de éstos se discuten en ISO/IEC 27002, por ejemplo, la política de seguridad de la información es apoyado por las políticas de control de acceso, escritorio despejado y borrar la pantalla, el uso de servicios de red, y el uso de controles criptográficos. Es posible que las capas adicionales de políticas puede ser añadido en algunos casos. Este arreglo se muestra en la figura D1.

Políticas Generales de alto nivel ej. política de seguridad, política de privacidad, política de marketing, desarrollo de productos dealto nivel de política políticas específicas para cada tema por ejemplo la política de seguridad de la información

Las políticas detalladas por ejemplo la directiva de control de acceso, el escritorio despejado y clara pantalla Uso de la política de uso de la política de los servicios de red de controles criptográficos políticafigura D.1 - La jerarquía normativaISO/IEC 27001 requiere que las organizaciones tengan una política de ISMS y una política de seguridad de la información. No es, sin embargo, especificar una relación particular entre estas políticas. Requisitos para la política de ISMS figuran en las cláusulas 4.2.1 de la norma ISO/IEC 27001. Directrices para las políticas de seguridad de la información se da en la cláusula 5.1.1 de la norma ISO/IEC 27002. Estas políticas pueden ser desarrolladas como peer políticas, la política de ISMS puede estar subordinado a la política de seguridad de la información, o la política de seguridad de la información puede estar subordinado a la política de ISMS.© ISO/IEC 2010 - Todos los derechos reservados 57

ISO/IEC 27003:2010(E)El contenido de las políticas se basa en el contexto en el que la organización opera. Concretamente los siguientes deben ser considerados a la hora de desarrollar cualquier política dentro del marco de políticas.1) Las metas y los objetivos de la organización 2) estrategias adoptadas para lograr sus objetivos,3) La estructura y los procesos adoptados por la organización 4) Metas y objetivos relacionados con el tema de la política5) Los requisitos de las directivas de nivel superior relacionado conesto se muestra en la figura D.2.Las estrategias de la organizaciónlos requisitos de la organización de la política sobre un tema de alto nivel objetivos objetivos y políticas de alto nivel dela organización los objetivos de la organización y la estructura y los objetivos de los procesos en el ámbito de la política la

figura D.2 - Insumos para el desarrollo de una política quelas directivas pueden tener la siguiente estructura:1. Resumen de política - una o dos frase resumen. (Esto a veces puede ser fusionado con la introducción.) 2. Introducción: una breve explicación del tema de la política.3. Alcance: describe las piezas o las actividades de una organización que son afectados por la política. Si es pertinente, la cláusula de ámbito enumera otras políticas que son compatibles con la política.4. Objetivos: describe la intención de la directiva.5. Principios - describe las normas relativas a las acciones y decisiones para alcanzar los objetivos. En algunos casos puede ser útil para identificar los procesos clave relacionados con el tema de la política y las normas para el funcionamiento de los procesos.6. Responsabilidades: describe quién es responsable de las acciones para cumplir los requisitos de la directiva. En algunos casos esto puede incluir una descripción de la estructura organizativa, así como las responsabilidades de las personas con funciones designadas.7. Principales resultados - Describe los resultados de negocio si los objetivos se cumplen.8. Políticas relacionadas: describe otras políticas pertinentes para el logro de los objetivos, generalmente mediante el suministro de información adicional sobre temas específicos.ISO/IEC 58 © 2010 - Todos los derechos reservados

ISO/IEC 27003:2010(E)NOTA : el contenido de la política pueden ser organizados en una variedad de maneras. Por ejemplo, organizaciones que hacen hincapié en las funciones y responsabilidades puede simplificar la descripción de los objetivos y aplicar los principios específicamente a la descripción de las responsabilidades.El siguiente es un ejemplo de una política de seguridad de la información, mostrando su estructura y contenido de ejemplo.La política de seguridad de la información (Ejemplo)Resumen de política deinformación debe estar siempre protegido, cualquiera que sea su forma y sin embargo, es compartida, comunicados o almacenados.Introducción Lainformación puede existir en muchas formas. Puede ser impresa o escrita en papel, almacenada electrónicamente, transmitida por correo o utilizando medios electrónicos, mostrada en filmes o hablada en conversación.Seguridad de la información es la protección de la información de una amplia gama de amenazas a fin de asegurar la continuidad del negocio, minimizar los riesgos empresariales y optimizar el retorno sobre las inversiones y oportunidades de negocio.Ámbito de aplicación Lapresente política apoya la política general de seguridad de la organización.Esta política se aplica a todos los de la organización.

1) Los objetivos de seguridad de la información estratégica y operativa de los riesgos de la seguridad de la información son entendidas y tratadas para ser aceptables para la organización.2) La confidencialidad de la información de los clientes, planes de marketing y desarrollo de producto está protegido.3) La integridad de los registros contables se conserva.4) servicios web públicos y redes internas cumplan determinados criterios de disponibilidad.Principios de la seguridad de la información1) Esta organización fomenta la toma de riesgos y tolera los riesgos que podrían no ser tolerada en manejados conservadoramente organizaciones proporcionaron esa información riesgos son entendidos, monitoreados y tratados cuando sea necesario. Detalles sobre el enfoque adoptado para la evaluación del riesgo y el tratamiento se encuentran en la política de ISMS.2) Todos los funcionarios deberán ser conscientes y responsables de la seguridad de la información pertinente a su función de trabajo.3) se deberá prever la información sobre financiación de controles de seguridad en las operaciones y procesos de gestión de proyectos.4) Las posibilidades de fraude relacionados con el abuso de los sistemas de información será tenida en cuenta en la gestión global de los sistemas de información.5) los informes de estado de la seguridad de la información estará disponible.6) los riesgos de la seguridad de la información serán supervisadas y medidas adoptadas cuando los cambios resultan en riesgos que no son aceptables.7) Criterios para la clasificación de los riesgos y la aceptabilidad del riesgo se encuentran en la política de ISMS.8) Situaciones que podría colocar a la organización en violación de las disposiciones legales y reglamentarias no será tolerado.© ISO/IEC 2010 - Todos los derechos reservados 59

ISO/IEC 27003:2010(E)Responsabilidades1) El equipo directivo es responsable de asegurar que se atienda adecuadamente l

a seguridad de la información en toda la organización.2) Cada gerente es responsable de asegurar que las personas que trabajan bajo su control, proteger la información es de conformidad con las normas de las organizaciones.3) El oficial jefe de seguridad asesora al equipo directivo, ofrece asistencia técnica especializada para el personal de la organización y asegura que la información de informes sobre el estado de la seguridad están disponibles.4) Cada miembro del personal tiene responsabilidades de seguridad de la información como parte de su trabajo.Principales resultados1) incidentes en la seguridad de la información no resultará en graves y gastos inesperados o grave perturbación de los servicios y actividades empresariales.2) las pérdidas por fraude será conocido y dentro de los límites aceptables.3) la aceptación del cliente de los productos o servicios no se verán afectados negativamente por las preocupaciones sobre la seguridad de la información.Las políticas relacionadas conlas siguientes políticas detalladas proporcionan principios y orientaciones sobre aspectos específicos de la seguridad de la información.1) el Sistema de Gestión de seguridad de la Información (SGSI) política2) la política de control de acceso3) el escritorio despejado y clara pantalla política4) el software no autorizado5) política la política relativa a la obtención de archivos de software desde o a través de redes externas,6) la política relativa al código móvil7) la política de copia de seguridad8) la política relativa al intercambio de información entre organizaciones 9) la política sobre el uso aceptable de los servicios electrónicos de comunicación10) la política de retención de registros11) la política sobre el uso de los servicios de red12) la política relativa a la comunicación y la informática móvil13) la política de teletrabajo14) la política sobre el uso de controles criptográficos15)16) la directiva de cumplimiento de la política de licencias de software 17) la política sobre software18) eliminación de la política de privacidad y protección de datosISO/IEC 60 © 2010 - Todos los derechos reservados

ISO/IEC 27003:2010(E)Todas estas políticas de apoyo:• Identificación de riesgos, proporcionando una base de controles, que pueden ser utilizados para identificar las lagunas en los diseños e implementaciones de sistemas; y• Tratamiento de riesgos mediante el apoyo a la identificación de tratamientos para identificar vulnerabilidades y amenazas.Identificación de riesgos y el tratamiento de riesgos son ambos procesos definidos en la sección de principios de la política. Consulte la política de ISMS para más detalles.

© ISO/IEC 2010 - Todos los derechos reservados 61

ISO/IEC 27003:2010(E) delAnexo E (Informativo)Supervisión y medición deeste anexo proporciona orientación adicional para apoyar la planificación y el diseño de la supervisión y la evaluación.Información sobre la configuración de supervisión y medición dela concepción de la ISMS incluye requisitos específicos de seguridad del programa de seguimiento y medición de los ismos que admite la administración revisar eldiseño de seguimiento la

figura E.1 - Control de flujo de proceso depreparación y coordinación: Identificación de activos relevantes para la supervisióndebe señalarse que la vigilancia es un proceso continuo y, como tal, el diseño debe tomar en consideración el conjunto del proceso de supervisión, así como el diseño de la supervisión efectiva de las necesidades y actividades. Estas actividades deben ser coordinadas, que es parte del diseño.Basándose en la información anterior establecida por el alcance y los activos definidos, en combinación con los resultados de los análisis de riesgos y la selección de los controles, los objetivos de la vigilancia puede ser definido. Estos objetivos deben incluir:• ¿Qué para detectar• Cuando• contra lo que,en términos prácticos, las actividades organizacionales establecidos previamente y/procesos vinculados activos son el ámbito básico para la supervisión (la viñeta "Contra qué" más arriba). El diseño de la supervisión, una selección puede ser necesaria para cubrir los bienes importantes desde un punto de vista de la seguridad de la información. El examen también debe ser hecha para el tratamiento de riesgos y la selección de los controles con el fin de encontrar qué debe ser monitoreado en los activos y actividades de la organización vinculados/procesos. (Esto establecerá tanto para detectar qué y cuándo.)ISO/IEC 62 © 2010 - Todos los derechos reservados

ISO/IEC 27003:2010(E)como la supervisión puede tener aspectos jurídicos, es esencial que el diseño de la supervisión es seleccionada, por lo que no tendrá consecuencias legales.Para asegurarse de que la supervisión es realmente eficaz, es importante coordinar y realizar el diseño final de todas las actividades de vigilancia.Las actividadesde vigilancia a fin de mantener el nivel de seguridad de la información, los controles de seguridad de la información identificadas como sea apropiado debería ser aplicado correctamente; los incidentes de seguridad deben ser detectados y respondió de manera oportuna, y el rendimiento del sistema de gestión de seguridad de información deben ser controlados regularmente. Deben realizarse controles periódicos para ver si todos los controles se están aplicando y ejecutando según lo previsto en el concepto de seguridad de la información. Esto debería implicar comprobando que los controles técnicos (por ejemplo, en lo que respecta a la configuración) y los controles de organización (por ejemplo, procesos, procedimientos y operaciones) se cumplen.Los cheques deben estar dirigidas principalmente a corregir defectos. Si los controles son para ser aceptada, es importante que esta motivación es reconocido por todos los involucrados como el objetivo de los controles. Es importante discutir las posibles soluciones a los problemas con los participantes durante una comprobación y pre-preparar remedios apropiados.Los cheques deben prepararse cuidadosamente para asegurar que puedan alcanzar sus objetivos de forma tan eficiente como sea posible mientras que, al mismo tiemp

o, causando la menor interrupción posible en la rutina laboral. La aplicación general de los controles deben ser coordinadas por adelantado con la gerencia. Las actividades de diseño se puede concluir en tres formas básicas:• Informes de incidentes• Verificación o la no conformidad de la funcionalidad de control• Otras comprobaciones regularesademás, los resultados de las actividades deben ser diseñadas en términos de cómo se hacen los registros y la información dada a la gestión. Documentación formal debe ser hecha para describir el diseño y cubriendo las actividades de principio y de su finalidad, así como las distintas responsabilidades.Requisitos para la vigilancia de los resultadosLos resultados son:a. Los registros de las actividades de vigilancia en el nivel requerido de detallecomo resultado de las actividades de vigilancia, un informe de gestión debe ser proporcionada. Gestión de toda la información que necesita para cumplir sus funciones de gestión y supervisión deben ser contabilizados con el nivel requerido de detalle.b. Información a la gerencia para la toma de decisiones cuando sea necesario para la adopción de medidas inmediatasinformes de gestión siempre debe terminar con una lista de acciones recomendadas, claramente priorizados, junto con una evaluación realista de los costes previstos de ejecución de cada una de estas acciones.Esto garantiza que las decisiones necesarias se pueden obtener de la gestión sin demora indebida.Configurar la seguridad de la informaciónDescripción del programa de medición para el diseño de un programa de medición de la seguridad de la informaciónEl proceso de medición debe integrarse perfectamente en el SIVS ciclo del proyecto u organización, y utilizado para llevar a cabo la mejora continua de los procesos relacionados con la seguridad y los resultados de ese proyecto u organización. Esto se conoce como un programa de medición de la seguridad de la información (ISO/IEC CP: 27004:2009).El diseño del programa debe considerarse en la perspectiva del ciclo de ISMS. La siguiente figura muestra cómo el proceso de medición encaja dentro del ciclo de ISMS.© ISO/IEC 2010 - Todos los derechos reservados 63

ISO/IEC 27003:2010(E)Las funciones siguientes son necesarios de los sistemas de gestión para garantizar la satisfacción de las expectativas y las cosas necesarias, como la estructuración del PDCA necesarios; medición de la validación de los resultados y su eficacia; y proporcionar retroalimentación de los resultados de medición para el gestor de los procesos.A fin de tener las medidas adecuadas en el lugar, previamente generado información es esencial, especialmente:a) la política de ISMS, incluido el alcance y límitesb) El resultado de la evaluación del riesgoc) la selección de los controles d)e) Los objetivos de control específicos de los objetivos de seguridad de la informaciónf) Procesos especificados y recursos y su clasificación, laAdministración debería establecer y mantener un compromiso con un proceso de medición. En la ejecución de un proceso de medición, la administración deberá:a) aceptar los requisitos de medición; véase ISO/IEC CP: 27004:2009 para obtener más detalles. b) Preste atención a las necesidades de información, véase ISO/IEC CP: 27004:2009 para obtener más detalles.c) obtener el compromiso del personal por los siguientes:

• La organización debe demostrar su compromiso mediante, por ejemplo, una medida política para la organización, asignación de responsabilidades y deberes, la capacitación y la asignación de presupuesto y otros recursos.• una persona o unidad organizativa responsable de programa de medición debe ser asignado.• La persona o unidad organizativa responsable de comunicar la importancia de medición de ISMS y resultados de toda la organización para asegurar su aceptación y utilización, y debería tener el apoyo de la dirección.• Asegúrese de que el ISMS mide los datos se recopilan, analizan y comunicó a los CIO y otros interesados.• Educar a los gerentes de línea del programa sobre el uso de los resultados de medición de ISMS de políticas, asignación de recursos y las decisiones presupuestarias.El programa de medición de la seguridad de la información y el diseño debería incluir las siguientes funciones:a) el personal directivo superiorb) Los usuarios de los productos de seguridadc) las personas a cargo de los sistemas de información d) las personas a cargo de la seguridad de la información deun programa de medición de la seguridad de la información se estableció con el fin de obtener indicadores de la efectividad de los ismos, objetivos de control y controles. El programa está descrito en la norma ISO/IEC CP: 27004:2009.El resultado de la fase de planificación adecuado las mediciones deben realizarse para cumplir con estos objetivos.ISO/IEC 64 © 2010 - Todos los derechos reservados

ISO/IEC 27003:2010(E)un adecuado programa de medición de la seguridad de la información podría ser diferente dependiendo de la estructura de la organización:• Tamaño• Complejidad• perfil general de riesgo y la necesidad de la seguridad de la informaciónen general, la más grande y más complejo de una organización, el más amplio programa de medición necesarios. Pero el nivel de riesgo global afecta la extensión del programa de medición. Si las repercusiones de la mala seguridad de la información es severa, una organización comparativamente más pequeños pueden necesitar un programa de medición más amplio a fin de cubrir el riesgo de una organización más grande que no tiene el mismo impacto.El alcance del programa de medición puede evaluarse sobre la base de la selección de los controles que deben ser cubiertos y los resultados de los análisis de riesgo.Diseñar el programa de medición de la seguridad de la informaciónla persona responsable del programa de medición de la seguridad de la información debería tener en cuenta los siguientes aspectos:• Alcance• Mediciones• Efectuar las mediciones• Periodos de mediciones• Informarel alcance del programa de medición debe cubrir el alcance, objetivos de control y controles de la ISMS. En particular, los objetivos y los límites del ISMS medición debe definirse en función de las características de la organización, la organización, su localización, activos y tecnología, e incluir los detalles y la justificación de cualquier exclusión del alcance de ISMS. Esto puede ser un único control de seguridad, un proceso, un sistema, un área funcional, de toda la empresa, un sitio único o una organización multi-sitios.Cuando la selección de mediciones individuales, ISO/IEC CP: 27004:2009 El proceso de medición de la seguridad de la información establece que el punto de partida es e

l objeto de la medida. A fin de establecer un programa de medición de estos objetos deben ser identificadas. Estos objetos pueden ser un proceso o un recurso. (Véase ISO/IEC CP: 27004:2009 para más detalles). Al definir el programa los objetos definidos por Ismos alcance se divide a menudo para encontrar los objetos reales que deben medirse. Esta definición de proceso puede ser ilustrada por el siguiente ejemplo: la Organización es el objeto global - organización de un proceso o sistema de TI X es una parte de ese objeto y constituye un objeto en sí mismo- objetos dentro del proceso que afectan a la seguridad de la información (personas, reglas, Red, Aplicaciones, instalaciones, etc.) son generalmente los objetos de medida con el fin de comprobar la eficacia de la protección de la información.Al implementar un programa de medición de la seguridad de la información, se debe tener cuidado al considerar que los objetos de la medida puede servir para muchos procesos dentro de la organización ismos alcance y, por lo tanto, pueden tener un impacto más grande sobre la eficacia de los ismos y objetivos de control. Estos objetos generalmente deben ser priorizados con el alcance del programa, tales como la Organización de Seguridad y proceso vinculado, ordenador Hall, co-trabajadores acerca de la seguridad de la información, etc.El intervalo de medición pueden variar, pero es preferible que la medición se realiza o resumirse en ciertos intervalos para encajar en el examen de la gestión y el proceso de mejora continua y las ambiciones del ISMS. El diseño del programa debe indicar esto.La notificación de los resultados debe estar diseñado de manera que la comunicación está garantizada conforme a ISO/IEC CP: 27004:2009.© ISO/IEC 2010 - Todos los derechos reservados 65

ISO/IEC 27003:2010(E)El diseño del programa de medición de la seguridad de la información debería estar concluido en un documento estipula el procedimiento, que debe ser aprobado por la administración. Este documento debe cubrir las siguientesresponsabilidades: a) para la seguridad de la Información Programa de medición.b) Las responsabilidades de comunicaciónc) el alcance de las medicionesd) cómo se va a realizar (método básico utilizado, externo, interno, ejecución, etc.).e) Cuando debe realizarsef) ¿Cómo se informa desi la organización desarrolla sus propios puntos de medición, estos tienen que ser documentados como parte de la fase de diseño; para mayor referencia véase ISO/IEC CP: 27004:2009. Este documento puede ser muy amplio y no necesariamente tienen que ser firmados por la administración, ya que los detalles pueden cambiar cuando se apliquen.La medición de la efectividad de los ismosal establecer el ámbito para el programa de medición de la seguridad de la información que deberían ejecutarse, debe tenerse cuidado de que los objetos no son demasiado numerosos. Si lo están, puede ser sabio para dividir el programa en diferentes partes. El alcance de estas piezas pueden ser vistos como mediciones por separado para la comparación, pero su propósito principal prevalece: que una combinación de mediciones proporciona una indicación para evaluar la eficacia de ISMS. Estos sub-ámbitos son normalmente una unidad organizativa que podría ser definido con límites claros. Una combinación de objetos que sirve a muchos procesos de organización y las mediciones de los objetos dentro del sub-ámbitos juntos pueden formar un ámbito adecuado para el programa de medición de la seguridad de la información. Esto también podría ser visto como una serie de ismos actividades que pueden considerarse como construidas con dos o más procesos/objetos. Por lo tanto, la efectividad de todo el SGSI puede medirse según la medición de los resultados de estas dos o más procesos/objetos.Los objetivos son para medir la eficacia de los ismos, es importante para medir los objetivos de control y controles. Un número suficiente de controles es uno de

los aspectos, y que estos controles son suficientes para evaluar la eficacia de los "ismos" es el otro aspecto. (Puede haber otras razones para limitar el alcance del programa de medición de la seguridad de la Información, que se menciona en la norma ISO/IEC CP: 27004:2009.)

66 © ISO/IEC 2010 - Todos los derechos reservados

ISO/IEC 27003:2010(E)M easuremen t de eficacia o f ismosinteresados Interesados Comentario medir partesPlan entradas o utputs D orequisitos de la ley y logró controlar el estado de las expectativasde eficacia de medición M o f c ada p rocessproceso proceso Process123

figura E.2 - Dos aspectos de la medición de efectividad del proceso PDCA de ismos y los ejemplos de proceso dentro de la organización

al utilizar los resultados de medición para evaluar la eficacia de los "ismos", objetivos de control y controles, es esencial que la Administración es consciente del alcance de la Programa de medición de la seguridad de la información.La persona responsable del programa de medición debe tener la aprobación de la gerencia para el ámbito de la seguridad de la información Programa de medición antes del lanzamiento.Nota 1 Los requisitos relativos a la medición de la eficacia de la norma ISO/IEC 27001:2005 es "la medición de los controles o una serie de controles." (véase 4.2.2 d) de la norma ISO/IEC 27001:2005)Nota 2 Los requisitos relativos a la eficacia del conjunto del ISMS en ISO/IEC 27001:2005 es solamente un "examen de la eficacia de la totalidad ismos", y "la medición de la totalidad de la ISMS" no es necesaria. (Véase 0.2.2 de la norma ISO/IEC 27001:2005).La ejecución efectiva de las medidas puede realizarse mediante personal interno, externo, o una combinación de ellos.El tamaño, la estructura y la cultura de la organización son factores a considerar al evaluar los recursos internos o externos. Las pequeñas y medianas empresas tienen más que beneficiarse de la utilización de apoyo externo que las grandes organizaciones. El resultado de utilizar recursos externos también podría proporcionar un resultado más válido, dependiendo de la cultura. Si la organización está acostumbrado a las auditorías internas, recursos internos pueden ser igual de válidos.

© ISO/IEC 2010 - Todos los derechos reservados 67

ISO/IEC 27003:2010(E)

Bibliografía[1] La norma ISO 9001:2008, sistemas de gestión de la Calidad - Requisitos [2] ISO 14001:2004, sistemas de gestión ambiental - Requisitos con orientación para su uso [3] ISO/IEC 15026 (todas las piezas), sistemas e ingeniería de software - sistemas y software assurance1) [4] ISO/IEC 15408-1:2009, tecnología de la información - Técnicas de seguridad - criterios de evaluación de la seguridad de TI - Parte 1: Introducción y modelo general [5] ISO/IEC 15408-2:2008, tecnología de la información - Técnicas de seguridad - criterios de evaluación de la seguridad de TI - Parte 2: Seguridad componentes funcionales [6] ISO/IEC 15408-3:2008, tecnología de la información - Técnicas de seguridad - criterios de evaluación de la seguridad de TI - Parte 3: Garantía de seguridad componentes[7] ISO/IEC TR 15443-1:2005, tecnología de la información - Técnicas de Seguridad - Un marco para TI Garantía de seguridad - Parte 1: Introducción y marco[8] ISO/IEC TR 15443-2:2005, tecnología de la información - Técnicas de Seguridad - Un marco para que la garantía de seguridad - Parte 2: métodos de garantía[9] ISO/IEC TR 15443-3:2007, tecnología de la información - Técnicas de Seguridad - Un marco para que la garantía de seguridad - Parte 3: Análisis de los métodos de seguridad[10] ISO/IEC 15939:2007, sistemas e ingeniería de software - proceso de medición [11] ISO/IEC 16085:2006, sistemas e ingeniería de software - Procesos de ciclo de vida: gestión de riesgos [12] ISO/IEC 16326:2009, sistemas e ingeniería de software - Procesos de ciclo de vida - Gestión de Proyectos [13] ISO/IEC 18045:2008, tecnología de la información - Técnicas de Seguridad - Metodología de evaluación de seguridad de TI[14] ISO/IEC TR 19791:2006, tecnología de la información - Técnicas de seguridad - evaluación de la seguridad de los sistemas operativos[15]. ISO/IEC 20000-1:2005, tecnología de la información - gestión de servicio - Parte 1: Especificación [16] ISO/IEC 27001:2005, tecnología de la información - Técnicas de seguridad - Sistemas de gestión de seguridad de la información - Requisitos [17] ISO/IEC CP: 27004:2009, tecnología de la información - Técnicas de seguridad - Gestión de la seguridad de la información - Medición [18] ISO/IEC 27005:2008, tecnología de la información - Técnicas de seguridad - Gestión de riesgos de seguridad de la información [19] ISO 21500, Gestión de Proyectos - Guía para la gestión de proyectos2) [20] ISO/IEC 27005:2007, tecnología de la información - Técnicas de Seguridad - Requisitos para organismos de auditoría y certificación de sistemas de gestión de seguridad de la información

1) para ser publicadas.2) en preparación.ISO/IEC 68 © 2010 - Todos los derechos reservados

ISO/IEC 27003:2010(E)

ICS 35.040Precio basado en 68 páginas© ISO/IEC 2010 - Todos los derechos reservados