INTERNACIONAL ESTANDAR
Tecnologiadelainformacion-Tecnicasdeseguridad-Sistemasdegestiondelaseguridaddelainformacion-Orientacion
de gestion de la seguridad de la informacion - Directrices Tecnologia de la informacion - Tecnicas de seguridad - Sistemas
Machine Translated by Google
DOCUMENTO PROTEGIDO POR DERECHOS DE AUTOR
ISOrEC 2017 Publicedo en Suiza Todos los derechos
reservados. A menos que se especilque lo contrario ningu nedio ya seaelectronico o mecinico incluidas las fotocopias o la publicacion en Intern direcion que se indica a continuacion o al organismo miembro de ISO en el pais del solitante
copyright@
Contenido
Pagina
12 Referencias normativas3 Teminos y definiciones 4 organizacion y su testo. 1 4.1 Entender lainleresadas 3 4.3 Deteminacion de alkance de sistem de gestion de seguridad delainfomacion. 1 4.2 Comprension de las necesidades y expectalivas de las partes4 4.4 Sistema de gestion de la seguridad de la infomacion 6 65.2 65.15 Polscaresponsabilpageh&elendodes de la organizacon 6.1Acies pabdr oyrtridades 9. 10 6.1.1 3 General. seguridad de larinformacion 12 6:1:3TA26 informacion .15 Otietvos planificacin de la seguridad de la infomacion parasoe.o Soporle . .Z.1.Recursos. 18 2217.2 Compelencia. upepapuog 227.3 _23 7.46.2 Comunicacion 24 7.5Generaldadlif.g Informacion documentada .27.7.5.3. Control.de doourtch@erear y actualizar .25 7.5.126
8 Dperi :98:9Trm名h 1 29 8.1LE
10.1 No conformided y accion orrectiva norte. ..37 10.2 Mejora(informaftivo) Marco de politicas continua. 40 Anexo A
ISO/IEC 27003:2017(E)
Prefacio
ISO (Organizacion Internacional de Normalizacion) e IEC (Comision Electrotecnica Internacional) forman el sistemaespecializado para la normalizacion mundial. Los organismos nacionales que son miembros de ISO o IEC participan enel desarrollo de Normas Internacionales a traves de ites tecnicos establecidos por la organizacion respectiva para tratar campos particulares de actividad tecnica. Los ites tecnicos de ISO e IEC colaboran en campos de interesmutuo. Otras organizaciones intemacionales gubemamentales y no gubernamentales en coordinacion con ISO e IEC o un opoqesa ueu l osi u e ep ejooue el ep odweo je ug ofeqea je ue uedoged uquetecnico conjunto ISO/IEC JTC 1.
Los procedimientos utilizados para desarrollar este documento y los destinados a su posterior mantenimiento se describen en las Directivas ISO/iEC Parte 1. En particular se deben tener en cuenta los diferentes criterios deaprobacion necesarios para los diferentes tipos de documentos. Este documento fue redactado de acuerdo con lasreglas editoriales de las Directivas ISO/IEC Parte 2 (ver
peqoes nd nop ese ep sowle p sounenbppepgod egs ue ee derechos de patente. ISO e IEC no seran responsables de identificar ninguno o todos los derechos de patente. Losdetalles de cualquier derecho de patente identificado durante el desarrollo del documento estaran en la Introduccion y/o en la lista ISO de declaraciones de patentes recibidas (ver ).
Cualquier nombre ercial utilizado en este documento es informacion proporcionada para la odidad de losopedses un ensuoo ou A souensn
Para obtener una explicacion sobre la naturaleza voluntaria de las normas el significado de los terminos y expresionesespecifioos de ISO relacionados con la evaluacion de la confomidad asi o informacion sobre la adhesion de ISO a los principios de la Organizacion Mundial del Comercio (OMC) en las Obstaculos tecnicos al ercio (TBT) consulte elsiguiente URL:
Este documento fue preparado por ISO/IEC JTC 1 Tecnologla de la informacion Subite SC 27 Tecnicas deseguridad de T1.
Esta segunda edicion de ISO/IEC 27003 cancela y reemplaza la primera edicion (ISO/IEC 27003:2010) de la cual constituye una revision menor.
Los principales cambios con respecto a la edicion anterior son los siguientes:
el alcance y el titulo se han cambiado para cubrir la explicacion y orientacion sobre los requisitos de ISO/IEC 27001:2013 en lugar de la edicion anterior (ISO/IEC 27001:2005):
la estructura ahora esta alineada con la estructura de ISO/iEC 27001:2013 para que sea mas facil para el usuariousarla junto con ISO/IEC 27001:2013;
la edicion anterior tenla un enfoque de proyecto con una secuencia de actividades. En cambio esta edicion brinda orientacion sobre los requisitos independientemente del orden en que se implementen.
Introduccion
Este documento brinda orientacion sobre los requisitos para un sistema de gestion de seguridad de la informacion (SGSl) o sea (apn sod n) sd gp d lo sinformacion. con ellos. No es la intencion de este documento proporcionar una guia general sobre todos los aspectos de la seguridad de la
Las clausulas 4 a_10 de este documento reflejan la estructura de ISO/IEC 27001:2013.
Este documento no agrega ningun requisito nuevo para un SGSl y sus terminos y deficiones relacionados.Las organizaciones deben consultar las normas ISO/IEC 27001 e ISO/IEC 27000 para conocer los requisitos y las definiciones.Las organizaciones que implementan un SGSI no tienen la obligacion de observar la guia de este documento.
Un SGSI enfatiza la importancia de las siguientes fases:
prender las necesidades de la organizacion y la necesidad de establecer una poliica de seguridad de la informacion y objetivos de seguridad de la informacion;
evaluar los riesgos de la organizacion relacionados con la seguridad de la informacion;
implementar y operar procesos de seguridad de la informacin controles y otras medidas paratrstar los mesgos;
monitorear y revisar el desemperio y la efectividad del SGSl; y
practicar la mejora continua.
Un SGSI al igual que cualquier otro tipo de sistema de gestion incluye los siguientes ponentes clave:
una politica;
b) personas con responsabilidades definidas;
c) procesos de gestion relacionados con:
1) establecimiento de politicas;
:eofew (g
d) informacion documentada.
Un SGSI tiene ponentes clave adicionales o:
e) evaluacion de riesgos de seguridad de la informacion; y
f) tratamiento de riesgos de seguridad de la informacion incluyendo la determinacion e implementacion de controles.
Este documento es generico y pretende ser aplicable a todas las organizaciones independientemente de su ipo tamaio onaturaleza. La organizacion debe identiicar que parte de esta guia se aplica a ella de acuerdo con su contexlo organizacionalespecifico (ver ISO/IEC 27001:2013 Clausula 4).
