INTERNACIONAL ESTANDAR
protecciondelaprivacidad-Sistemasde Seguridaddelainformacion ciberseguridady gestiondelaseguridad delainformacion- Requisitos
privada - Sistermas de gestiorn de la seguridad de la informacion Seguridad de la informacion ciberseguridad y proteccion de la vidaExigencias
DOCUMENTO PROTEGIDO POR DERECHOS DE AUTOR
ISO/CEI 2022
Reservados todos los derechos. A menos que se especifquelo contrario o se requiera en el contexto de su implementacin ninguna parte de estapubliacin puede ser reproduida o utilizada de ninguna forma o por ningn medio electronico mecnio inuidas las fotocopias o l publiain en Internet o en unaintranet sin previo aviso. pemiso ecrito. El permiso se puede solicitar a ISO en la direcin que se indica acontinuaci6n o al organismo miembro de ISO en el pais del solicitante.
sfona da derchos de asr(S0CP 401 Cap. de Blandonnet 8 CH-1214 Vernier Ginebraelectronico: copyright@ Telefono: 41 22 749 01 11 CorreoSitio web
Publicado en Suiza
Contenido
Pagina
Prefacio. IVIntroduccion. .V1 Alcance.2 Referencias normativas.3 Terminos y definiciones. 14 Contexto de la organizacion. 4.1 Entender la organizacion y su contexto. 14.2 Comprender las necesidades y expectativas de las partes interesadas. 14.3 Determinacion del alcance del sistema de gestion de seguridad de la informacion. 4.4 Sistema de gestion de seguridad de la informacion. 25 Liderazgo. .25.1 Liderazgo y promiso. 5.2 Politica. 25.3 Funciones responsabilidades y autoridades de la organizacion. 36 Planificacion .36.1 Acciones para abordar riesgos y oportunidades. 6.1.1 Generalidades. 36.1.2 Evaluacion de riesgos de seguridad de la informacin. 6.1.3 Tratamiento de riesgos de seguridad de la informacion. 4 .46.2 Objetivos de seguridad de la informacion y planificacion para alcanzarlos. 5Soporte. 7.1 Recursos. .67.2 Competencia.7.3 Conciencia. 7.4 Comunicacion. 6 67.5 Informacion documentada. 7.5.1 Generalidades.7.5.2 Creacion y actualizacion. .67.5.3 Control de la informacion documentada. f8 8.1 Planificacion y control operativo. Operacion. 7 .78.2 Evaluacion de riesgos de seguridad de la informacion. 8.3 Tratamiento de riesgos de seguridad de la informacion. 8 .86 Evaluacion del desempenio. 89.1 Seguimiento medicion analisis y evaluacion. 9.2 Auditoria interna. .8 .89.2.1 Generalidades. 89.3 Revision por la direccion.. 9.2.2 Programa de auditoria interna. .9 69.3.1 Generalidades. 9.3.2 Entradas de la revision por la direcion. .99.3.3 Resultados de la revision por la direccion. .9 6′10 Mejora 10.1 1010.2 No conformidad y accion correctiva. Mejora continua. 10 10Anexo A(normativo)Referencia de controles de seguridad de la informacion. 11Bibliografia. 19
Prefacio
sistema especializado para la normalizacion mundial. Los organismos nacionales que son miembros de ISO oIEC participan en el desarrollo de Normas Internacionales a traves de ites tecnicos establecidos por la organizacion respectiva para tratar campos particulares de actividad tecnica. Los ites tecnicos de ISO egubernamentales en coordinacion con ISO e IEC tambien participan en el trabajo.
Los procedimientos utilizados para desarrollar este documento y los destinados a su posteriormantenimiento se describen en las Directivas ISO/IEC Parte 1. En particular se deben tener en cuenta los diferentes criterios de aprobacion necesarios para los diferentes tipos de documentos. Este documento fueredactado de acuerdo con las reglas editoriales de las Directivas ISO/IEC Parte 2 (verwvww./directivas o_ experts/refdocs).
ap aqo jas uepand ouaunp asaap souawala soap sounbje anb ap pepqisod e aqos uguae e ewellas saad ap saap s sp o ounuueaap saqeosu as o ao ad ap souaap es o sedos sepiqa saaed ap saeeppaposese a n detalles de cualquier derecho de patente identificado durante el desarrollo del documento estaran en ladeclaraciones de patentes recibidas (ver ).
Cualquier nombre ercial utilizado en este documento es informacion proporcionada para la odlidad de los usuarios y noconstituye un respaldo.
especificos de ISO relacionados con la evaluacion de la conformidad asi o informacion sobre la adhesion de ISO a los Para obtener una explicacion de la naturaleza voluntaria de las normas el significado de los terminos y expresionesprincipios de la Organizacion Mundlial del Comercio (OMC) en los obstaculos tecnicos al ercio (TBT) consulte En la CEl vease
Este documento fue preparado por el Comite Tecnico Conjunto ISO/IEC JTC 1 Tecnologias de la informacion Subite SC 27 Seguridad de la informacion ciberseguridad y proteccidn de la privacidad.
Esta tercera edicion cancela y reemplaza la segunda edicion (ISO/IEC 27001:2013) que ha sido revisadatecnicamente. Tambien incorpora los Corrigenda Tecnicos ISO/IEC 27001:2013/Cor 1:2014 e ISO/IEC27001:2013/Cor 2:2015.
Los principales cambios son los siguientes:
- el texto se ha alineado con la estructura armonizada de normas de sistemas de gestion e ISO/ IEC 27002:2022.
ap ugezijewou ap jeuoeu owsueo le asjbup aqap ouaunop asa aqos eunbad o oueauo janblenusuario. Una lista pleta de estos organismos se puede encontrar en y
Introducci6n
0.1 generales
continuamente un sistema de gestion de seguridad de la informacion La adopcion de un sistema de gestion de seguridad Este documento ha sido preparado para proporcionar requisitos para establecer implementar mantener y mejorargestion de seguridad de la informacion de una organizacion esta influenciado por las necesidades y objetivos de lae ap ennusa e oyeuea a sopezln saleuopezueuo sosaooud sopepanbas ap sossnba sougpezueoorganizacion. Se espera que todos estos factores influyentes cambien con el tiempo.
sab ssosau so anb ap sepesueu seed se e ezueu ep so5isa ap ugs ap osaod un p ugede e asuepa EI sistema de gestion de seguridad de la informacion preserva la confidencialidad integridad y disponibilidad de la informaci6nadecuadamente.
p ennsa e sosd sap ed a ueu e ap pepanas e ap usa ap ewss a anb aue s gestion general de la organizacion y se integre con ellos y que la seguridad de la informacion se tenga en cuenta en eldisefio de los procesos los sistemas de informacion y los controles. Se espera que la implementacion de un sistema deupipeziue5ao e| ap sapepisaoau se uoo opuanse ap aesss es ugipewuoju el ap pepunbas ap ugnsa5
Este documento puede ser utilizado por partes internas y externas para evaluar la capacidad de la organizacion para cumplir con los requisitos de seguridad de la informacion de la propia organizacion.
ul e ap pepnas ap usa ap asis p saepueisaap ewe e e euaaja opuaeu uo ISO/IEC 27000 describe la descripcion general y el vocabulario de los sistemas de gestion de seguridad de la(incluido ISO/IEC 27003{21 ISO/CEI 27004[3je ISO/IEC 27005(41) con terminos y definiciones relacionados.
0.2 Compatibilidad con otros estandares de sistemas de gestion
Este documento aplica la estructura de alto nivel los titulos de subclausulas identicos el texto identico los terminos y por lo tanto mantiene la patibilidad con otros estandares de sistemas de gestion. que han adoptado el Anexo SL. unes y las definiciones basicas definidas en el Anexo SL de las Directivas ISO/IEC Parte 1 Suplemento ISO consolidado
ap seasis ap saeueisa sew o sop ap sosinbau so uoo eiduno anb ugnsan ap easis oun gestion.
