Página de título
-
Empresa
-
Preparada por
-
Fecha y hora
-
Ubicación
Auditoría
4. Contexto de la organización
-
4.1 Comprensión de la organización y su contexto
-
La organización debe determinar los contratiempos externos e internos que sean relevantes para su propósito y que afecten su capacidad para lograr los resultados esperados de su sistema de gestión de seguridad de la información.
-
4.2 Comprensión de las necesidades y expectativas de las partes interesadas
-
La organización determinará:<br>a) partes interesadas que son relevantes para el sistema de gestión de seguridad de la información; y<br>b) los requisitos de estas partes interesadas relevantes para la seguridad de la información
-
4.3 Determinación del alcance del sistema de gestión de seguridad de la información
-
La organización debe determinar los límites y la aplicabilidad del sistema de gestión de seguridad de la información para establecer su alcance.
-
4.4 Sistema de gestión de seguridad de la información
-
La organización debe establecer, implementar, mantener y mejorar continuamente un sistema de gestión de seguridad de la información, de acuerdo con los requisitos de esta norma internacional.
5. Liderazgo
-
5.1 Liderazgo y compromiso
-
La gerencia deberá proporcionar pruebas de su compromiso con el establecimiento, implementación, operación, supervisión, revisión, mantenimiento y mejora del SGSI al:
-
5.1 (a) asegurar que la política de seguridad de la información y los objetivos de seguridad de la información estén establecidos y sean compatibles con la dirección estratégica de la organización;
-
5.1 (b) garantizar la integración de los requisitos del sistema de gestión de seguridad de la información en los procesos de la organización;
-
5.1 (c) garantizar que los recursos necesarios para el sistema de gestión de seguridad de la información estén disponibles;
-
5.1 (d) comunicar la importancia de una gestión eficaz de la seguridad de la información y de cumplir con los requisitos del sistema de gestión de seguridad de la información;
-
5.1 (e) garantizar que el sistema de gestión de seguridad de la información logre los resultados previstos;
-
5.1 (f) dirigir y apoyar a las personas para que contribuyan a la eficacia del sistema de gestión de seguridad de la información;
-
5.1 (g) promover la mejora continua; y
-
5.1 (h) apoyar otros puestos de dirección relevantes para demostrar su liderazgo en lo que se refiere a sus áreas de responsabilidad.
-
5.2 Política
-
La gerencia debe establecer una política de seguridad de la información que:<br>a) sea apropiada para el propósito de la organización;<br>b) incluya los objetivos de seguridad de la información (ver punto 6.2) o proporcione el marco para establecer los objetivos de seguridad de la información;<br>c) incluya un compromiso para satisfacer los requisitos aplicables relacionados con la seguridad de la información; y<br>d) incluya un compromiso de mejora continua del sistema de gestión de seguridad de la información.<br><br>La política de seguridad de la información deberá:<br>e) estar disponible como información documentada;<br>f) ser comunicada dentro de la organización; y<br>g) estar a disposición de las partes interesadas, según corresponda
-
5.3 Labores, responsabilidades y autoridades organizacionales
-
La gerencia se asegurará de que se asignen y comuniquen las responsabilidades y autoridades de los roles relevantes para la seguridad de la información.
6. Planificación
-
6.1 Acciones para abordar riesgos y oportunidades
-
6.1.1 General
-
Al planificar el sistema de gestión de seguridad de la información, la organización debe considerar los contratiempos mencionados en el punto 4.1 y los requisitos mencionados en el punto 4.2 y determinar los riesgos y oportunidades que deben abordarse para:<br>a) garantizar que el sistema de gestión de seguridad de la información pueda lograr los resultados previstos;<br>b) prevenir o reducir los efectos no deseados; y<br>c) lograr la mejora continua
-
6.1.1 (d) La organización debe planificar acciones para abordar estos riesgos y oportunidades; y
-
6.1.1 (e) La organización debe planificar cómo:<br>1) integrar e implementar estas acciones en los procesos de su sistema de gestión de seguridad de la información; y<br>2) evaluar la efectividad de estas acciones.
-
6.1.2 Evaluación de riesgos de seguridad de la información
-
6.1.2 (a) establece y mantiene criterios de riesgo de seguridad de la información que incluyen:<br>1) los criterios de aceptación del riesgo; y<br>2) criterios para realizar evaluaciones de riesgos de seguridad de la información;
-
La organización debe definir y aplicar un proceso de evaluación de riesgos de seguridad de la información que:
-
6.1.2 (b) asegure que las evaluaciones de riesgos de seguridad de la información repetidas produzcan resultados consistentes, válidos y comparables;
-
6.1.2 (c) identifique los riesgos de seguridad de la información:<br>1) aplique el proceso de evaluación de riesgos de seguridad de la información para identificar los riesgos asociados con la pérdida de confidencialidad, integridad y disponibilidad de la información dentro del alcance del sistema de gestión de seguridad de la información; e<br>2) identifique a los propietarios del riesgo;
-
6.1.2 (d) analice los riesgos de seguridad de la información:<br>1) evalúe las consecuencias potenciales que resultarían si los riesgos identificados en 6.1.2 c) 1) se materializaran;<br>2) evalúe la probabilidad realista de ocurrencia de los riesgos identificados en 6.1.2 c) 1); y<br>3) determine los niveles de riesgo;
-
6.1.2 (e) evalúe los riesgos de seguridad de la información:<br>1) compare los resultados del análisis de riesgo con los criterios de riesgo establecidos en 6.1.2 a); y<br>2) priorice los riesgos analizados para el tratamiento de riesgos.
-
6.1.3 Tratamiento de riesgos de seguridad de la información
-
La organización debe definir y aplicar un proceso de tratamiento de riesgos de seguridad de la información para:
-
6.1.3 (a) seleccionar opciones apropiadas de tratamiento de riesgos de seguridad de la información, teniendo en cuenta los resultados de la evaluación de riesgos;
-
6.1.3 (b) determinar todos los controles que sean necesarios para implementar las opciones de tratamiento de riesgos de seguridad de la información elegidas;
-
6.1.3 (c) comparar los controles determinados en el punto 6.1.3 (b) anterior con los del Anexo A y verificar que no se hayan omitido los controles necesarios;
-
6.1.3 (d) producir una declaración de aplicabilidad que contenga los controles necesarios (ver puntos 6.1.3.b y c) y la justificación de las inclusiones, ya sea que se implementen o no, y la justificación de las exclusiones de los controles del Anexo A;
-
6.1.3 (e) formular un plan de tratamiento de riesgos de seguridad de la información; y
-
6.1.3 (f) obtener la aprobación de los propietarios del riesgo del plan de tratamiento de riesgos de seguridad de la información y la aceptación de los riesgos de seguridad de la información residuales.
-
6.2 Objetivos de seguridad de la información y planes para alcanzarlos
-
La organización debe establecer objetivos de seguridad de la información en las funciones y niveles pertinentes.
-
Los objetivos de seguridad de la información deberán:<br>a) ser coherentes con la política de seguridad de la información;<br>b) ser medibles (si es factible);<br>c) tener en cuenta los requisitos aplicables de seguridad de la información y los resultados de la evaluación y el tratamiento de riesgos;<br>d) ser comunicados; y<br>e) actualizarse según corresponda.
-
Al planificar cómo lograr sus objetivos de seguridad de la información, la organización debe determinar:<br>f) lo que se hará;<br>g) qué recursos se requerirán;<br>h) quién será el responsable;<br>i) cuándo se completará; y<br>j) cómo se evaluarán los resultados.
7. Soporte
-
7.1 Recursos
-
La organización debe determinar y proporcionar los recursos necesarios para el establecimiento, implementación, mantenimiento y mejora continua del sistema de gestión de seguridad de la información.
-
7.2 Competencias
-
La organización deberá:
-
7.2 (a) determinar la competencia necesaria de las personas que realizan el trabajo bajo su control que afecta el rendimiento en seguridad de la información;
-
7.2 (b) garantizar que estas personas sean competentes en base a una educación, formación o experiencia adecuadas;
-
7.2 (c) cuando corresponda, tomar acciones para adquirir la competencia necesaria y evaluar la efectividad de las acciones tomadas; y
-
7.2 (d) conservar la información documentada apropiada como prueba de competencia.
-
7.3 Conciencia
-
Las personas que realicen trabajos bajo el control de la organización deben ser conscientes de:
-
7.3 (a) la política de seguridad de la información;
-
7.3 (b) su contribución a la eficacia del sistema de gestión de seguridad de la información, incluidos los beneficios de un mejor rendimiento de la seguridad de la información; y
-
7.3 (c) las implicaciones de no cumplir con los requisitos del sistema de gestión de seguridad de la información.
-
7.4 Comunicación
-
La organización debe determinar la necesidad de comunicaciones internas y externas relevantes para el sistema de gestión de seguridad de la información, incluyendo:
-
7.4 (a) qué comunicar;
-
7.4 (b) cuándo comunicar;
-
7.4 (c) con quién comunicarse;
-
7.4 (d) quién debe comunicar; y
-
7.4 (e) los procesos mediante los cuales se efectuará la comunicación.
-
7.5 Información documentada
-
7.5.1 General
-
El sistema de gestión de seguridad de la información de la organización debe incluir:
-
7.5.1 (a) información documentada requerida por esta norma internacional; y
-
7.5.1 (b) información documentada que la organización determine que es necesaria para la eficacia del sistema de gestión de seguridad de la información.
-
7.5.2 Creación y actualización
-
Al crear y actualizar la información documentada, la organización debe garantizar lo siguiente:
-
7.5.2 (a) identificación y descripción (por ejemplo, un título, fecha, autor o número de referencia);
-
7.5.2 (b) formato (p. ej., idioma, versión del software, gráficos) y archivos multimedia (p. ej., papel, electrónico); y
-
7.5.2 (c) revisión y aprobación de idoneidad y adecuación.
-
7.5.3 Control de la información documentada
-
La información documentada requerida por el sistema de gestión de seguridad de la información y por esta norma internacional debe controlarse para garantizar que:
-
7.5.3 (a) está disponible y es adecuada para su uso, donde y cuando se necesite; y
-
7.5.3 (b) está adecuadamente protegida (por ejemplo, contra la pérdida de confidencialidad, uso indebido o pérdida de integridad).
-
Para el control de la información documentada, la organización debe abordar las siguientes actividades, según corresponda:
-
7.5.3 (c) distribución, acceso, recuperación y uso;
-
7.5.3 (d) almacenamiento y conservación, incluida la conservación de la legibilidad;
-
7.5.3 (e) control de cambios (por ejemplo, control de versiones); y
-
7.5.3 (f) retención y eliminación.
-
La información documentada de origen externo, determinada por la organización como necesaria para la planificación y operación del sistema de gestión de seguridad de la información, debe identificarse según corresponda y controlarse.
8. Operaciones
-
8.1 Planificación y control de operaciones
-
La organización debe planificar, implementar y controlar los procesos necesarios para cumplir con los requisitos de seguridad de la información y para implementar las acciones determinadas en el punto 6.1. La organización también debe implementar planes para lograr los objetivos de seguridad de la información determinados en el punto 6.2.
-
La organización debe mantener información documentada en la medida necesaria para tener confianza en que los procesos se han llevado a cabo según lo planeado.
-
La organización debe controlar los cambios planificados y revisar las consecuencias de los cambios no deseados, tomando medidas para mitigar cualquier efecto adverso, según sea necesario.
-
La organización debe asegurarse de que los procesos subcontratados estén determinados y controlados.
-
8.2 Evaluación de riesgos de seguridad de la información
-
La organización debe realizar evaluaciones de riesgos de seguridad de la información a intervalos planificados o cuando se propongan o se produzcan cambios significativos, teniendo en cuenta los criterios establecidos en el punto 6.1.2.a.
-
La organización debe conservar información documentada de los resultados de las evaluaciones de riesgos de seguridad de la información.
-
8.3 Tratamiento de riesgos de seguridad de la información
-
La organización debe implementar el plan de tratamiento de riesgos de seguridad de la información.
-
La organización debe conservar información documentada de los resultados del tratamiento de riesgos de seguridad de la información.
9. Evaluación del rendimiento
-
9.1 Supervisión, medición, análisis y evaluación
-
La organización debe evaluar el rendimiento de seguridad de la información y la eficacia del sistema de gestión de seguridad de la información.
-
La organización debe determinar:
-
9.1 (a) lo que debe supervisarse y medirse, incluidos los procesos y controles de seguridad de la información;
-
9.1 (b) los métodos de supervisión, medición, análisis y evaluación, según corresponda, para garantizar resultados válidos;
-
9.1 (c) cuándo se realizará la supervisión y la medición;
-
9.1 (d) quién deberá supervisar y medir;
-
9.1 (e) cuándo se analizarán y evaluarán los resultados de la supervisión y la medición; y
-
9.1 (f) quién analizará y evaluará estos resultados.
-
9.2 Auditoría interna
-
La organización debe realizar auditorías internas a intervalos planificados para proporcionar información sobre el sistema de gestión de seguridad de la información para saber si:
-
9.2 (a) cumple con<br>1) los requisitos propios de la organización para su sistema de gestión de seguridad de la información; y<br>2) los requisitos de esta norma internacional;
-
9.2 (b) se implementa y mantiene de manera efectiva.
-
La organización deberá:
-
9.2 (c) planificar, establecer, implementar y mantener uno o varios programas de auditoría, incluida la frecuencia, los métodos, las responsabilidades, los requisitos de planificación y la presentación de informes. Los programas de auditoría tendrán en cuenta la importancia de los procesos en cuestión y los resultados de auditorías anteriores;
-
9.2 (d) definir los criterios de auditoría y el alcance de cada auditoría;
-
9.2 (e) seleccionar auditores y realizar auditorías que garanticen la objetividad y la imparcialidad del proceso de auditoría;
-
9.2 (f) garantizar que los resultados de las auditorías se informen a la gerencia correspondiente; y
-
9.2 (g) conservar la información documentada como prueba del programa de auditoría y los resultados de la auditoría.
-
9.3 Revisión por parte de la gerencia
-
La gerencia directiva debe revisar el sistema de gestión de seguridad de la información de la organización a intervalos planificados para garantizar su idoneidad, adecuación y eficacia continuas.
-
La revisión por la gerencia incluirá la consideración de:
-
9.3 (a) el estado de las acciones de revisiones por parte de la gerencia anteriores;
-
9.3 (b) cambios en cuestiones externas e internas que son relevantes para el sistema de gestión de seguridad de la información;
-
9.3 (c) comentarios sobre el rendimiento de seguridad de la información, incluidas las tendencias en:<br>1) no conformidades y acciones correctivas;<br>2) resultados de supervisión y medición;<br>3) resultados de la auditoría; y<br>4) cumplimiento de los objetivos de seguridad de la información;
-
9.3 (d) comentarios de las partes interesadas;
-
9.3 (e) resultados de la evaluación de riesgos y estado del plan de tratamiento de riesgos; y
-
9.3 (f) oportunidades de mejora continua.
-
Los resultados de la revisión por la gerencia incluirán decisiones relacionadas con las oportunidades de mejora continua y cualquier necesidad de cambios en el sistema de gestión de seguridad de la información. La organización debe conservar la información documentada como prueba de los resultados de las revisiones por la gerencia.
10. Mejora
-
10.1 No conformidad y acciones correctivas
-
Cuando ocurre una no conformidad, la organización debe:
-
10.1 (a) reaccionar ante la no conformidad y, según corresponda:<br>1) tomar acciones para controlarla y corregirla; y<br>2) hacer frente a las consecuencias;
-
10.1 (b) evaluar la necesidad de acciones para eliminar las causas de la no conformidad, para que no se repita u ocurra en otro lugar, mediante:<br>1) la revisión de la no conformidad;<br>2) determinar las causas de la no conformidad; y<br>3) determinar si existen no conformidades similares o si podrían ocurrir potencialmente;
-
10.1 (c) implementar cualquier acción necesaria;
-
10.1 (d) revisar la efectividad de cualquier acción correctiva tomada; y
-
10.1 (e) realizar cambios en el sistema de gestión de seguridad de la información, si es necesario.
-
Las acciones correctivas deben ser apropiadas a los efectos de las no conformidades encontradas.
-
La organización debe conservar la información documentada como prueba de:
-
10.1 (f) la naturaleza de las no conformidades y cualquier acción posterior tomada, y
-
10.1 (g) los resultados de cualquier acción correctiva.
-
10.2 Mejora continua
-
La organización debe mejorar continuamente la idoneidad, adecuación y eficacia del sistema de gestión de seguridad de la información.
Finalización
-
Comentarios/recomendaciones
-
Nombre y firma