® icontec NORMA TECNICA NTC-ISO-IEC COLOMBIANA 27001 2013-12-11 TECNOLOGIA DE LA INFORMACION. TECNICAS DE SEGURIDAD. SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION. REQUISITOS INFORMATION TECHNOLOGY. SECURITY TECHNIQUES. INFORUATION ‘SECURITY MANAGEMENT SYSTEMS CORRESPONDENCIA: esta nora et una sdopedn Wéntica (On) pe tasuecen ee nema ISoneG Soot 2013, DESCRIPTORES: sitar de gestion -sepuriad ete Inirmosin. evormacin.tencay segurdad estionexconrec ais muni orn do has Tens y Canc CORTESPROLOGO El Instituto Colombian de Normss Técnicas y Certcacién, ICONTEC, es al organismo ‘nacional de nomalzacién, segin el Decreto 2260 de 1993, IGONTEC es una entidad de carter privado, sin érimo de lucro, cuya Mision fundamental para brindar soporte y desarrollo al producior y proteccién al consumidor. Colabora con e! ‘sector gubemamental y apoya al sector prvado del pals, para lograr ventas comptiivas os mereados intemo y externa ‘en a! proceso de Normalzaciin Téenica ‘de Concuta Publica, este ote Fatifcada por el Conesjo Directvo de ‘de que rosponda en le esta norma 2 INFOTRACKS.A, ‘Ademés de las anterores, en Cons el Proyecto se puso a consideracién de las siguientes empresas: ATODAHORAS.A ATH BANCO DE OCOIDENTE ‘ACH COLOMBIA 8. BRANCH OF MICROSOFT COLOMEWA INC ACTUALIZACIONES DE SISTEMAS LTDA, AJA” COLOMBIANA DE SUBSIDIO. ‘AGENDA DE CONECTIVIDAD FAMILIAR COLSUBSIDIO. /ALFAPEOPLE ANDINO S.A, CENTRO DE INVESTIGACION Y [ALIANZA SINERTIC DESARROLLO EN TECNOLOGIAS DE LA BANCO CAJA SOCIAL INFORMACION Y LAS COMUNICACIONES BANCO COMERCIAL AV VILLAS. CENTRO “POLICLINICO DEL OLAYA, BANCO DAVIVIENDA 5.8. CPO.SA ‘BANCO DE BOGOTA CHOUCAIR TESTING 5. BANCO DE LAREPUBLICA GIBERCAL S.A‘COLOMBIA TELECOMUNICACIONES S.A ESP. ‘COMERCIO ELECTRONICO EN INTERNET GENET S.A. COMPUREDES S.A (CONTRALORIA DE CUNDINAMARCA COOPERATIVA DE PROFESIONALES DE TASALUD-PROSALCO IPS (CORREDOR EMPRESARIAL GREDIBANCO. GRUZ ROJA COLOMBIANA, SECCIONAL (CUNDINAMARCA Y BOGOTA DAKYALTDA, DIGIWARE ECOPETROL SA. ENLACE OPERATIVO S.A ESCUELA COLOMBIANA DE CARRERAS INDUSTRIALES. ETESA ESP. FLUDSIGNAL GROUP S.A. FONDO DE EMPLEADOS DEL DEPARTAMENTO DE ANTIOQUIA FUNDACION. PARQUE TECNOLOGICO DEL SOFTWARE DE CALI PARQUESOFT- FUNDACION UNIVERSITARIA INPAHU GEWAS INGENIERIA Y CUNSULTORIA SAS. GESTION & ESTRATEGIASAS, GETRONICS COLOMEIALTOA GITLTDA. HMTS.AS. HOSPITAL SAN VICENTE ESE DE MONTENEGRO. INFOCOMUNICACIONES $.4 5 INSTITUTO DE ORTOPEDIA INFANTIL ROOSEVELT IPxLToA. 1. CONSULTORES IT'SERVICE LTDA JAIME TORRES C.¥ Cla, S.A, SIMMY EXENOVER ESPINOSA LOPEZ KEXTAS LTDA, LOGINLEE LTDA, 'MAKRO SUPERMAYORISTA SA, MAREIGUA LTDA. MEGABANCO MICROCOM —COMUNICACION SEGURIDAD LTDA. NEGOTEC NEGOCIOS Y TECNOLOGIA LTDA NEXOS SOFTWARE S.A, PARQUES Y" FUNERARIAS S.A JARDINES DEL RECUERDO PIRAMIDE ADMINISTRACION DE INFORMACION LTDA, POLITECNICO MAYOR _AGENCIA CRISTIANA OE SERVICIO Y EDUCACION Ura PONTIFICIA UNIVERSIDAD JAVERIANA, (QUALITY SYSTEMS LTDA. SISTEMAS Y FORMACION S.A. SOCIEDAD —COLOMBIANA OE ARCHIVISTAS SUN GEMINIS.A SYNAPSIS COLOMBIA LTDA. TEAM FOODS COLOMBIA SA. TECNOLOGIAS ‘DE INFORMACION Y COMUNICACIONES DF COLOMBIA LTDA, TTELMEX COLOMBIAS A, TOALSAS TOMAS MORENO CRUZ CIA, LTDA, TRANSFIRIENDO S.A TRANSPORTADORA DE VALORES ATLAS LTDA. ‘TUS COMPETENCIAS LTDA UNIVERSIDAD. DISTRITAL FRANCISCO JOSE DE CALDAS. UINIVERSINAD NACIONAL ARIERTA YA DISTANGIA UNIVERSIDAD NACIONAL. DE COLOMBIA UNIVERSIDAD SANTIAGO DE CALI ICONTEC cuenta con un Cento de Informaciin que pone a cisposiciin de ls interesados rnormas intemacionaes,reglonalos nacionaas y otros documentos relacionados, DIRECCION DE NORMALIZACIONNORMA TECNICA COLOMBIANA _NTC4SO-EC 27001 (Primera actualizacién) CONTENIDO Pagina INTRODUCCION nnn a 7 0.4 GENERALIDADES. 0.2. COMPATIBILIDAD Cok SISTEMAS DE GESTION coud 4a 42 43 “4 54 62 53. 64 DE LA SEGURIDAD | SISTEMA DE GESTION LIDERAZGO, LIDERAZGO ¥ COMPROMISO. POLITICA a ROLES, RESPONSABILIDADES Y AUTORIDADES EN LA ORGANIZACION .. PLANIFICACION...... [ACCIONES PARA TRATAR RIESGOS Y OPORTUNIDADES ccenccrinnnenlNORMA TECNICA COLOMBIANA _NTCASO-EC 27001 (Primera actualizacién) Pagina 6.2. OBJETIVOS DE SEGURIDAD DE LA INFORMACION ‘PLANES PARA LOGRARLOS.... 7. SOPORTE. 74 RECURSOS, 72 COMPETENCIA... 7.3. TOMA DE CONCIENCIR... 7A COMUNICACION 7.5 INFORMACION DOCUMENTADA, 8. OPERACION.. 8.41 PLANIFICAGION Y CONTROL OPERACIONAL. 82 _ VALORAGION DE RIESGOS DE LA SEGURIDAD DE LA INFORMACION. 83 TRATAMIENTO DE RIESGOS DE LA SEGURIDAD DE LA INFORMACION... 8. _EVALUACION DEL DESEMPERO 8.4 SEGUIMIENTO, MEDICION, ANALISIS Y EVALUACION. 8 8.2 AUDITORIA INTERNA 40 93 REVISION POR LA DIRECCION sel 40, MEJORA. 101 NO CONFORMIDADES ¥ ACCIONES CORRECTIVAS. 102. MEJORA CONTINUA, 4 OCUMENTO DE REFERENCIA, 26NORMA TECNICA COLOMBIANA _NTC4SOJEC 27001 (Primera actualizacién) Pagina BIBLIOGRAFIA, |ANEXO A (Normativo) (OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIANORMA TECNICA COLOMBIANA _NTCSOAEC 27001 (Primera actualizacién) nTRopucciOn 04 GENERALIDADES Esta Norma ha sido elaborada para suminstrar requisites para el estableciiento, implementacion, mantenimientoy mejora continua de un sistema de gestion dela seguridad de Ja informacion, La‘adopcion de Un sisiama de gestion de segurdad dela Informacion es una decison estratésica para una organizacion. El establecimienta e implementacion del sistema {e gestion de la seguridad de la inormacion de una organizacin estan ivlvenciades por las ecesidades y objetivos de la organizacion, los requstos de seguridad, los. proceso ‘organizacionals empleados, y el amafo y estuctura dela organizacin, Se espera que todos tesiesfactores de inluenciacambien oon el empe El sistema de gestion de la seguridad do la informacion preserva fa confdencialiad, la Integrdedy la clsponbildad dela informacién, mediante a aleacion de un praceso de gestion del riesgo, y brinda conianza a las partes Interesadas acerca de qua los rieagos. son ‘estonados adecuadamente, Es importante que al sistema de gestion de la seguridad de la informacion sea parte de los procesos y de la estructura de gestion total de ia informacion de la organizacon y que esté Integrado con elos, y- que la seguridad de la informacén se consdere en el disena de procesos, sistemas de informacion y conroes. Se espera que fa implomentacon de un sistema {e gestion de seguridad do la informacion se ainda de acuerdo con las necesdades de Ta organizacién, La presente Norma puedo ser usada por pares intomas y externas para evaluar la capaciad {ea organizacion para cumpi los requisios de seguridad de la propia organizacén, Elorden en que se presenta ls requistos en esta Norma no reteja su importanca nie orden fen que se van a implomentar. Los elementos de la lista se enumaran solamente para ropésios 6 referencia, La ISOMEC 27000 describe Ia vison general y el vocabulario da sistemas de gastiin dela ‘seguridad de [a intarmacion,y referencia la famiia de normas de sistemas de gestion dela Sequidad de la informacion (includas las NTC-SOMEC.27003[2), ISONEC 270043) y ISOMEC 27006{4), con los términos y defniciones relacionadas, 0.2. COMPATIBILIDAD CON OTRAS NORMAS DE SISTEMAS DE GESTION Esta Norma aplica la estructura de alto rive, tiulos idénticos de numerales, texto idénticn, ‘exminos comunes y definiciones esenciales’defnidas en el Anexo SL de las Directives ISONEC, Parte 1, Suplemento ISO consaldad, y por tanto, mantene la comeatibidad con Cras normas de sistemas de gestion que han adoptado el Anexo SL Esto enfoque comin defiido en el Anexo SL serd Us para aqueias organizaciones que ‘decidan poner en funcionaminto un Unico sistema de gestion que eumpla los equisios de dos ‘9 mas normas de sistemas de gestion,NORMA TECNICA COLOMBIANA _ NTC-ISO-IEC 27001 (Primera actualizacion) ‘TECNOLOGIA DE LA INFORMACION. TECNICAS DE SEGURIDAD. ‘SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION. REQUISITOS 4. OBJETOY CAMPO DE, Esta Norma especiica los Implementae, mantener y_ mejorar continuamente un sis la informacion dentro del cantoxeo de la organizacion. La Isios para la valoracion y Watamiento de ‘a lat necesidades de | corganizacién, son Y estan previstos para ser aplcabe ont {amafo o naturalers Cuando u ‘acepiable exculr cualques ee 2 Los siguie matvament en este seeumentoy cin. Para rete alas solo se apicala fdieién ota, ‘ie la edidBRgpas recite del documento Techniques. Information Security Para os propésitos de este documento se aplcan lo téminosy defiriciones presentados en la norma ISONEC 27000, 4. CONTEXTO DE LA ORGANIZACION 4.1 CONOGIMIENTO DE LA ORGANIZACION Y DE SU CONTEXTO La owganizaciin debe detorminar las cuestiones extemas e inomas que son perinentes para Su propdsto y que alecian su capaciad para lograr los resultados previtos de su sistema de ‘gestion dela Soguridad del informacion, NOTA _ Ls deaminatn de exns csstone has refrriam extalecn conte to to de ‘Sparano, connor ol mnaral 6 dala NTCIGO 912020813) 1de26NORMA TECNICA COLOMBIANA _NTC4SO-EC 27001 (Primera actualizacién) | 4:2 COMPRENSION DE LAS NECESIDADES Y EXPECTATIVAS DE LAS PARTES INTERESADAS. La organizacion debe determinar 8) as parts itoresadas que son petinentes al sistema de gestion de la seguridad de la Informacion: y b) os requis de estas partes intaresadas pertinenes a seguridad de ia informacion, NOTA _ Los russ o los parce iisecose pueden cuir oe requis gas y raiment as Sioavoneeconachne "43° DETERMINACION DEL ALCANCE DEL SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACION La organizacion debe determina 1s limites y la aplcabided del sistema de gestion de la seguridad de a informacion para establecer su aleanee, Cuando so determina este alcance, la organizacién debe considera 8) las cuestones extemas ¢itomas refersas en el numeral 41, y b) los requstos referidos en el numeral 4.2: ©) las ntorfaces y dopandencias ente las actividades reaizadas por la orgaizacié,y las (que reazan otras organtzaniones, Elalcance debe estar disponible como informacién decumentada, | 44 SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACION La organizacon debe establecer, implementa, mantener y mejorar continuamente un sistema de gestion dela seguriiad de la ivermacin, de acuerdo can los requisites de esta Norma. 5. LIDERAZGO 84 LIDERAZGO Y COMPROMISO Lala drecion debe demastrar derazgo y compromigo con respecto al la seguridad dela informacion: tema de gestion de 12) asequrando que se establezcan la pola de la seguridad de la informacion y los Objetvos de la seguridad do la informacion, y que esios sean compatibles con la ‘recon estrategiea de ta organizacin ») _asegurando la integracion dels requis del sistoma de gost dela seguridad dela informacion en los procesos dela organizacion ©) asegurando que ls recursos necesarios para el sistema de gestion dela seguridad de Ininormacion estan disponibles,NORMA TECNICA COLOMBIANA _ NTC-ISO-IEC 27001 (Primera actualizacién) 4) comunicando Ia importancia de una gestion dela seguridad de la informacion eflcaz y ef conformidad con los requlstos del sistema de gesion de la seguridad de la Informacion, ©) asegurando que el sistema de gestion de la seguridad de la informacion loge los resultados previstos; 4) diigiendo y apoyando a las personas, para contibuir ala oficacia del sistema de ‘gestion de la soguidad de la informacin: 12) promoviende la mejora continua, y 1h) apoyando otis oles perinentes dela drecctn, para demostrar su iderazgo aplcado a 5s reas de responsabilidad 52. poLimica La alta drecisn dabe esta fa dela informacion que: 2) sea adecuada al ») sneral 62) 0 proporcone et ‘e ia seguridad do la con a seguridad La ata deceén debe asegurarse de que ls responsabiidades y autordedes para los roles pertinentes ala seguridad de a informacion se asignen y comuniquen, fe ita dreccion debe asgnar la responsabilidad y sutoridad para: 2) asegurarse de que el sistema de gestin do la seguridad do la informacion sea ‘conforme con os requisites de esta Norma; ») informa ata ata sirecion sobre el desempeio del sistema de gestion de la seguridad ela informacion, ‘Gesompano del stoma ge geston co sepia ola rtmacon dono eis aenzachn 3NORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacién) 6. PLANIFICACION 1 ACGIONES PARA TRATAR RIESGOS Y OPORTUNIDADES. 8.4 Generalidades AN planiflcar el sistema de_gostisn de seguridad de la Informacion, la organizacion debe Considerar las cuestionesreferdas en el numeral 4.1 y los requsos a que se have reterencia fen el numeral 4.2, y determinar los rlesgos y oportuniiades que 2s necaaario trata, con el fn fe 8) asegurarse de que el sstoma de gestion de la seguridad de la informacion pueda lograr sus resultados prevstos; 1b) preveniroreduir efectos indeseados: y ©) lograrla meora continua, La organizacién debe planifear 6) las acciones para tratar estos rlesgosy oportunidades: ©) lamanerade: 1) integrare implementar estas acciones en sus procesos de sistema de gestion de fa seguridad dela infermacion, 2) evaluar la efcacia de estas acciones, 6.42 Valoracion de riesgos dela seguridad de la informacion La organizacion debe defn y apicarun proceso de valoraciin de resgos dela seguridad de Informacion que 2) establezca y mantenga cierios de riesgo de Ja seguridad de la informacion ave Inetuyan: 1) Los eres de acoptacén de resgos: y 2) os ofterios para realizar valoraciones de rieegos de la seguridad de la invormacien ) segue que las valoraciones repetidas de resgos de la seguridad de la Informacion proguzcan resultados consistent, valdosy comparable; ©) ieniique los riesgos de la seguridad dela informacion: 1) aplicar el proceso de valoracion de resgos de la seguridad de la informacién para identcar los eegos asociados con la peraida de confdenciadad, de Integrdad y de disponbildad de informacion dento del aleance del sistema de gestion dela seguridad de a informacion; 2) identifcar alos duefos de os resgos;NORMA TECNICA COLOMBIANA _ NTC-ISO:IEC 27001 (Primera actualizacién) (©) analice los riegos de a seguridad dela informacion 1) Valorar las consecuencias potenciales que reeultaran si ge mateiazaran los Fiesgos lentfcados en 6.1.2) 1) 2) Velorar la probablidad realiste de que ccurran los riesgos identifica en 6.1.2 ony 3) determina os nveles de riesgo; 12) evalde los iesgos de seguridad de l informacion: 1) comparar Jos resultados de! anlisis de riesgos con los cileros de siesyo {stablecdos en 6.1.23) tratamiento de esgos cerca del proceso de valoracon de ea seguridad de seguridad de la Fe aen para oe corto acess NoTAR | Lon tos de (Bjeoor conl cons oa npn on cone sso. se 4) produce una dectaraclén do. aplcabitdad que contenga los contoles necesarios (éanse of numeral 6.13 b)y 6) y la ustifcaciin de las inclusiones, ya sea que Se Implerenten no, y a justfcacion para las exclsiones de los contoles del Anex0 A ©) formularun plan de tratamiento de resgos de la seguridad de fa informacion: y 4) obtener, de parte de los dueios de os resgos, la aprobacion del plan de tratamiento de ‘iesgos de la seguridad dela informacion ya aceplacion de los lesgos residuals Je fa ‘Seguridad dela informacion La organizacién debe conservar informacion decumentada acerca del proceso de tratamiento io iesgos dela seguridad de a informacionNORMA TECNICA COLOMBIANA _NTCASOAEC 27001 (Primera actualizacién) NOTA 61 rca de valracin y tate de egos dea soguind of inomacn au se presen on (ta Noma a ino cone pies Sachies aratossiobon eno 501000) (82 OBJETIVOS DE SEGURIDAD DE LA INFORMACION Y PLANES PARA LOGRARLOS La organizacon debe estabecer ls objtivos de seguridad de la informacién en las funcones y niveles perinentes, Los objetvos de seguridad de la informacién deben 8) ser coherentes con a pollica de seguridad dela nfrmacién b) _sermesibles (si es positey, ©) tener en cuenta los requsitos do ta sogurided de la Informacion apicabes, y los resultados del valoracion y del ratamiana de los nesgos, 4) sercomunicados: y ©) seractuaizados,segin sea apropiado. La organizacon debe conservar informacion documentada sobre los objelvos de la seguridad do ia informacion Cuando se hace la planieacin para lograr informacion, a organizacion debe determiner objetvos de la seguridad de la 9 loqueseva ahacer 8) que recursos se requeritin; 1h) quin ser responsable 1) cdr se Snatzarsy |) como se evalua os resultados. “74 RECURSOS La orgaizacon debe determinary proporconar los recursos necesaroe para el {stablecniento,imolementacin, mantenimientoy mojora continua de sistema do geson dela Segundo lineman 72° COMPETENCIA La ergantzacin debe: '3) determina la compotoncia necesaria de las personas que relizan, bajo eu contal, un lrabajo que afecta su desempero dela seguridad 6 fa informacion,NORMA TECNICA COLOMBIANA _NTC4SO-EC 27001 (Primera actualizacién) by) asegurarse de que estas personas sean competent, basdndose en la educacén, formacién o experiencia adecuadas; ©) cuando sea apicable, tomar acciones para edquirr la competencia necesara y evaluar Ia eficacia de las accones tomadas; y 8) conserva a informacion documentada apropiada, como evidencia de la competencia, NOTA _ Les acsinesapeabisesunden incl, por gama e acon, lea © 1a essai dete cons cloaarecusmert ole corso’ de patoanascovpaate, 7.3 TOMADE CONCIENCIA Las personas que realzan el trabajo bajo el control de a exganizacion deben tomar conciencla oe ©) les procesos para leva’ 7.8 INFORMACION DOCUMENT) 754. Generatidades Elsistemea de gestion de a seguridad dela informacion de la organizacién debe incur 8) lainformacion documentada requerda pr eta Norma: y ) I informacién documentada que la organizacin ha determinado que es necesaria para a eficacia del sistema de geston de a seguridad del informacion. NOTA _ Elacance dea ivomaciondosunoias par un Stoms ges del epi de inomacen sd serra do ura panzaaon eo aotcos = ©) stamato deta ciganzain ys utp de seas, pocesns, produ servis, 7NORMA TECNICA COLOMBIANA _NTC-SO-EC 27001 (Primera actualizacién) 1b) lnconpaito ae aceaoe yu ntraesnes.y ©) Inconpaaria den pasos | 1152. Creacién y actualzacion Cuando se rea y actuaiza informacion documontada, la organizacion debe asegurarse de que lo siguiente sea apropiado 2) fe dentineacion y desripcon (por slempo, ul, fecha, autor o nimero de referencia) ) el formato (por ejemplo, idioma, version del sofware, gréfcos) y sus medios de soporte (Gor ejemplo, papel, electrénia) ©) larevision y aprobacion con respect ala oneldad y adecuacién "7.58 Control de a informacién documentada La informacion documentada requeria por el sistema de gestion do la seguridad de la informacion y por esta Norma se debe controlar para asagurarse de que! 8) esté disponible yadecuada para su uso, donde y cuando se neces: y 1b) este protegida adecuadamente (por ejemplo, conta pédida dela confidencaidad, uso Inadecuado, 0 pérdida de integrigad). Para el control de la informacion documentada, la organizacin debe tratar las siguientes ‘acividades, segin sea apeable: ©) distibuelén, acceso, recuperacion y uso: 4) almacenamlent y reservacin, includ la preservacon dela legbildad: ©) contol de cambios (por mpl, contol de ersin):y 1) retencion y daposicion. La informacion documentada de orgen extemo, que la organizacién ha determinado que es ecasaria para la planficacion y operacin del sistema de gestion da la aaguridad’ de Ia Informacién, ce debe onticery tontoar, sogun sea adecuao, NOTA 6 ecteo mp cn concrete pean slg crs Ie masin 8. OPERACION 8.1 PLANIFICACION Y CONTROL OPERACIONAL La organizacin debe planificar,implementary controlar ls procesos necesares para cumple los requisites do seguridad de Is iformacin y para implementa as acelones determinadas en | numeral 6.1. La organizacién también debe Implementar planes para lograr los objeWvos de Ta soguridad dela informacion determinados enol numeral 82.NORMA TECNICA COLOMBIANA _ NTC-ISO-IEC 27001 (Primera actualizacin) Li erganizacén debe mantener informacion documentada en la medida necesaria para tener la conflanza en que ls procesos se han levado a cabo segti lo planiicado, La organizacion debe controlar los cambios planifcades y revsar las consecuencias de los Cambios no previstes, tomando acciones para miigar los efectos advereos, cuando sea La organizacon debe asegurar que los process contratados extemamente estén controlados, 82 VALORACION DE RIESGOS DE LA SEGURIDAD DE LA INFORMACION. La oxganizacién debe evar a cabo valoracones de riesgos dela seguridad dala informacion a Intervalos pinifcados 0 cuando se propongan u ocurran cambios signifeatwos, tenlendo en Cuenta los erteriosestablcidos en ef nual 6.1.23). La oiganizacién debe conser Valoradones de egos de focumentada de los resuitados de las DE LA INFORMACION @gesq0s de la seguridad do la e 1 del tratamianto de ela seguridad faci y la efcaca del Ls organizacion debe 8) aqué-es necesaro he Y contol dela eegu caro medi, inclidos los procesos 1) les métodos de sapuimienta ‘asegurar resultados vados, isle yevaluaci, agin saa aptoahe, pars ©) cuindo se deben levaracabo el seguimient yl medion 4) quién debe tovar a cabo e seguimient y la medion; ©) cuéndo se deben anlzary evalua os resutados del seguimientoy dela medion; y 1) quién debe analiza y evaluar estos esutados, La exganizacién debe conservarinformacién documentada apropiada como evidenca de los resultados del monioreoy dela medion °NORMA TECNICA COLOMBIANA _NTC-ISO-IEC 27001 (Primera actualizacién) (92 AUDITORIAINTERNA La organizacién debe lovar a cabo auditors Intemas a intervalos planifcados, para proporcionar informacion acerca de sil sistema de gestion dela saguridad de fa informacion: 8) es eonforme con: 1) es propios requistos de la organizacion para su sistema de gestion de ta seguridad de i informacion: y 2) los requistos de esta Norma b) esta implementado y mantonido efeazmente La organizacion debe: ©) planar, establecer, implementar y mantener uno o varios programas de austria que incluyan ls frecuencia, los métodos, las responsabildades, los. requis “Je Planifleacion,y i elaboracion do informes. Los programas de audtoria daben toner en venta la importancia de los proceeos involurados y los resutados de las auovias revias 6) para cada auditora,dfirielos erterosy el aleance de esta; ©) seleccionar los autores y levar a cabo auditors para asegurarse de fa objativided y la imparciaida del proceso de austria, 4) asogurarse de que los resultados de as autris s nforman a la dreceién pertinent; y 2) conserva informacion documentada como evidenca dela Implementacin del programa de audioriay de los resultados de ésta. NOTA. Paramjor niacin cours nemas NIC-SO 18011 yNTC:SO 27007 (93 REVISION POR LA DIRECCION La atta dreccion debe rovsar el sistema de gestion de la seguridad de fa informacién de la frganizacion a intervalos planiicados, para asegurarse de sv conveniencia, adecuacin ‘heacia continua La vision porta dreccién debe incur considraciones sobre: 4) el estado de tas actiones con relacln alas revsiones prevas porla direccién;, » se _exemas e ntemas que sean perinentes al sistema do tr dad dela informacion, ©) retoalimentacion sobre ol desemperio de ia seguridad de la informacion, inclidas las Tendencias eiatvas a 1), no conformidades y accion comrectvas; 2) sequimientoy resultados de las ediciones; 10NORMA TECNICA COLOMBIANA _ NTO4SO-IEC 27001 (Primera actualizacion) 2) resus de a audi; 4) cumpimiento del objtves dela seguridad de a informaciin: 4) retroaimentacion de las partes iteresadas; ©) fesutedos dea valoracion de lesgosy estado del plan de tratamiento de legos: y 1) las oportnidases de mejor conta? Los slomenis de sla do ln rvs por ia dacién debe nls decisionesrelaonadas ton lan opotunidedes do oor conus ycuakuor neces Se consol atma Se enon Jia sepa de avomactn, La oxganizacén debe conser sentada como evidencia de los resultados do las revisiones por a direccin, 6 conformidad, con el ©) implementar cualquier accin r 6) revsarla efcacia de as acclones corectvas tomadas, y ©) hacercambios al sistema de gestin de la segurded de la informacion, si es necesaro Las acciones corectivas. deben ser apropiadas a los efectos de las no conformidades ceneontadas La organizacin debe conserva informacion decumentada adecuada, como evidencia de: 4) lanatualeza de las no conformidades y cualquier acién posterior tomade:y 9) les resultados de cuaguier acién corectva "NORMA TECNICA COLOMBIANA _NTC-SO-IEC 27001 (Primera actualizacién) 402” MEJORA CONTINUA La organizacion debe mejorar continuamente la convenienca, adecuacion y eficacia del sistema de gestion dela seguridad e la informacionNORMA TECNICA COLOMBIANA _NTC-SO-EC 27001 (Primora actualizacién) ANEXO A (Normative) (OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA Los objtivos de contol y controles enumeratos en la Tabla A.t se obtienen directamente de a 'SOMEC 27002:2013[1], numerales $ a 10 y estén alineados con ela, y se deben usar en contexte con el aumeral 8.1.3 ‘Tabla 1. Objtves de conroly controls TAS __ POLITGAS DE LA SEGURIDAD DE LA NFORMACION [ASA Oventain de a reccin para a esi dol sepuridad don infomecion ‘aj: Brrr ertasny sepre or ISerequaton co nogoso eens yeE co LA SEGURIDAD DE U bate ey Soa reo Frese sa Pa contacto propa can gps deere {Tos oe y snescones olasonlssepecnsasaron serene AEAS| Sepuaa de wo womaccn | conta! feringestondeproyeccs | a epuiad oe bona se debe tate a os de projects bnsegendenterartn line deere ‘AEA _Dopoaives novos ywaiabeje ‘bjt: Gara aud delete code dapat bee owes ‘Se oben sdotar une polica yuna mes ose de sopre, far geo bs tag con for i Saco 2NORMA TECNICA COLOMBIANA __NTC-ISO-IEC 27001 (Primera actualizacién) “Tobie. (Contiuscn) E22 | Tomson Se debe implamartar una pic y unas masa oo capa de ‘Stpane pas poe la rman sn abe se tens asa ue a ituasade oafnaciracs efor gues on oreo ets abl "A __ SEGURIDAD DE LOS RECURSOS HUMANOS empee ‘bjt: Asura qu es epeaics y coals canprendan sus eparabldaesy con near ons | pablo gun econ Las wertcatlongs 6 os arcade de toe le candice 2 un rulco se aston lever "a cabo ae anioco son int leon fameracionsy dea petri, y oebon ser poseruonae 8 {autos de nego le suieaci ce ineron 8 tue oo v8 {Srurasss5, oe ing pares ‘ATA2| Temes y condones ot | Conor Grose ‘toler se eporeabooos yas Ss tgareacon on Sana 3 “Aia_ Durant a hewn dl ompion ‘Objetve:Asogurerse de qua os empleados y contatstas lomen conaencia de us responeebidades de sepurded Sele tomesin ylescampn Ladecoin debe eg a oos io plese y cores I eplacen Gein sapinded oon miomacin Ge sci as pas romans elon gore gens {Sttaatn ¥ fomscin on ‘Spine cols nemactn | Canta "Toto ong vnc yn doi pcan os ‘Stren aprons y acuetzeoenes regres soe be pleas Bocaire ele ana poanartes parce Conta ‘rer aecones conta epost ue Reyancomsite une valacen ‘Tosapatnd dela ome ‘273 Teminacony cambio empio Oe Prete trees de unico oe par el rocco da amb otic ho. ‘esponseicees de eroieo | 2s responsable ys dere de spun dt inomscin aie ‘emaresen aie Seta so amino 0 combo 5 Enea se {ston'eine earns” a ales cata debun Mac ine 4NORMA TECNICA COLOMBIANA _NTO4SO-IEC 27001 (Primera actualizacién) ‘Tabla At. (Continscn) [Aa cesnOn ce actwos [Aa Responsabiad pols sev Objet: entero eos egenzasondie y bias esponeabliadbs de prnooen seropat. soi Se crten enter os ache succisoe cn ifomasin laa de Preseamerto 60 ritmaoo% se dete Stoar y mane’ Un ner Proneaid oe te [Comet Lor aos nantes on inven banner un rosa. at3 os mapa ae Ca! secon | ares et ea Satine & oa pws cee d dnbet tk oe ios en ce se Gn Cos ae cn aca ‘Monee ae medion (bjt: Eri avapacbn nro adoranio de lomason anaconda cero conal smth oceaion dota po i omarzacon ‘Se cove centr en foma seg del meds camo ya nose requran, Utzon rocedmartes oma [aw meson cm coker tdomcin o6 dan prom oii acne tezodn wo nsebao ocorspcon ara a topos 8NORMA TECNICA COLOMBIANA _NTC4SO4EC 27001 (Primera actualizacién) “Tabla 1. (Conuacn) [ABA Requloe del nogocio para contol de aceeso ‘oj: Lina e550 hfomasn ya ablacones ds ecards nomad. TAOIA [Palen Ge conta) oe | Comal sone Se obo extabce, ecuarta y va napoli 8 ono aces in basen be esos dl egaks¥ senuad dela rma Hai2 | Aamas_ a vetoes y =| Coma? secos ened So depart ace de on unin aa ey a sans ad asin ue yan anes copeccorant, ‘bjt Asanrr ol ceo Go utvron stro year seston aura ny ee ‘A821 | Regsvo_y_cancsleatn | Conal «steps cers” seat mp um prac oral do rp y de cactn ge ‘A822 | Sunaro se acca we | Coat nn ‘tbe moar np eit ces al esas ra Sdeice tomas y sooo, 7323 | Gestn oe cece a | Conrar seeto prego” |e sabe vesting y conblar ls esgracn y ws de decor de acaso prepa. ‘aa | Gein de emai | Corer 4 uterscacén secrets | Ls sugrac de norman oe aerteacin saves debe contr por ee co dun pons Se gesson toms Kaas | Reveln de oe aurea | Coat eens | Low potion de rac ben roe cus ants de x rcs dcr | Lo artes aio dee ame y de usnon eto aa Inomacon 7 sss nicores de posse esac sr Saban ‘Sicaitemnar sv ens cofao aman 9s eon ar dd [Sesto cer ues usar indan cusias prin savagubda de au ibmadon do aussi ‘89.34 | Uso de inomaccn 48 | Coat samtcasonseces | cate wp oe ing cnn a in de opracén ‘ABA _ Conti szero a stomaeyapleaciones ‘bj: Eve ace oad a sas y phos ‘ASA | Reawcctn de acces 8 | Coat IStsernane El aeeea Ia efomation y 4 las finda los srs de ae Seltatnes so dete Teen do ato con le police cant So 6NORMA TECNICA COLOMBIANA _NTC-SO-IEC 27001 (Primera actualizacin) “Tebla At. (Contac) aa? |pomanens de [Ganral reo cape ‘Cuando le equ la gtica Go cant do atcosa ol acca a sistas | Splcnsone se debe eantels edn posso do nga Sas. TASS | Satama de aston o | Cantar cores Los Stamos do geston go conrasanas eben Serres y dtben Segura dos contsoe [Aaa | Uso aerogenes | Cnrat Uttar pvlogiaes | ce gebe reser y coos asrcamente uso se pgramae utara ase festa fered o sur ena Y te clr Se ‘idee “heme | Soto ceva acco ene ae popes, Ao CRIPTOGRAFA Objet: Asura’ el use arpa ror eens anal eos ed Art | ie = fs, trooer medans cones 40 ozo | Fes eietScones'| Soc dtr aie squad ca oles, ce a ntalacons Sees, om 7 Seca aaa ler sn na conn eae a, ss rAaaaa | apap en Beas | Corto [ies do dpa y ‘Se ashen deer ape rossémants psa abl on sees op. xg y on puos on dese pcan er prenas ro avoteaes se fete, Sr ea te pose rm pa 7NORMA TECNICA COLOMBIANA _ NTC-SO-IEC 27001 (Primera actualizacién) “Tabla At. (Contnuacén) Oi, vee I pa Tabs © comprise de ace, la rupsen do bs epwadame de fa "1128 | scan ypromeain se lL equ debn eta, bcd potepos pare rsuc bs rsa de SE Ria a Sand Te is a ae we conta lez equsce = ceten potger conta fli do enoaia yo Psrapsanes chine prin elon sored sumineee Anas | Segunda casio Elcableato de engi tiny de wlcoruncacnae qu por dete | ‘sa sop @ ie sv te nomacon se dbs proape Cons Deapabon rrenaa 960 ou es ‘equpos so dston anor covecunenie para esepuar su ‘Stoned erogtasd cores ona es ean, o etre mo se Sten er de mo Aina | Sgn Se ey ‘aoores Sba‘se ib rauasons Ge" ominasoin, orc ov Gant ee ‘Storie reso Se rstsar hers sehae nacaroe reiianetn dees 7 ‘Se dten scar dos ls eloneroe do gus qe sraraan modes { smeconamiono pra seq qo cshue’ da comoanaal © ‘ore toni haye ss eras osboosro ens So ss ‘A128 | Equpes de wna ‘Conch Las us debe aguas de ques bs onuosdessors ss da pesecin vena, Tigo arse tps ‘be sna pis da eta pra pene ymin [AA2_ SEGURIGADDE LAS GPERACONES [AZ Proetimienos opercionsaey esporsblidaes ‘eo: eye operas ceca y ogee as iniaacores de posteaTnio de GmaS tgs pocadmienos, do operacon se deben docunentsr y poner @ pot does unten Qu sean, Se debon contr os canbe en i rata, on os procaos do ‘ego, eh lon stan 9 wr be saunas de procasoionto Se ‘iSmai un sfectn oops ea nrNORMA TECNICA COLOMBIANA _NTC4SO-IEC 27001 (Primera actualizacién) ‘abla At. (Contain) "A213 | eaten oo capantad ost proyeecnne Soe reqs Se opacad tr, par aro ‘lesa eguetde Gl sma ‘Aa | epson ae be anbentcs | ont Go cesar, robes. | a tan sapere eblrioe de esr, ry cer, para ‘els eps ona o cmios no sueedoe sabes Se esse [2a Preece conta codigos malsonee ena xdgos ateos ‘bet: Asopuraae de ae lanolin y hs tlcloes do procsaroris de iemacin eon pega na os aos [Ai23_ Copies do respalao ‘aie Prtge cana ape gine (A233 | Respad g cn 1a blot, stare ete: soreoato Sneeraser nto Ge ura opanzacen orbs de sour se sebon [sooner con re anca homoge referent do ene. Obit Asap dea irtgtad dossamss eperacordes. ‘81253 |Iealscon dp sotware en | Const Se coten lament procedmieos sara cal a ntacin de ‘Scbvre on stones oeraice 0NORMA TECNICA COLOMBIANA _NTC4SO.IEC 27001 (Primera actualizacién) “Tabla At. (Contac) ‘bjt: Preven svecranonts de as vuneabanaos ae rags] Geson | ce ee ‘ete coor corunanente iors act de as wiraraikedes ‘Geiss ce os ssa cera ue so een esr spoon Selina sors vines, our eds ache ‘i262 | Resrosones sore le ‘ib xcs seta ea pata ge ctare [AIT Consderacionas robe autor sites de norman ‘bjt: Mrmr linseed a chviades aud abs i peas comer deinomacan ‘Const Las reustos yates de ude qu vlan aera dos ‘mist rtrpsoes oto pte dl epee, [Ai3__ SEURIOAD DE LAS COMUNICACIONES ‘A121 _Gestn do soquided do as ose ‘bjt: Aguas tect des ivomacon nine on ys hasan de racemic de lomasion sepone ‘8:18 | Conroe dees Gon Lar ades so orbongetorry con pa protge i nan en ‘Stes yopescones “AISI | Seguin se x woos ‘conot ‘Se bon Monta ls mecros de sap, a le de sero y ic ogustes co gesn do bos ls sarc ofa eur ont ‘Suncom de eto yaaa Que sre 20 Pes “Ria | Sepaacn ona oaee| Qe: Maer eS ‘matin tna donee de wna paniasén y con calgue onda A182. | Palos y rommoios ‘52 dae conta cn potesprcetininice ycokale de tasoreria Iomastn {ess pctv oman roe caro A822 | Romrioe be | cont erence 68 | Los scuros, ten tot I waren sepia oe homicin del Con ‘se tee deinen eosin nen emis oooriised © 6 no ‘rugecon Cont $5 Sn stn, great oma eon ie Stinger ao omsonalse'0raagastn ie oes ‘ceed os opaneann pre trlcnon Geer 20NORMA TECNICA COLOMBIANA _ NTC-ISO-IEC 27001 (Primera actualizaci6n) Taba (Comruzlin) Tid Aaquisitn esate y mantorimlnto de amas AL Regus de seguridad doo aN SE Ser gpeurinmetanrinesan ce anemones names Ana eaycmamas oct cr ruiteelacragos cn sauna doi nan ben Reloes nr sebmasartlomacth eomease, nn cores ‘Segura de savos Sete oe conta somite osespbicas so taba promper ae aciiades ocuoke y stupacon y mca ro pata evr anemic earl tedunnasoncnce oo menos poor Spiesenes Sig i ‘Raa | Rearacoras on os cm Sloe paauts so stvare 71425 | Prnapar ae amanaose de | corto! ler semas sega Se. debon erublcer decir y marta pice pa a fonsrcsn de auras sequen, y spictos a cua cian) oo {parison oe ssomae So mamnsasn TKi42 [imtnie de desarato | Conrer eave ae organs saben exaleey plea edeeusdana fs ‘stbras de dosarole sopies pra It acindadee ce dara ‘igenin i see Gun conpanan oo Ss oe 8 “A427 | Besaroio —conrtaas | Cone’ ‘a. te sea y ht nitro each 2NORMA TECNICA COLOMBIANA _NTC-SOAEC 27001 (Primera actualizacién) Taba (Coniruaién) Riaz | Prater oe sapund & | Goel tora Durie desareto se deb nvr acto pba ds ncaa Ineeourans ‘ioe, se deb estes” proromes da pbs pare ecapacn ‘Store co eapacn racers "AIS Datos de proaba ‘bj: Apu precio eb daar endo a prinbon ee prc ae doe de pasta a2 otbon slesnar, solener y contr ‘Sderot, "Ris RELAGIONES CON LOS PROVEEDORES "A18_Soguiad dela nformacin on lee relaions cn lu proveodoree ‘jet: Apu arlene svar de ogpiason un ren acces 8s oO Ineracin "ars | Lon requston ot segue nfomacin pra mgr os regoe ‘Sic cn a ast te roves ve een So eeneoh “AAI | Tearoom epi | corto! ceo doe ecu con Seabee: y aoa ous ls faqs de segura de a Provesoes ‘hina great a poeta ois rer ‘nacsrciadoTpra a nomasn elaorganeacen cemneacin ‘gee de sogtsnd co iorason trainee 'a ean 2 ‘Sey rates y soc rola stomasin cos do proveedores a crea gpa npr etn Spinone ssa Aon ee Se Se eee a reno ge ee ey nat on acd gare ote as sr a ed SSE See [een arora nm mse fmrmeaneneasrern cures Eeeeermia cre cnimer com, ago rvalucrados yt reevaluacn de os esa. ease a Ait oan ame aie ra ‘Objvo: Aseouar un enoaueeoberari yefaz pa a gn de nein Ge Sagand dela eran (ru i eouncan ste eve scpurdad'y ence ‘A841 | Respeabidee ——y]| Con Poceimerae ‘Se dan esleca ln respensblidee 9 pocadmantos do optin fr asia ura espana api ofa y Saran? x nso ‘add anor, 2NORMA TECNICA COLOMBIANA _ NTC-SO-EC 27001 (Primera actualizacion) ‘Tabla At. (Contac) A812 | Sprsnscotenomocon Los evans do segura dels ifomacn se osten lmar 3 ‘vee oe lo core Bestn apa, tn pelo sa sea posbl Se debe erg & sos Ips employ costes que sen ‘Striourycstumas de ermann ae oganesen, que abet Yreporan”conmuer deed segues oe naman Uoteeaosepatbod ning atrss ero ‘Ate: | Encino ernie ae ‘Sout ec ‘ne dela © revi 8 Circo oes Ge spd oe ‘Ate | Rospuaca = ores "ra | Ream, setsoca, dosimeter glamenar wi prem send Seon ae conan Imprernon ani de eg qu on ion feces ‘Obtve:Asguar ia dlspenbided do nlaacoos de Roonanans de armanon 1731] Deronbn ce nics las ‘nslesonos do procesanion do iemacin se. deben ‘amar con eda use para Suri rosin Go ona 2NORMA TECNICA COLOMBIANA _ NTC-SO-IEC 27001 (Primera actualizacién) “Tabla At. (Contnuacén) [A181 Compliment de requis lepalos yconiracinlos ‘Opto: Evaro inpimero de ia ebigacones lege eantaras_ oe regarartaee © Ginkachak | ‘oconados on sours deacon sca’ eo do sourne ‘A111 | leoesoon do etc | Cont sleable'y de los Feusos | Todos for equities axa, reglamataos y contac | Cental etrantes yl coe de ergata para ct, so ab | ‘Ettew dosmerie xptsmenin mantenafe Soba pam end tr or nmasn pre eau sect ‘Se diten Inplenentar pocesments spice pa scape ‘Spinto de fs reine globes oo egamaraoan 9 | reece rlcondes con os Goachos de prope sean | ldsade ecu Se hua aera ‘AAI | Praweatnaeeges | Cont ‘ioncin ec ‘no sates y ora oo ascaia oo Sein ofa ace" segue on ee ‘lomacen "Ge" G808 | se deoon aogur I paced yl recaén de ls Hrmain Se consis Ase ceonsea, cae so oxge tnt i epaacn ya tgamerianon etna cumde sa spate, “AA815 | Regararncin oe canta | Conet eats Se otben usar contol crops, en cumplnent de ee ot stun aiutn yregamertaen perneri. A182 Revilones do seguridad do nformacion ‘Obs: Assn ae a segue Ge le emasin v2 Mpananl y ope de acaao oon las pleas 9 Frecadiionos eaacoraes. ‘A182: | Resse opens oo I] Cortt Seta deiaromactn | el eroquo de a eranzacion sera I postin do spuds ee "ema ys lpemeracion doors ejetias de cere ot ‘Siete Ia often, fos peceat os esamoncs pate ‘Spiraod cia omedn) so ston (everson & ‘enels lanieadoso cuando ourancanbus upestias TRIE | Cape TICE Cont a ‘roconanienta yprocedmrios e nfsmacn dent desu Sra Go ‘remnant Jorn emer apo, RANEY | RESIST] Cote tence {onsets 9 iomacin se daban reser gecamante para err ls co pet oma ego PaNORMA TECNICA COLOMBIANA _ NTC-ISO.IEC 27001 (Primera actualizacin) BIBLIOGRAFIA [1] ISonec 27002:2019, inérmation Technology. Secunty Techniques. Code of Practice for Information Securty Controls. 2] GTC-sonEC 27003-2012, Tecnologia de ls informacion. tenlcas de seguridad. Gula de implementacion de un sistema de gestion dela Seguridad dela informacién. [81 ISomec 27004:2008, inormation Technology. Security Tachnigues. Infomation Security Management. Measurement. 4] ISONEC 27005:2011, Inormation Technology. Seounty Technaues. Infermation Secunyy Fisk Management 5] NTC4S0 310002011, Ge cipios y directices. [5] ISONEC Directives, int. Procedures Specie to ISO, 2012,NORMA TECNICA COLOMBIANA _NTC4SO4EC 27001 (Primera actualizacién) DOCUMENTO DE REFERENCIA INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. Information Technology. Secunty Techniques. Information Secunly Management Systems. Requirements. Geneva: \SO, 2013, 23 p.(ISOMEC 27001-2013 (E),tooert can 8 ae 8s mons camraa70-68 ‘obi 109 eee aver guectte te cor Sesto coma ainareee nr mae! en oneness ant ‘ieee 28 ‘massac cut ana3tm 3-aaat ‘en: 25906 er Sr Tecoma Cate 2-4 reno tot uence ama tan 128" en oe pra, ae Tesi sae She or basen ‘eo 75 572 exe Fae Rt 9-20 “ee 38 00 Fecqacane cau ‘inner 46-30 ‘ee he Feces, ‘aisomeos| ‘Seti fs no “ee 14 ‘eeu sium fc Sharaf Sctikonicas rec ence froma re ‘Rowe pee fe 2-15 Po? Teter ont Feet a) raraoo {ice dS Baro Ozu ‘ee n'8 anc ‘anasto seorenia Comoran ee cain eee sya ‘ee 28097 ‘taionecan wor iconte.org