NMX-I-27001-NYCE-2009

5/25/2018 NMX-I-27001-NYCE-2009

1/47

NYCENORMALIZACION Y CERTIFICACIONELECTRClNICA, A.C.

NORMA MEXICANA

NMX-I-27001-NYCE-2009TECNOLOGiA DE LA INFORMACION - TECNICAS DE SEGURIDAD

SISTEMAS DE GESTION DE LA SEGURIDAD INFORMACION REQUISITOS

INFORMATION TECHNOLOGY - SECURITY TECHNIQUES - INFORMATION SECURITYMANAGErvlENT SYSTEMS - REQUIREMENTS

5/25/2018 NMX-I-27001-NYCE-2009

2/47

NORMALIZACION Y CERTIFICACIONELECTRONICA, A.C.

NORMA MEXICANA

NMX-I-27001-NYCE-2009TECNOLOGIA DE LA INFORMACION - TECNICAS DE SEGURIDAD

SISTEMAS DE GESTION DE LA SEGURIDAD INFORMACION REQUISITOS

INFORMATION TECHNOLOGY - SECURITY TECHNIQUES - INFORMATION SECURITYMANAGEMENT SYSTEMS - REQUIREMENTS

.. PROHIBIDA L COPIA REPRODUCCION PARCIAL 0 TOTAL DE ESTA NORMA MEXICANA SIN L AUTORIZACION DE NYCE A.C.

5/25/2018 NMX-I-27001-NYCE-2009

3/47

NMX-I-27001-NYCE-2009

PREFACIO

1. Esta Norma Mexicana fue elaborada en el sene del Comite Tecnico deNormalizacion Nacional de Tecnologias de la Informacion de NYCE aprobadapor las siguientes Instituciones Empresas:

CAMARA NACIONAL DE LA INDUSTRIA ELECTRONICA, DE TELECOMUNICACIONES YTECNOLOGIAS DE LA INFORMACION.INTESYC/CANIETI.BANAMEX.

Por otra parte tambien fue aprobada par las Ir lstituciones Empresas que acontinuacion se seiialan que conforman el ConsejoDirectivo de NYCEUNIVERSIDAD NACIONAL AUTONOMA DE MEXICO.CAMARA NACIOf\IAL DE LA INDUSTRIA ELECTRONICA, DE TELECOMUNICACIONES YTECNOLOGIAS DE LA INFORMACION.CAMARA NACIONAL DE LA INDUSTRIA HULERA.NUEVA GENERACION rvIANUFACTURAS, S.A. DE C.V.INDUSTRIAS RADSON, S.A. DE C.V.ISATEL DE rvlExIco, S.A. DE C.V.HEWLETI PACKARD MEXICO, S.A. DE C.V.AMPLIAUDIO, S.A. DE C.V.LATIICE TELECOMUNICACIONES PERSONALES, S.A.DELL MEXICQ, S.A.[ ENORTEUNETWORKS DE I ' I I : : I \ \L ' - '\ ; . ; DE C.V.HERMES0 YlUSIC, S.A. DESOLUCIONES INTEGRALES PARA OFICINA, DE C.V.ALCATEL-LUCENT MEXICO, S.A. DE C.V.LATIICE TELECOMUNICACIONES PERSONALES, S.A. DE C.V.

PROHIBIDA L COPIA, REPRODUCCION PARCIAL 0 TOTAL DE ESTA NORMA MEXICANA SIN L AUTORIZACION DE NYCE A.C.

5/25/2018 NMX-I-27001-NYCE-2009

4/47

NMX-I-27001-NYCE-2009

2. Esta Norma Mexicana cancela a la NMX-I-041/02-NYCE-2006.

3. a Declaratoria de vigencia de esta Norma Mexicana, se publico en el DiarioOficial de la Federacion el 28 de enero de 2010

PROHIBIDA L COPIA REPRODUCCION PARCIAL 0 TOTAL DE ESTA NORMA MEXICANA SIN L AUTORIZACION DE NYCE A.C.

5/25/2018 NMX-I-27001-NYCE-2009

5/47

00.10.20.3

11.11.2

233.13.23.33.43.53.63.7

3 8

3 9

3.103.113.123 13

3.143.15

INDICE DEL CONTENIDO

INTRODUCCIONGeneralidadesEnfoque por procesoCompatibilidad con otros sistemas de gestionOBJETIVO Y CAMPO DE APLICACIONGeneralidadesAplicacionREFERENCIASTERMINOS Y DEFINICIONESActivoDisponibilidadConfidencialidadSeguridad de la informacionEvento de seguridad de la informacionncidente de seguridad de la informacion

Sistema de Gestion de la S e g l [ i c ~ d de la .nformacionSecurity Management System (ISMS)]

Riesgo residual

Evaluacion de riesgosEstimacion de riesgosGestion de riesgosTratamiento de riesgos

NMX-I-27001-NYCE-2009

agina1113

33444455555

(SGSI) [ nformation 566666666

.. PROHIBIDA L COPIA, REPRODUCCION PARCIAL 0 TOTAL DE ESTA NORMA MEXICANA SIN L AUTORIZACION DE NYCE A.C.

5/25/2018 NMX-I-27001-NYCE-2009

6/47

NMX-I-27001-NYCE-2009

3 16 Declaracion de aplicabilidad 74 SISTEMA DE GESTION DE L SEGURIDAD DE L INFORMACION 74.1 Requisitos generales 74 2 Creacion y gestion del SGSI 74 2 1 Creacion del SGSI 74 2 2 Implementacion y operacion del SGSI 104 2 3 Supervision y revision del SGSI 104 2 4 Mantenimiento y mejora del SGSI 124.3 Requisitos de la documentaclon 124 3 1 Generalidades 124 3 2 ontrol de documentos 134 3 3 ontrol de registros 13

5 RESPONSABILIDAD DE L DIRECCION 145.1 ompromiso de la Direccion 145 2 Gestion de los recursos 145 2 1 Provision de los recursos 145 2 2 Concienciacion formacion y capacitacion 15

6 AU DITORiAS INTERNAS DEL SGGI 157 REVISION DEL.SGSI.POR L DIRECCION 167.1 167.2 Datos 167.3 17

8 M 178 1 Mejora continua 178 2 Accion correctiva 178 3 Accion preventiva 18

.. PROHIBIDA L COPIA, REPRODUCCI6N PARCIA L 0 TOTAL DE ESTA NORMA MEXICANA SIN L AUTORIZACI6N DE NYCE A.C.

5/25/2018 NMX-I-27001-NYCE-2009

7/47

NMX I 2700 1 NYCE 2009

PENDICENormativo)

OBJETIVOS DE CONTROL Y CONTROLES19

9 BIBLIOGRAFIA 3510 CONCORD NCI CON NORM S INTERNACIONALES 35

APENDICE BInformativo)

LOS PRINCIPIOS DE L OCDE Y ESTA NORMA MEXICANA36

APENDICE CInformativo)

CORRESPONDENCIA ENTRE LAS NOR .t\S> NMX-CC-9001-IMNC,SSA-14001-IMNC Y ESTA NORMA MEXICANA

NMX 38

APENDICEInformativo)

NORMAS INl ERNACIONALESMEXICANA

QUE COMPLEMENTAN A ESTA NORMA 40

PROHIBIDA L COP lA REPRODUCCION PARCI AL 0 TOTAL DE ESTA NORMA MEXICANA SIN L AUTORIZACION DE NYCE, A.C.

5/25/2018 NMX-I-27001-NYCE-2009

8/47

0 1

0.2

CDU: 35 080

NORMA MEXICANANMX-I-27001-NYCE-2009

TECNOLOGIA DE L INFORMACION - TECNICAS DE SEGURIDAD SISTEMAS DE GESTION DE L SEGURIDAD INFORMACION REQUISITOS

INFORMATION TECHNOLOGY - SECURITY TECHNIQUES - INFORMATION SECURITYMANAGEMENT SYSTEMS - REQUIREMENTS

o INTRODUCCIONGeneralidades

Esta Norma Mexfcana proporciona un modella p a f c F l a i i c r e a c i o n ~ i i r n p l e m e n t a c i o n operacion,supervision, revision, mantenimiento y mejora d e 2 ~ ; ~ ; j S i ~ ~ ~ ; ~ a de G e s t i o ~ de la Seguridad dela Informacion (SGSI). La adopcion de un SGSI d e b e s e ; ~ f f i ~ ~ ~ t o de una deFision estrategica deuna organizacion. ~ I . / d i s e n o y la implementacion; del S . ~ ; ~ ~ dependen de las necesidades yobjetivos de c a d a g ~ g a n i z a c i o n as! como de s U s ~ ~ ~ u i ~ . i t o s de seguridad, sus procesos, sutamano y e s t r u s ~ g . ~ ~ . s previsible que estes f ~ s ~ p r ~ ~ y los sistemas que los soportancambien con e . l ; t i ; ~ m p o ' 4 ( ) ; ~ ~ b i t u a l E : ~ i q M . ~ la i m R . ~ m E : Q t a c i o n de un ~ G S I se ajuste a lasnecesidadesderaorganizacion; por ejemplo, una situacionsencilla requiere un SGSI simple.

interna 0 externa ala organizacion, pueda efectuar una evaluacion de fa conformidad.Esta Norma Mexicana sirve para que cualquier parte interesada,

Enfoque por pro esoEsta Norma Mexicana adopta un enfoque P q ~ ceso para la creacoperacion, supervision, revision, mantenimientg ejora del SGSIUna organizacio9 tiene que definir y gestionar numerosas activieficiencia. C u a l q ~ i e r actividad que utiliza recursos y se gestiona ge modo que permite latransformacion de:;unos e l e m e n t o s d e ; ; ; ~ ~ e n t r a d a ~ ~ : i ; e n : / u n o s ; ; : / e l e m e n t o s de "salida" puedeconsiderarse un proceso. A menudo, la salida de un Droceso se convierte directamente en laentrada del p r o c ~ s o s i g U i e n La aplicacion de un c nto de procesos en un on la identificacion deestes y sus interaccio y su gestion, rproceso".I enfoque por p ~ q t e s o p gestion de la seguridad de fa informacion que se describe enesta Norma Mexicana anima a usuarios a enfatizar la i l n n n r t ~ n , . . i ~

a) comprender los requisitos de seguridad de la informacion de una organizacion y lanecesidad de establecer una politica de seguridad de la informacion y sus objetivos;b) implementar y operar los controles para administrar los riegos de seguridad de lainformacion de una organizacion en el marco de sus riesgos empresariales generales;

.. PROHIBIDA L COPIA REPRODUCCION PARCIAL 0 TOTAL DE ESTA NORMA MEXICANA SIN L AUTORIZACION DE NYCE, A.C.

5/25/2018 NMX-I-27001-NYCE-2009

9/47

2 40

"-

NMX I 27001 NYCE 2009

c) supervisar y revisar el rendimiento y la eficacia del SGSI; yd) asegurar la mejora continua sobre la base de la medicion objetiva.Esta Norma Mexicana sigue el modelo "Planificar - hacer - verificar - actuar" Plan-DoCheck-Act conocido como modelo PDCA), que se aplica para estructurar todos los procesosdel SGSI. La figura 1 muestra como un SGSI, partiendo de los requisitos y expectativas deseguridad de la informacion de las partes interesadas y a traves de las acciones y procesosnecesarios, produce los elementos de salida de seguridad de la informacion que responden adichos requisitos y expectativas. La figura 1 i1ustra asimismo los vinculos con los procesosque se describen en los capitulos 4, 5, 6, 7 Y 8.

EJEMPLO 1 (requisito de seguridad)Un requisito ppdria serque n i n g ~ n a v i o l a c i o n 8 ~ la seguridad de la informacion debeprovocar perjuicios economicos gravesy o comprometer a la organizacion.EJEMPLO 2 (expectativa de seguridad)En el caso de que se produjera un incidente grave, como por ejemplo un ataque informaticoal sitio web de comercio electronico de una organizacion, deberia haber personas consuficiente formacion en los procedimientos adecuados para minimizar las consecuencias.

1 '1 1 '1 ' IOSGRriQ9fP ii:ls detinidos en las Directrices deredes de informacion. Estalos principios de dichas

nl ,,.,.,,,,nt,,,rinn de la seguridad,

La adopcion del modeI8>P8S,i.\}amla OCDE (2002)1) que rigen la seguNorma Mexicana proporciona un modelo r o b l i ~ 9 directrices que rigen la evaluacion de riesgos, e l riic:: ,nnas como la gestion y la reevaluacion de la segu

FIGURA 1 Modelo PDC aplicado a los procesos SGSI1) Directrices de la OCDE para la Seguridad de los Sistemas y Redes de Informacion-Hacia una cultura de laseguridad. Paris: OCDE, julio de 2002. www.ocde.org.

PROHIBIDA L COPIA, REPRODUCCION PARCIAL 0 TOTAL DE ESTA NORMA MEXICANA SIN L AUTORIZACION DE NYCE, A.C.

5/25/2018 NMX-I-27001-NYCE-2009

10/47

0.3

NMX-I-27001-NYCE-20093 40

Definir la politica, objetivos, procesos y procedimientosdel SGSI relevantes para gestionar el riesgo y mejorarla seguridad de la informacion, con el fin de obtenerresultados acordes con las polfticas y objetivosgenerales de la organizacion.

Planifiear ereacion del SGSI)

Implementar y operar la politica, controles, procesos yaeer implementacion yprocedimientos del SGSI.peraeion del SGSI)

n n r m ~ r ri pEvaluar y en su__ :_ -

emedir el rendimiento del procesocontra laVerifiear supervision y objetivos y la experiencia prckticadel SGSI, los resultados a la Direccionpa ra su 1 0 ;'

revision del SGSI)

Adoptar medidas correctivas y preventivas, en funcionctuar mantenimiento y de los resultados de la auditorla interna del SGSI y de larevision por parte de la direccion, 0 de otrasinformaciones relevantes, para lograr la mejora continuadeISGSI.

mejora del SGSI)

Cornpatibilidad.eonotrossistemas de gestionEsta Norma Mexicana sigue las pautas marcadas en las NMX-CC-900l-IMNC e NMX-SSAl400l-IMNC para asegurar una implementacion integrada y consistente con lasmencionadas normas de gestion. De este modo, un sistema de gestion bien concebido puedecumplir los requisitos de todas esas norma. a tabla C.l muestra la relacion entre loscapitulos de esta Norma Mexicana y las Normas NMX-CC-900l-IMNC e NMX-SSA-1400lIMNC.

maptar su SGSI a

provisionesla norma sonormidad con esta

plimiento de las

LI ION

IMPORTANTE: Esta publieacion no pretendeneeesarias en un eontrato. Losresponsables de su eorrecta aplieaa Mexieana no otorga i

eiones legales.

Esta Norma Mexicana esta disenada para posibilitarlos requisitos deJos sistemas de gestion mencionados.

GeneralidadesEsta Norma Mexicana abarca todo tipo de organizaciones por ejemplo, empresas,organismos y entes publicos, entidades sin animo de lucro y especifica los requisitos para lacreacion, implementacion, operacion, supervision, revision, mantenimiento y mejora de unSGSI documentado, en el marco de los riesgos empresariales generales de la organizacion.Especifica los requisitos para el establecimiento de los controles de seguridad, adaptados a

PROHIBIDA LA COPIA, REPRODUCCION PARC IAL 0 TOT AL DE ESTA NORMA MEXICANA SIN LA AUTORIZACION DE NYCE A.C.

1 1

5/25/2018 NMX-I-27001-NYCE-2009

11/47

En la mayorfa de los casos, si una organizacionnegocio (por ejemplo NMX-CC-9001-IMNC 0 NMX-SSA-14001-IMNC). sistema del proceso derequisitos de

NMX-I-27002-NYCE

NMX I 27001 NYCE 20094 40

las necesidades de una organizacion 0 de partes de la misma.EI SGSI esta disenado con el fin de asegurar la seleccion de controles de seguridad,adecuados y proporcionados, que protejan los activos de informacion y den garantias a laspartes interesadas.NOTA 1: Las referencia al termino empresarial 0 de negocio en esta norma deberian interpretarse en un sentidoamplio, abarcando aquellas actividades que son esenciales para alcanzar los fines que persigue laorganizaciOn.NOTA 2: La Norma Mexicana NMX-I-27002-NYCE proporciona una gufa de implantacion que puede utilizarse aldisefiar los controles.1.2 plicacionLos requisitos establecidos en esta Norma Mexicaha

noOenel 'icos y aplicables a todas lasorganizaciones, cualquiera que sea su tipo Cuando una organizaciondeclara que cumple esta Norma Mexicana, exclusion de ninguno de losrequisitos definidos en los capitulos 4 5, 6, 7 Y

Toda exclusion de controles que se considere necesaria para cumplir los criterios deaceptacion del riesgo necesita ser justificada mediante evidencia de que los riesgosasociados han sido aceptados por las personas responsables. Cuando se excluya alguncontrol no se aceptara ninguna declaracion de conformidad con esta Norma Mexicana amenos que tales exclusiones no afecten a la capacidad y/o responsabilidad de laorganizacion para garantizar la seguridad de la informacion de acuerdo con los requisitos deseguridad derivados de la evaluacion de riesgos y de los requisitos legales 0 reglamentariosaplicables.NOTA:

esta Norma Mexicana dentro del sistema de aestion va existente.

2 REFERENCIASlementa con

TecnoloClia de lala siguiente Norma M ~ i c a n a vigente:

Tecnicas de seguridad gestion de la

TERMINOS Y DEFINICIONESPara los fines de esta Norma Mexicana, se aplican las siguientes definiciones.3 1 Activo

Cualquier bien que tiene valor para la organizacion.


5/25/2018 NMX-I-27001-NYCE-2009

12/47

5/40

3 6

NMX-I-27001-NYCE-2009

[Vease la NMX-I-086/01-NYCE]3 2 DisponibilidadLa propiedad de ser accesible y utilizable por una entidad autorizada.[Vease la NIVlX-I-086/01-NYCE]3 3 ConfidencialidadLa propiedad por la que la informacion no se disposicion 0 se revela a individuos,entidades 0 procesos no autorizados.[Vease la NMX-I-086/01-NYCE]3 4 Seguridad de la informacionLa preservacion de la confidencialidad, la i n t e g r i ~ ~ d y ; j l ~ ; ; d i s p o n i b i l i d a d de la informacion,pudiendo, ademas, abarcar otras propiedades, co 0 Ia.;autenticidad, la responsabilidad, lafiabilidad y el no repudio.[Vease la NMX-I-27002-NYCE]3 5 Evento de seguridad de la informacionLa ocurrencia e t ~ s t ~ en un estado de un sistema, servicio 0 red H ~ ~ < i n d i c a una posibleviolacion de la P l f ~ i s a de seguridad de I ~ i informacion, un fallo de ~ ~ i ; ; i ~ ~ Iaguardas 0 unasituacion desconocida hasta el momenta y.que puede ser relevante oara.Ja.seauridad.[Vease 0.1 de apendice 0 en esta Normarylexicana]

Illcidente de seguridad de la informacionUn unico e v e n t o ; J j Q ; . Y Q 9 ; ; ? g r i g c i g . g Y ; g Q ~ Q ? ; ; d e seguridad de l a . i n f o r m 9 ~ i Q n inesperados 0 nodeseados, que tienen una probabilidad significativa de comprometer las operaciones

formacion (SGSI)istema de Gestio[Information Security

[Vease 0.1 de apendice 0 en.esta Nqr3 7

empresariales y dezamenazarda seauridad dela informacion.

La parte del sistema de gestion general, basada en un enfoque de riesgo empresarial, quese establece para crear, implementar operar, supervisar, revisar, mantener y mejorar laseguridad de la informacion.NOTA: I sistema de gestion incluye la estructura organizativa, las polfticas, las actividades de planificacion, lasresponsabilidades, las practicas, los procedimientos, los procesos y los recursos.


5/25/2018 NMX-I-27001-NYCE-2009

13/47

6 4 0NMX-I-27001-NYCE-2009

3.8 IntegridadLa propiedad de salvaguardar la exactitud y completitud de los activos.[Vease la NMX-!-086/01-I\IYCE]3.9 Riesgo residualRiesgo remanente que existe despues de que se hayan tomado las medidas de seguridad.[Vease D.2 del apendice D en esta Norma Mexicana]3.10 Aceptacio del riesgoLa decision de aceptar un riesgo.[Vease D.2 del apendice D en esta Norma Mexicana]3.11 nalisis de riesgosUtilizacion sistematica de la informacion disponible para identificar peligros y estimar losriesgos.[Vease D.2 delapel1djceD, el lestaNbrma .Mexicana]3.12 Evaluacion de riesgosEI proceso general de analisis y estimacion[Vease D.2 del apendice D en esta N o r m a M ~ X i c ~ I i 33.13 Estimacion de riesgosEI proceso de c::ompari con los criterios riesgo, para asideterminar la importancia del riesgo.[Vease D.2 del apendice3.14Actividades coordinadas organizacion con respecto a los riesgos.[Vease D.2 del apendice D en esta Norma Mexicana]

Tratamiento de riesgosEI proceso de seleccion e implementacion de las medidas encaminadas a modificar losriesgos.

PROHIBIDA LA COPIA REPROD UCCION PARCIAL 0 TOTAL DE ESTA NORMA MEXICANA SIN LA AUTORIZACION DE NYCE A.C.

3.15

5/25/2018 NMX-I-27001-NYCE-2009

14/47

4

NMX I 27001 NYCE 20097 40

[Vease D.2 del apendice D, en esta Norma Mexicana]NOTA: En esta Norma Mexicana, el termino control se utiliza como sinonimo de "medida de seguridad".3.16 Declaracion de aplicabilidadDeclaracion documentada que describe los objetivos de control y los controles que sonrelevantes para el SGSI de la organizacion y aplicables al mismo.NOTA: Los objetivos de control y los controles se basan en los resultados y conclusiones de la evaluacion deriesgos y en los procesos de tratamiento del riesgo, en .Ios requisitos legales 0 reglamentarios, en lasobligaciones contractuales y en las necesidades empresariales de la organizacion en materia de seguridadde la informacion.

RID D EISTEM E GINFORM CION

4.1 Requisitos generalesLa o r g a n i z a c i o n q ~ . ~ E : l crear, implementar, o p e r a r ~ u p e r v i s a r revisar, mantener y mejorarun SGSI d o c u r Y 1 ~ Q t ~ q o d e n ~ r o d ~ 1 contexte de lasactividades empresariales generales de lao r g a n i z a c i o n Y i q ~ > l o s ries9()s>que estaafronta.A efectos de esta Norma Mexicana, elproceso utilizadosebasa en el modelo PDCA descrito enlaJiqura 1.4.2 reacion y gestion del SGSI4.2.1 reacion del SGSILa organizacion debe hacer 1 siguiente:a)

b) Definir una polftica del SGSI acorde con las caracteristicas de la actividad empresarial, lao r g a n i z a c i o n i ~ . l ~ i g b i c a c i Q 1 1 0 s u / a c t i v o s > ; 5 t c n o l o g i

orientacion generalsobre las "',-_. actonl con la seguridad de lainformaci

1) incluya

2) tenga en;eUenta IOsfequisitos ide la activida'd>Femp resa r-iaI, losrequisitos legales 0

car-a'cteristiCas de la actividadincluyendo losDefinir el alcance y los Ifmites del SGSIen ter-minOs deempresarial,/de la organizacion, su ubicacion, sus activos y t ~ 0 ' 5 0 l b g i a detalles y la ]ustificacion de cualquier exclusion del enlace

reglamentarios y las obligaciones de seguridad contractuales;3) este alineada con el contexto de la estrategia de gestion de riesgos de la organizacion

contexto en el que tendra lugar la creacion y el mantenimiento del SGSI;4) establezca criterios de estimacion del riesgo [vease 4.2.1 c)]; y


5/25/2018 NMX-I-27001-NYCE-2009

15/47

8 40

perdida de

NMX I 27001 NYCE 2009

5)sea aprobadapor la Direccion.NOTA: Aefectosde esta Norma Mexicana, la polftica deseguridadde la informacion se considera un subconjuntode la polftica delSGSI. Estas polfticaspuedenestardescritasen un unicodocumento.c) Definirel enfoquedela evaluacionderiesgosde la organizacion.

1)Especificar una metodologfa de evaluacion de r iesgos adecuada para el SGSI, lasnecesidadesdenegocio identificadas en materiadeseguridad de la informacionde laempresay los requisitoslegalesy reglamentarios.

2) Desarrollar criterios de aceptacion de los niveles de riesgb aceptables[vease5.1 f)].

La metodologfa seleccionada para la evaluacion de riesgos debe asegurar que lasevaluacionesde riesgosgeneren resultadoscomparablesy reproducibles.NOTA: Hay diferentes metodologfas para la evaluacion d e ~ i ~ ~ o S ~ E n > l a NMX-I-086/03-NYCE, Tecnologfa de lainformacion (TI) - Gufa para la gestion de la s e g u r i d ~ i d e T I - Parte 03: Tecnicas para la gestion de laseguridaddeTI.,se comentanalgunosejemplosde metodologfaspara la evaluacionde riesgos.d) IdentificarIdsriesgos.

1) I d e f l t i f i ~ . ~ r l o ~ . : a c t i v o s queestan dentro del. ambito de aplicacion del SGSI y a losp r o p i e t a r i o s ~ d e e s t o s actiyos.

2) Identificarlas.amenazasaqueestanexpuestosesos : : Ir t i \ lnc::3) Identificarlasvulnerabilidades podrianactuardichas.::Im,:>n.::l7.::1C::4 I d e n t i f i c a ~ i los impactos que s p ~ . ~ > i l ? s confidencialidad, integridady disponibflidad

e) Analizary va.l.orarlosriesgos.1)Evaluar los

derivarse una perdi 2) Evaluar la , de fallos de

seguridad a amenazas y impactosasociadosalos t=lctivo =: loscontrolesimp3) Estimar losnivelesde riesgo.

2) I termino "propietario" se refiere a un individuo 0 una entidad al que se Ie ha asignado la responsabilidadadministrativa para el control de la produccion, el desarrollo, el mantenimiento, el uso y la seguridad de losactivos. I termino"p ropie tario" no significa que la personatengarealmente algunderechodepropiedad sobreelactivo.

.. PROHIBIDA L COPIA, REPRODUCCION PARCIAL 0 TOTAL DE ESTA NORMA MEXICANA SIN L AUTORIZACION DE NYCE A.C.

5/25/2018 NMX-I-27001-NYCE-2009

16/47

NMX I 27001 NYCE 20099 40

4 Determinar si los riesgos son aceptables 0 si requieren un tratamiento conforme a loscriterios de aceptacion de riesgos establecidos en 4.2.1 c 2 .

f) Identificar y evaluar las opciones para el tratamiento de riesgos.Las posibles acciones a realizar, entre otras, son las siguientes:

1) aplicar controles adecuados;2) asumir los riesgos de manera consistente y objetiva, conforme a las politicas deorganizacion y a los criterios de aceptacion de riesgos [vease 4.2.1 c 2 ]; la

3) evitar los riesgos; y4 transferir los riesgos asociadosejemplo compaAfas de seguros 0 a otras partes, como por

g seleccionar los objetivos de control y los controles para el tratamiento de los riesgos.Los objetivosde control y los controles d e ~ e n ~ ~ I ~ c i o n a r s e e implementarse paracumplir l o s r e 9 u i s i t o s i d ~ n t i f i c a d o s enl e y ~ > l u a c i n de riesgos y en el proceso detratamiento d ~ r i e s g o s Esta seleccion debe tener en cuenta los criterios de aceptacionde riesgos [vease 4.2.1 c 2 ], ademas de los requisitos legales, reglamentarios ycontractualesiLos objetivos de control y los controles del apendice A deben ~ ~ I ~ S ~ i o n a r s e como partede este proceso en la medida en que si' Va(l par:a\satisfacer los reqlJiSiitos identificados.Los objetivos de control y los controles enumerados en el apendice A no sonexhaustivos, por 1 que pueden seleccionarse otros objetivos de control y otros controlesadicionales.

NOTA I apendice A contiene una lista completa de objetivos de control y controles que se hanconsiderado comunmente revelantes en las organizaciones. I apendice A proporciona a los usuariosde esta Norma Mexicana un punta de partida para seleccionar los controles, garantizando que no sepasan por alto importantes opciones de control.

nrovppr lnrpc;,

h) obtener la ai) obtener la aj elaborar u

'iesgos residuales propuestos.

Una declaracion de aplicabilidad debe incluir 1 siguiente:1) los objetivos de control y los controles seleccionados en 4.2.1 g Y las justificacionesde su seleccion;2) los objetivos de control y los controles actualmente implementados [vease 4.2.1

e 2]; y

PROHIBIDA L COPIA REPRODUCCION PARCIAL 0 TOTAL DE ESTA NORMA MEXICANA SIN L AUTORIZACION DE NYCE A C

5/25/2018 NMX-I-27001-NYCE-2009

17/47

a medicionde la eficacia delos controles p r m ~ ~ punta loscontrolescumplen losobjeti vosdecontrolplahificados . al personaldeterminar hastaque

NMX I 27001 NYCE 200910/40

3) a exclusiondecualquier objetivo de control ycontrol del apendiceA y la justificaciondeestaexclusion.NOTA: a declaracion deaplicabilidad proporciona un resumen delas decisiones relativasal tratamientode los riesgos. a justificacion de lasexclusionesfacilita una comprobacioncruzada deque no se

ha omitidoinadvertidamenteninguncontrol.4.2.2 Implementaci6n operaci6n del SGSIa organizaciondebehacer 10 que se indicaacontinuacion.

a) Formular un plan detratamiento de riesgos q ~ ~ ~ J ~ : ~ t i f i q u e las accionesde la Direccion,los recursos, las responsabil idades y las p r i o r i g C l g ~ ~ adecuados para gestionar losriesgosdela seguridaddela informacion (veaseb) Implementar el plan de tratamiento deriesgosfparaDI6grar los objetivos de controlidentificados, que tenga en cuenta la finaQe:iacion y la asignacion de funciones yresponsabilidades.c) Implementar los controles seleccionados en4.2.J.{ig) para cumplir los objetivos decontrol.d) Definirel ri'890.dell1edif la eficacia de losconfl"61es 0 de los grupos de controles

s e l e c c i o n a d ~ ; ~ > : s B e c i f i s ~ < r D c o m o t i : ~ : ~ < que usars:/:stas mediciones para evaluar laeficacia d e I ~ < > ~ n t r e l e s de cara/Cl/prqducirunos resLl.ltados comparablesy reproducibles[vease4.2.3 c)1;NOTA:

e) Implementarprogramas def) Gestionarlabperacion delSGSI.g) GestionarlosrecursosdelSGSI(veaseh) Implementar procedimientos y otros controlesquepermitan unadeteccion temprana de

incidente de seguridad [vease

ehacer 10 quese ii1dicaaconfinuaci6a organizacion4.2.3

a) Ejecutar procedimientos de supervision y revision, asf como otros mecanismos de control para: 1) detectar 10 antes posiblelos errores en los resultadosdelprocesado; 2) identificar 10 antes posible las debil idades del sistema de seguridad asf como el

PROHIBIDA L COPIA REPRODUCCI6N PARCIAL 0 TOTAL DE ESTA NORMA MEXICANA SIN L AUTORIZACI6N DE NYCE, A.C.

5/25/2018 NMX-I-27001-NYCE-2009

18/47

NMX I 27001 NYCE 200911 40

aprovechamiento de estas tanto con 0 sin eXito, y los incidentes;3) permitir a la Direccion determinar si las actividades de seguridad delegadas en otraspersonas 0 lIevadas a cabo por medios informaticos 0 a traves de tecnologias de lainformacion, dan los resultados esperados;4) ayudar a detectar eventos de seguridad y por tanto a prevenir incidentes deseguridad mediante el uso de indicadores; y5) determinar si las acciones tomadas para resolver una violacion de la seguridad hanside eficaces.

b) Realizar revisiones periodicas de la eficacia del SGSI teniendo en cuenta los resultadosde las auditorias de seguridad, los incidentes, los resultados de las mediciones de laeficacia, las sugerencias asi como los comentarios de todas las partes interesadas. Estasrevisiones incluyen el cumplimiento de la politica, y de los objetivos del SGSI y larevision de los controles de seguridad.c) Medir la eficacia de los controles para verificar han cumplido los requisitos deseguridad.d) Revisar las

5/25/2018 NMX-I-27001-NYCE-2009

19/47

s importante poderdemostrar la relaciohide)loscontrolesselec:Cionadosde los procesos de evaluacion y de t- ..,bn-liant- resultadosla polftica y

MX I 2700 1 NYCE 200912 40

h) Regist rar las acciones e incidencias que pudieran afectar a la eficacia 0 alfuncionamiento delSGSI(vease4.3.3 .

4.2.4 Mantenimiento mejora del SGSIRegu1armente, laorganizaciondebehacer1 quese indicaacontinuacion: a) Implementar enel SGSI lasmejoras identificadas. b) Aplicarlas medidascorrectivas y preventivas adecuadasdeacuerdocon losincisos8.2 y

8.3, sobre la base de la experienciaen materia de seguridadde la propiaorganizacion ydeotras organizaciones.c) Comunicar lasaccionesy mejoras a todas las un nivel dedetalleacordecon lascircunstancias.d) Asegurarquelasmejoras alcancen losobjetivosiprey!stos.4 3 Requisitos de la documentaciol14 3 1 GeneralidadesLa documentacion debe incluir lasdecisionesdela Direccionjunto con losregistros(records)de las mismas, debiendo quedar constancia de que las acciones dan respuesta a lasdecisiones y a la pol ft icas adoptadas, y garantizando que dichos documentos y loscorrespondientesreg istrosest2m disponibles.

objetivos delSGSI. La documentacion delSGSIdebeincluir: a) declaracionesdocumentadas dela polftica [vease4.2.1 b)] yde losobjetivos del SGSI; b) c) n de) el informe de;ieValuaciohde riesgos tveasef)g) los procedimientos documentados que necesita la organizacion para asegurar unacorrecta planificacion, operacion y control de sus procesos de seguridad de la

informacion, y para describir comomedir laeficaciade loscontroles [vease4.2.3 c)];

el plandetratamiento de riesgos [vease4.2.2 b)];

.. PROHIBIDA L COPIA, REPRODUCCION PARCIAL 0 TOTAL DE ESTA NORMA MEXICANA SIN L AUTORIZACION DE NYCE A .C.

5/25/2018 NMX-I-27001-NYCE-2009

20/47

necesita, y seaplicables a su

r1nrlln-oontos estan disponibles;

los documentos estan aisp6riil:5lespaFat()cf()aqmacenan y se destruyen de acuerdo con los proc

asegurar quprevenir el

asegurar que los documentos procedentes

aDlicar una identificacion adecuada a los dotumentos obsoletos aue son retenidos con

transfieren,c1asificacion

NMX I 27001 NYCE 200913/40

h) los requeridos por esta l\Iorma Mexicana (vease 4.3.3); Yi) la declaracion de aplicabilidad.NOTA 1: Cuando en esta Norma Mexicana aparece el termino "procedimiento documentado", significa que elprocedimiento se crea, se documenta, se implementa y se mantiene.NOTA 2: La extension de la documentacion del SGSI puede diferir de una organizacion a otra debido a:

- el tamafio y tipo de actividades de la organizacion; y- el alcance y la complejidad de los requisitos de sistema que se esta gestionando.

NOTA 3: Los documentos y registros pueden estar en cualquler de medio.4.3.2 Control de documentosLos documentos exigidos por el SGSI (vease 4 3 1 ~ e b ~ n ~ s t a r protegidos y controlados. Sedebe establecer un procedimiento documentadgipaEe:t)).y.definir las acciones de gestionnecesarias para:a) aprobar en los docu mentos previamenteasuiclistribucion;b) revisar, yVolver aapr()bar I()sdocurnentosj)segun vaya siendo necesario;

n identificados los cambios, as como el del documento que(oIH , revision;c)

d) asegurare)f) asegurar

g)h)i)j)

4.3.3 Control de registrosSe deben crear y mantener registros para proporcionar evidencias de la conformidad con losrequisitos y del funcionamiento eficaz del SGSI. Dichos registros deben estar protegidos ycontrolados. EI SGSI debe tener en cuenta cualquier requisito legal 0 regulatorio aplicable,as como las obligaciones contractua les. Los regist ros deben permanecer legibles, facilmente


5/25/2018 NMX-I-27001-NYCE-2009

21/47

obietivos

imnl :>m :>nf;:ji

politica dela mejora

supervisar,

NMX-I-27001-NYCE-200914/40

identificables y recuperables. Los controles necesarios para la identificacion,almacenamiento, proteccion, recuperacion, retencion y disposicion de los registros debenestar documentados e implementados.Deben conservarse los registros del desarrollo del proceso, segun se indica en 4.2, y detodos los sucesos derivados de incidentes de seguridad significativos relativos al SGSI.EJEMPLOEjemplos de registros son: el libro de visitas, los informes de auditoria y los formularios deautorizacion de acceso cumplimentados.

5 RESPONS BILID D E L DIRECCION5.1 Compromiso de la Direcci6nLa Direccion debe suministrar evidencias de para crear, implementar,operar, supervisar, revisar, mantener y mejorar t ..:::l\,6c:: de las siguientes acciones:a) formulando la politica del SGSl;b) velandopor.elestablecimiento de los objetivos vplaries del SGSl;c) estableciendo los roles y responsabilidades en materia de seguridad de la informacion;d) c o m u n i c n d o l ~ organizacion la i m p o r t a n c i a d e c U r n P l i S j l ~ s seguridad de la informacion, sus responsabilidades legalesy

continua;e) proporcionarido recursos suficientes para crear,revisar, mantener y mejorar el SGSI (vease 5.2.1);f) decidiendo IOs.criterios

5/25/2018 NMX-I-27001-NYCE-2009

22/47

6

NMX-I-27001-NYCE-200915 40

c) identificar y cumplir los requisitos legales y reglamentarios, as! como las obligaciones deseguridad contractuales;

d) mantener la seguridad adecuada mediante la aplicacion correcta de todos los controlesimplantados;

e) Ilevar a cabo revisiones, cuando sean necesarias, y reaccionar en base a los resultadosde estas revisiones; yf) cuando se requiera, mejorar la eficacia del SGSI.5.2.2 Concienciacian formacian

quey

se Ie hayan asignadoresponsabilidades definidas en el SGSI sea combeteote a cabo tareas requeridas,a traves de:a) determinar las competencias necesarias para personal que l Ievaa cabo trabajos queafecten al SGSI;b) impartir formacion 0 r e l i z ~ otras acciones (por ejemplo, la contratacion de personal

competente) para satisfacer estas necesidades;c) evaluarl.a./eficacia de las accionesrealizadas;d) mantener registros de educacion, formacion, aptitudes,

La organizacion debe asegurarse de que

y calificaciones(vease 4.3.3 .

La organizacion, debe asegurarse tambien de quela trascendencia y de la importancia de las actividadesiVdesu contribucion a los objetivos del SGSI.

UDITORi S INTERN S EL S SILa organizaciondeterminar si 10este SGSI:a) cumplen losaplicables;

realizar auditorias interne,vos de control, I",,,, I ,nt

esta

planificados, paraprocedimientos de

islacion y normativa

b) cumplen los requisitos de seguridad de la informacion identificados;c) se implantan y se mantienen de forma efectiva; yd) dan el resultado esperado.Se debe planificar un programa de auditorias, teniendo en cuenta el estado e importancia de

.. PROHIBIOA L COPIA, REPROOUCCION PARCIAL 0 TOTAL DE ESTA NORMA MEXICANA SIN L AUTORIZACION DE NYCE A.C.

5/25/2018 NMX-I-27001-NYCE-2009

23/47

NMX I 27001 NYCE 200916 40

los procesos y las areas a auditar, asf como los resultados de las auditorfas previas. Sedeben definir los criterios, el alcance, la frecuencia y los metodos de auditoria. La seleccionde auditores y la direccion de las auditorias debe garantizar la objetividad e imparcialidaddel proceso de auditoria. Los auditores no deben auditar su propio trabajo.Las responsabilidades y los requisitos para la planificacion, realizacion de las auditorfas, lainformacion de los resultados y el mantenimiento de los regist ros vease 4.3.3 , deben estardefinidos en un procedimiento documentado.I responsable del area auditada debe velar por que se realicen acciones para eliminar, sindemoras indebidas, las disconformidades d e t e c t ~ g j < : l . ~ ; \ X sus causas. Las actividades de

seguimiento, deben incluir la verificacion de lase.tggJpn realizadas y los informes de losresultados de la verificacion vease 8 .D.3, en el apeQcfice Mexicana, proporciona orientacionesutiles para realizar las auditorfas internasNOTA: La Norma que se menciona en

7 R VISION EL SGSI POR7.1 Generalidades

La D i r e c c i o n g E B . t i i t ~ ~ i s a r el SGSI de la o r g a n i z a c i c > ~ a intervalos planificados al menos unavez al a f i o ) i ; g ~ ~ ~ X J ~ ~ t . g H r a ~ 8 H t ~ E ; t ~ t i E j D E s u s g ~ v e n i e n c i a , adecuacion y eficacia. Estarevision d e b e j ; S 9 ~ t m p l a r ; l a j o p ) r - t u n i d e . t d s de 111ejora y la necesidad de cambios en elSGSI, incluyendo la polltica y los objetivos de seguridad de la informacion. Los resultados delas revisiones deben estar claramente documentad )s y se deben mantener los registrosvease 4.3.3 .7.2 atos iniciales de la revisionLos datos utilizados por la Direccion para la revision deben incluir:a) los resul tados revisiones del

o corre

ientps que.ppdrfaneficaciadel SGSI;

b)c) las tecnicas,para mejorad el estado dee) las vulnerabilidadesriesgos previa; 0 amenazas no abordadas adecuadamente en la evaluacion de

f) los resultados de las mediciones de la eficacia;g las acciones de seguimiento de las revisiones anteriores;

PROHIBIDA L COPIA, REPRODUCCION PARCIAL 0 TOTAL DE ESTA NORMA MEXICANA SIN L AUTORIZACION DE NYCE A. C.

5/25/2018 NMX-I-27001-NYCE-2009

24/47

7.3

NMX I 27001 NYCE 200917 40

h) cualquier cambioquepudieraafectar al SGSI; yi) lasrecomendacionesdemejora.

Resultados de la revisionLos resultados de la revision realizada por la Direccion deben incluir cualquier decision y accion relativasa: a) la mejora de la eficacia del SGSI; b) la actualizacionde la evaluacionde riesgosy I I l a n de tratamiento deriesgos; c) la modificacioride los proc:edirl1ieritos Y c f g ~ ~ r o l e s que afectan a la seguridad de la

informacion, .cuandosea necesario p a r a r E ~ p g l d e r aloseventosinternos0 externos quepuedenafectar al SGSI, incluyendo loscambiosen:1) losrequisitosdel negocio; 2) los requisitosde seguridad; 3) losprocesosdenegocioqueafectana los requisitosde negocioexistentes; 4 losrequisitoslegales0 reglamentarios; 5) lasobligacionescontractuales; y 6) losn ivelesderiesgoY o los r ..ih ..inC:

d lasnecesidadesde recursos; e) la mejora enel modo demedir la eficaciade loscontroles.

MEJORA DELSGSI8.1 Mejora continuaa organizacionpolftica yde losdel analisis de Ilasrevisionesde

ediante el usode latadosdelasauditorfas,y preventivas y de

Accion correctivaa organizacion debe realizar acciones para eliminar la causa de las noconformidades conlos requisitos del SGSI, a fin de evitar que vuelvan a producirse. I procedimiento

documentado para lasaccionescorrectivasdebedefinir losrequisitospara:


8.2

5/25/2018 NMX-I-27001-NYCE-2009

25/47

8.3

NMX I 27001 NYCE 200918/40

a) identificar las no conformidades;b) determinar las causas de las no conformidades;c) evaluar la necesidad de adoptar acciones para asegurarse de que las no conformidadesno vuelvan a producirse;d) determinar e implantar las acciones correctivas necesarias;e) registrar los resultados de las acciones realizadas (vease 4.3.3); yf) revisar las acciones correctivas realizadas.

Acci n preventivaLa organizacion debe determinar las acciones n r c e s ~ n ~ s para eliminar la causa de lasposibles no conformidades con los requisitos d e l ~ G S T V p a r a evitar que estas vuelvan aproducirse. Las acciones preventivas adoptadasidebeg ser apropiadas en relacion a losefectos de los problemas potenciales. EI procedimiento documentado para las accionespreventivas debedefinir los requisitos para:a) identificar las>posibles no conformidades y suscausas;b) e v a l u a r ~ i > \ n e < : e s i d a d de.i3doptar acciones para prevenir la ocurrencia de noconformidades;

c) determinar e ih1.plementar las accionespreventiyas necesariasd) registrar los resultados de las acciones adoptadas (veaseA.3.3e) revisar las acciones preventivas adopfadas:La o r g a n i z a c i o n ~ e b e identificar los cambios en los riesgos, a sf requisitos de lasacciones preventivCi?, central)9() ICi >Citen

5/25/2018 NMX-I-27001-NYCE-2009

26/47

NMX-I-27001-NYCE-200919 40

APENDICE A1\Iormativo)

OBJETIVOS DE CONTROL Y CONTROLES

Los objetivos de control y controles indicados en la tabla A.1 tienen correspondencia directacon los establecidos en la Norma Mexicana NMX-I-27002-NYCE, capftulos 5 a 15. Las Iistasde la tabla A.1 no son exhaustivas y una organizacion puede considerar que son necesariosobjetivos de control y controles adicionales. Los objetivos de control y los controles quefiguran en estas tablas deben ser seleccionado?;c )mo parte del proceso del SGSIespecificado en el inciso 4.2.1.

Los capftulos 5 a15 de la Norma M e x i c a n a ~ ~ X I 2 7 2 ~ ~ ~ ~ \ p f r e c e n i a s e s o r a m i e n t oparala implantacion junto con la gufa de buenaspracticas de apoyoalos co.ntroles especi ficadosen los puntas A.5 hasta A.15.TABLA A.1.- Objetivos de control y controles

IA.5 Politica de s.egllridadA S l Poli t icaaeseguridadde la ii1for:macionObjet/va: Proporcionar indicaciones para la gestion y soporte de la seguridad de la informacion de acuerdocon los requisitos empresariales y con la legislacion y las normativas aplicables.

Control

Aspectos organizativos de la seguridad de la informacion

acion debe revisarse ase produzcan cambiosque se mantenga su

un documento de polftica deinf orrna1cioln, publicarlo y distribuirlo a todosterceros afectados.

La polftica de seguridad de Iintervalo planificados 0 siemsignificativos, a fin se asidoneidad,>adecuacion

Revision de la polftica deseguridad de la informacion

D o c u m e n ~ g > d e polftica deseguridadde la informacion

A.6

A.5.1.2

A.5.1.1

A 6 1 Organizacion internaObjet/va: Gestiona

A.6.1.1o activo a la seguridade directrices c1aras, uncompromiso demostrado, asignaciones explfcitas y elreconocimiento de las responsabilidades de seguridad de lainformacion.

C PROHIBIDA L COPIA REPRODUCCION PARCIAL 0 TOTAL DE ESTA NORMA MEXICANA SIN L AUTORIZACION DE NYCE A. C.

5/25/2018 NMX-I-27001-NYCE-2009

27/47

A.6.l.2

MX I 27001 NYCE 200920/40

ontrol

ControlCoordinacion de la seguridad de Las actividades relativas a la seguridad de la informacionla informacion deben ser coordinadas entre los representantes de lasdiferentes partes de la organizacion con suscorrespondientes roles y funciones de trabajo.

ControlAsignacion de responsabilidadesA.6.l.3 relativas a la seguridad de la Deben definirse c1aramente todas las responsabilidadesinformacion relativas a la sequridad de la informacion.ControlProceso de autorizacion deA.6.1 4 recursos para el procesado de la Para cada nuevo recurso de procesado de la informacioninformacion debe definirse e implantarse un proceso de autorizacion porarte de la Direccion.

periodicamente la necesidadA.6.l.5 Acuerdos de confidencialidad de e s t a b l ~ ~ r acuerdos de confidencialidad 0 no revelacionque r e f l e j ~ .Ias necesidades de la organizacion para laroteccionde la informacion.A.6.l.6 Contactocon las autoridades Deben mantenerse los contactos adecuados con lasautoridades comoetentesControl

~ u p s de. especialA.6.l.7 Deben m ~ E ~ n e r ~ ~ l o s contactos apropiados con grupos deinteres especial uotros foros y asociaciones profesionalesesoecializados en sequridad.

Revision independiente de laA.6.l.8 seguridad de la informacion

A 6 2 erceros

Objet vo: Mantene uridad de la informacion de la 0 Jivos de procesado de lainformacion que 5 : de acceso tratamiento com ros.ontrol

Deben i riesgos para la informacion y para losA.6.2.1 disposit esado de la informacion de laacceso de terceros organizatl 65 de los .procesos de negocio querequieran de erceros e implantar los controles apropiadosantes de otor ar el acceso.ControlTratamiento de la seguridad en laA.6.2.2 Antes de otorgar acceso a los clientes a los activos 0 a larelacion con los clientes informacion de la organizacion deben tratarse todos losrequisitos de sequridad identificados.

A.6.2.3 Tratamiento de la sequridad en Control


5/25/2018 NMX-I-27001-NYCE-2009

28/47

NMX I 27001 NYCE 200921/40

contratoscontercerosLos acuerdos con terceros que conlleven acceso,tratamiento, comunicacion 0 gestion, bien dela informacionde la organizacion, 0 de los recursos detratamiento de lainformacion,0bien la incorporacionde productos0serviciosalosrecursosdetratamiento de fa informacion,debencubrirtodoslosrequisitosdesequridadoertinentes.

A.7 Gestio de activosA 7 l Responsabilidad sobre los activosObjetivo: Conseguir mantener una protecci6n adecuada de los activos de la organizacion

ControlA.7.1.l Inventario deactivos estar claramente identificados ym:::>nr",n"'rc::uninventario de todos los

ControlToda informacion y activos asociados con los recursos paraA.7.1.2 Propiedadde losactivos el tratamiento delainformaciondebentener unpropietari03)que forme parte de la organizacion y hay sido designadocomooropietario.Control

A.7.1.3 Usoaceptable delosactivos Se d e b e n i d ~ n t i f i c C l r d o c u m e n t a r e implantar lasreglas parael usc a C ~ 8 ~ b l e > de la informacion y los activos asociadosconlos recursosoarael orocesadodela informacion.A.7.2 Clasifit:aC:ionde la il'lf6rmaC::ion

A.7.2.l Directricesdec1asificacion La informacion valor, losrequisitos legales, ~ a ; ; j ~ j para laorqanizacion.ControlSe debe desarrollar e i m p l a n ~ a f u ~ conjunto adecuado det i q u e ~ ~ d o ymanipuladodelaA.7.2.2 informacion procedimientospara>etiquetaryi:manejar la informacion,deacuerdo con el esquema de clasificacion adoptadopor la

A.a Seguridad IiA S l Antes delObjetivo Asegurar;!ql.l$ los adecuados para l I e v a ~ ~ a fraude0 de usoindebidode

orqanizacion.

c

3) Explicacion: I termino "propietario" se refiere a la persona 0 entidad a la que se Ie ha asignado laresponsabilidad administrativadel control de la produccion, desarrollo, mantenimiento, uscy seguridad de losactivos. I termino"propietario"no significaque la personarenga realmentealgunderechode propiedad sobreelactivo.4) Explicacion:La palabra"empleo"utilizadaen estenormahacereferencia adistintassituaciones: contrataciondepersonal(temporal0 de largaduracion), nombramientode cargos,cambiode cargos,asignacionde contratistas,y terminacionde cualquierade estosacuerdos0 compromisos.

PROHIBIDA L COP lA REPRODUCCION PARCIAL 0 TOTAL DE ESTA NORMA MEXICANASIN L AUTORIZACION DE NYCE, A.C.

5/25/2018 NMX-I-27001-NYCE-2009

29/47

NMX I 27001 NYCE 200922/40

Controlas funciones y responsabilidades de seguridad de losFunciones y responsabilidades.8.l.l empleados, contratistas y terceros se deben definir ydocumentar de acuerdo con la polftica de seguridad de lainformacion de la orqanizacion.

Controla comprobacion de los antecedentes de todos loscandidatos al puesto de trabajo, de los contratistas 0 de losterceros, se debe lIevar a cabo de acuerdo con laslegislaciones, . 10rmativas y codigos eticos que sean deaplicacion Y 9 . t > / ~ . 8 a manera proporcionada a los requisitosdel n e g o c . i ~ r ; / . ~ > ~ ~ I ~ ~ i f i c a c i o n de la informacion a la que seaccede v .los/riesqos considerados.

Investigacion de antecedentes.8.1.2

contractuales, losTerminos y condiciones deA.8.1.3 e m p e a d o ~ I p S s . ~ ; n t r a t i s t a s y los t ~ r c e r o s deben aceptar ycontratacion firmar 1 0 s ; > t ~ ~ ~ i 1 ~ ~ i ) Y condiciones de su contrato de trabajo,que d e b e t s t a b l t s ~ r sus responsabilidades y las de laorqanizacionen lorelativo a sequridad de la informacion.A 8 2 Durante el empleoObjetivo: A s e g ~ r a r q ~ e t o d o s I O S t m p l e a d o s c?ntratistasy terceros son conscientes de las amenazas yproblemas queaftsta 1a la seguridad.de la.informacion Ygesus responsabilidades y obligaciones, y de queestim preparacl.ospara cumplir lapolftica destguridad de>la organizacion, en el desarrollo habitual de sutrabaio. v para reducir el riesqode errorhumano;

ControlA.8.2.l Responsabilidades de la Direccion

Concienciacion, formacion ycapacitacion en seguridad de la.8.2.2 loscorresponda, los contratistasadecuada concienciacion y oraanizacionControl

formal para losviolacion de laA.8.2.3

A 8 3alguna

la organizacion 0 cambian de

Responsabilidad del cese 0A.8.3.l as responsabilidades para proceder al cese en el empleo 0cambio al puesto de trabajo deben estar claramente definidas yasiqnadas.ControlA.8.3.2 Devolucion de activos Todos los emoleados. contratistas terceros deben


5/25/2018 NMX-I-27001-NYCE-2009

30/47

NMX I 27001 NYCE 200923/40

devolver todos los activos de la organizacion que estensu poder al finalizar su empleo. contrato 0 acuerdo.Control

en

A.S.3.3

A.9

Reiterada de los derechos deacceso

Se luridad fisica ambiental

os derechos de acceso a la informacion y a los recursos detratamiento de la informacion de todos los empleos,contratistas y terceros deben ser reiterados a la finalizaciondel empleo, del contrato 0 del acuerdo, 0 bien deben seradaptados a los cambios producidos.

ontrolA.9.l.2 Controles ffsicos de entrada as areas s e g u ~ ~ ~ d e e n estar protegidas por controles deentrada adecuados, para asegurar que unicamente seermite el accesoial personal autorizado.

la informacion de la orqanizacion.

entrada

ontrolSeguridad de oficinas, despachosA.9.l.3 e instalaciones S ~ . i 8 e b e 9 ~ i ~ e n a r y aplicar las medidas de seguridad ffsicaara lasoficinas.despachos e instalaciones.

A 9 l reas segurasObjetivo Prevenir los accesos ffsicos no autorizados, los

A.9.l.1 Perfmetro de seguridad ffsica

Protecciori contra las amenazasA.9.l.4 extern as y de origen ambiental

intromisiones en las instalaciones y en

~ ~ ~ ~ m ~ ~ ~ B s de segpridad barreras, muros,con control a traves de tarjeta 0puestos d ~ s o n t r g l ; p a r a proteger las areas que contienen lainformacioniN losrecursos de tratamiento de la informacion.

ControlSe debe disenar y aplicar una proteccion ffsica contra eldane causado por fuego, inundacion, terremoto, explosion,revueltas sociales y otras formas de desastres naturales 0rovocados por el hombre.Control

A.9.l.5 Trabajo en areas seguras proteccion ffsica y unat ,h ,i ' en las areas seclUras.

A.9.l.6

Objetivo Evitar perdidas, danos, robos 0 circunstancias que pongan

A.9.2.1 Emplazamiento y proteccion deequipos os equipos deben situarse 0 protegerse de forma que sereduzcan los riesgos derivados de las amenazas y peligrosde origen ambiental asf como las ocasiones de que seroduzcan accesos no autorizados.

en peligro los activos, 0 que puedanrovocar la interrupcion de las actividades de la orqanizacion.Control

PROHIBIDA L COPIA REPRODUCCIO N PARCIAL 0 TOTAL DE ESTA NORMA MEXICANA SIN L AUTORIZACION DE NYCE A C

A 9 2

5/25/2018 NMX-I-27001-NYCE-2009

31/47

A.9.2.2

NMX I 27001 NYCE 200924/40

ontrolInstalaciones de suministro Los equipos deben estar protegidos contra fallos dealimentacion y otras anomalfas causadas por fallos en lasinstalaciones de suminis tro.

ontrolA.9.2.3 Seguridad del cableado EI cableado electrico y de telecomunicaciones que transmitedatos 0 que da so porte a los servicios de informacion debeestar proteqido frente a intercepciones 0 danos.

ontrolA.9.2.4 Mantenimiento de los equipos correcto que

Seguridad de los equipos fuera de riesgos que conllevaA.9.2.5 las instalaciones de lasiiistalaCiones de la organizacion, deben

Reutilizaci6n 0 retirada segura de Todos 105\.> soportes de almacenamiento deben serA.9.2.6 equipos c o m p r o b a d g ~ para confirmar que todo dato sensible y todaslas l i c e n c i ~ ~ d e ~ v : w a r e se han eliminado 0 bien se hanrecarqadodemanera sequra. antes de su retirada.ontrolRetirada de materiales propiedadA.9.2.7 de la empresa LOs>equipos, la infOrmacion o ~ J ; s o f t w a r e no deben sacarsede las instalaciones. sin una autorizacion previa.

Gestion deco unicaciones y operacionesA l0 l Responsabilidades y procedimientos de operacion

Deben documentarse y mantoperacion y ponerse a disposici6nDocumentacion de losprocecjjmientos de operacion.10.1.l

A l0

la informacion.

los procedimientos detodos los usuarios quelos necesitehtontrol

A.10.1.2 rolarse los cambios en los recursos y lose tratamiento de la informacion.

areas de responsabilidad deben segregarsela posibilidad de que se produzcanmodificaciones no autorizadas 0 no intencionadas 0 usesindebidos de los activos de la orqanizacion.ontrolSeparacion de los recursos deA.10.l.4 Deben separarse los recursos de desarrollo, de pruebas ydesarrollo, prueba y operacion de operacion, para reducir los riesgos de acceso noautorizado 0 los cambios en el sistema ooerativo.

a p l i c a r s e n ; ~ 8 i d ~ ; ~ i ~ t seguridad a los equipos situados fuerade dichas instalaciones.ontrol

* PROHIBIDA L COPIA, REPRODUCCION PARCIAL 0 TOTAL DE ESTA NORMA MEXICANA SIN L AUTORIZACION DE NYCE A.C.

A.10.1.3

5/25/2018 NMX-I-27001-NYCE-2009

32/47

NMX I 27001 NYCE 200925/40

A 1 0 2 Gestion de la provision de servicios por tercerosObjetivo Implantar y mantener el nivel apropiado de seguridad de la informacion en fa provision delservicio. en consonancia con los acuerdos de provision de servicios por terceros.Control

A lO 2 l Provision de servicios Se debe comprobar que los controles de seguridad, lasdefiniciones de los servicios y los niveles de provision,incluidos en el acuerdo de provision de servicios porterceros, han sido implantados, puestos en operacion y sonmantenidos por parte de un tercero.ControlA lO 2 2 Supervision y revision de losservicios prestados por terceros Los serviciostercero debperiodicas, y

eriodicas.

il"iformes y registros proporcionados por unserpbjeto de supervision y revisionambien/ deben lJevarse a cabo auditorfasControl

A lO 2 3 Gestion de cambios en losservicios prestados por tercerosSe d e b e ~ ; g e s t i d n ~ r los cambios en la provision de losservicios,igcluyengo el mantenimiento y la mejora de laspolfticas, Josprosegimientos y los controles de seguridad dela i n f o r m a S i 9 n ~ ~ i ~ t e n t e s teniendo en cuenta la criticidadde los prosTsos' ,I;sistemas del negocio afectados as comola reevaluacion de los riesqos.

A 1 0 3 Planificac:io11 aceptac:iondel sistemaObietivo Minimizarel riesQodefallos de los sistemas.Control

A lO 3 l Gestionde capacidadesLa utilizacion de los recursos se debe supervisar y ajustaras como realizar proyecciones de los requisi tos futuros decapacidad, para garantizar el comportamiento requerido delsistema.

Se deben establecer losnuevos sistemas de informacion,ceptacion del sistemalO 3 2

Objetivo: Prntpnpr

ales de deteccion, prevencion yA lOA l recuperacion que sirvan como proteccion contra codigo

A lOA 2 Controles contra el codigodescargado en el cliente

malicioso y se deben implantar procedimientos adecuadosde concienciacion del usuario.ControlCuando se autorice el uso de codigo descargado en elcliente, (JavaScript, VBScript, applets de Java applets,controles ActiveX, etc , la configuracion debe garantizarue dicho codiqo autorizado funciona de acuerdo con una

PROHIBIDA L COPIA, REPRODUCC ION PARCIAL 0 TOTAL DE ESTA NORMA MEXICANA SIN L AUTORIZACION DE NYCE A C

5/25/2018 NMX-I-27001-NYCE-2009

33/47

NMX I 27001 NYCE 200926/40

Objet vo: Asegurar la proteccionsooorte.

A 10 6 l Controles de red

SegLJridadde los servicios de red10 6 2

A 10 7 Manipu/aCion de los soportesObjetivo: Evitar la revelacion, modificacion,interruocion de las actividades de la or

Gestion de soportes extrafbles10 7 l

polftica de seguridad c1aramente definida, y se debe evitarue se eiecute el codiqo no autorizado.A 10 S Copias de seguridad

Objet vo: Mantener la integridad y disponibilidad de la informacion y de los recursos de tratamiento de lainformacion. ControlCopias de seguridad de la Se deben realizar copias de seguridad de la informacion y10 5 l informacion del software, y se deben probar periodicamente conforme a

la oolftica de cooias de sequridad acordada.A 10 6 Gestion de la seguridad de las redes

la proteccion de la infraestructura de

estar adecuadamente gestionadas yc o n t r o l a d ~ ~ r r p a r a que esten protegidas frente a posiblesa m e n a z a ~ } ~ p a r a mantener las seguridad de los sistemas yde las ap ic:;aciones que utilizan estas redes, incluyendo lainformaciohen transito.ControlSe debenjdentificar las caracterfsticas de seguridad, losniveles deserviCig, y los requisitos de gestion de todos losservicios.de redl se deben incluir en todo acuerdo de

s e r v i c i o S . 8 . ~ r r e d i ; ~ ~ n t o si e s t ~ servicios se prestan dentrode la orqanizacioncomo si se subcontratan.

la gestion de los

Losi>soportes>deben ser retiradosde forma segura cuandoya no vayan a ser necesarios, mediante los procedimientos

a documentacion del sistema debe estar protegida contraaccesos no autorizados.

de la informacion

formales.estableCidos.Control

la manipulacion yde modo que seciOn}(contra la revelacion no autorizada

rocedimientos de I Control

A 10 7 2

A 10 7 3

A 10 7 4

Retirada de soportes

Seguridad de la documentaciondel sistemaA 10 S Intercambio de informacion


5/25/2018 NMX-I-27001-NYCE-2009

34/47

A.10.9.1

NMX I 27001 NYCE 200927/40

intercambio de informacion

A.10.8.2 Acuerdos de intercambio

A.10.8.3 Soportes ffsicos en transito

A.10.8 4 Mensajerfa electronica

A.10.8.S Sistemas de informacion

uridad de 105 servicios de comercioelectfonicoontrol

a informacion incluida en el comercio electronico que setransmita a traves de redes publicas debe protegerse contralas actividades fraudulentas, las disputas contractuales, y larevelacion 0 modificacion no autorizada de dichainformacion.Control

a informacion contenida en 1 ~ ~ A ~ ~ ~ n s a c c i o n e s en linea debeTransClcciones en Ifnea.10.9.2 estar protegida para e V i t a ~ 8 ~ r a ~ s m i s i o n e s incompletas,errores de direccionamiento, C l l t e r a ~ i o n e s no autorizadas delos mensajes, larevelacionpda .duplicacion 0 la reproduccionno autorizadas del mensaie.A.10.9.3

A.10.10

Se deben realizar registros de auditoria de las actividadesde 105 usuarios, las excepciones y eventos de seguridad deRegistro de auditorias.10.10.l la informacion, y se deben mantener estos registros duranteun periodo acordado para servir como prueba eninvestigaciones futuras y en la supervision del control deacceso.Supervision del uso del sistema.10.10.2 ontrol

Obietivo: etectarlas actividades deSupf3rvision

ontrol

empresarialesA 10 9 Servicios de comercio e/ectronico

Deben establecerse polfticas, procedimientos y controlesformales que protejan el intercambio de informacionmediante el uso de todo tipo de recursos de comunicacion.ControlDeben establecerse acuerdos para el intercambio deinformacion y del software entre la organizacion y 105terceros.ontrol

Durante el transporte fuera de 105 Ifmites ffsicos de laorganizacion, 105 soportes que contengan informaciondeben estar protegidos contra accesos no autorizados, usosindebidosAoAdeterioro.

electronica

Deben f o r l } l U l a r s ~ 8 ; 8 o l l t i c a s y procedimientos para protegerla informacion asociada a la interconexion de 105 sistemasde inform, lC:i6n emDresariales.


5/25/2018 NMX-I-27001-NYCE-2009

35/47

MX I 27001 NYCE 200928/40

Se deben establecer procedimientos para supervisar el usode los recursos de procesamiento de la informacion y sedeben revisar periodicamente los resultados de lasactividades de supervision.ontrol

A.1D.1D.3

A.1D.1D.4

Proteccion de la informacion delos registros

Registros de administracion yoperacion

os dispositivos de registro y la informacion de los registrosdeben estar protegidos contra manipulaciones indebidas yaccesos no autorizados.ontrol

Se d e b e n x ~ g ~ ~ r a r las actividades del administrador delsistema vdelaToperacion del sistema.A.1D.1D.S Registro de fallos y se deben

os reioNsdet9poS los sistemas de procesamiento de laSincronizacion del reloj.1D.1D.6 informacionidentrofde una organizacion 0 de un dominio deseguridad geben estar sincronizados con una precision detiempo acordada

A l l Controldi;iaccesoA l l l Requisitiisde negociopafa el contro de accesoObietivo: Controlar el acceso a la informacion

ontrolA.l1.l l control de acceso Se debe establecer, documentar y revisar una polftica decontrol de acceso basada en los requisitos empresariales yde seouridad para el acceso.A l l 2 estion de acceso de usuarioObjetivo Asegurar el acceso de un usuario ;:llltr li i 7iitiir l nrpvpnir el autorizado a los sistemas deinformacion

ontrolRegistro de usuario DebEfiestablecerseuniprocedimiehto formal de registro y deanulacion de usuarios para conceder y revocar el acceso aA.11.2.l

A.11.2.2 privilegios deben estar

A.11.2.3 ser controlada a traves

todds lossistell1aS0YiserViCios deW"Iformacion.

r:ontrrlsenas debe

Revision de los derechos deA.11.2 4 acceso de usuario a Direccion debe revisar los derechos de acceso de usuarioa intervalos reoulares v utilizando un proceso formal


5/25/2018 NMX-I-27001-NYCE-2009

36/47

NMX I 27001 NYCE 200929/40

A l l 3 Responsabilidades de usuarioObjet/vo: Prevenir el acceso de usuarios no autorizados, asf como evitar el que se comprometa 0 seroduzca el robe de la informacion 0 de los recursos de procesamiento de la informacion

A.11.3.3 Polftica de puest() de trabajodespejado y pantalla Iimpiapuesto de trabajo despejado

de almacenamiento extrafblescon ana pblitica

5/25/2018 NMX-I-27001-NYCE-2009

37/47

NMX I 27001 NYCE 200930 40

polftica de control de acceso de las aplicacionesempresariales.A 11 S Control de acceso al sistema operativo

Obietivo: Prevenir el acceso no autorizado a los sistemas operativos.ontrol

A.ll .S. l Procedimientos seguros de iniciode sesion EI acceso a los sistemas operativos se debe controlar pormedio de un procedimiento seouro de inicio de sesion.ontrol

A.ll.S.2 Identificacion y autenticacion deusuario Todos los usuarios deben tener un identificador unico (ID deusuario para su usc personal y exclusivo, y se debe elegiruna tecnica adecuada de autenticacion para confirmar laidentidad solicitada del usuario.

lasde

las aplicaciones delos tiempos de

dorasportatiles y servicios deontrol

~ s s e s i o p ~ ~ i p ~ s t i v s deben cerrarse despues de uneriodo deinactividad definido.ontrol

Desconexion automatica de

Uso de los recursos del sistema

Sistema de gestion decontrasenas

A.l1.6.1

Objetivo: Garantizarla seguridad de lateletrabaio

A.l1.6.2

ontrolObietivo: Prevenir el acceso no autorizado a la informacion Que .-nnf ' i 'npn

A.1l.S.6 I Limitac:ionidel tiempo de conexion I Para proporcionar seguridad. adiciOh afalto riesgo, se deben utiliza.tconexion

A.ll.S.S

A.ll.S.4

A 11 6 Control deacceso a las aplicaciones y la informacion

A.1l.S.3

A.1l.7.1 Computadoras portatiles ycomunicaciones moviles Se debe implantar una polftica formal y se deben adoptarlas medidas de seguridad adecuadas de proteccion contrariesgos de la utilizacion de computadoras portatiles ycomunicaciones moviles.A.1l.7.2 Teletrabajo ontrol


5/25/2018 NMX-I-27001-NYCE-2009

38/47

NMX I 27001 NYCE 200931 40

Se debe redactareimplantar, unapolftica de actividadesdetelet rabajo, as! como los planes y procedimientos deooeracion corresoondientes.A 12 Adauisicion desarrollo v mantenimiento de los sistemas de informacionA 12 1 Requisitos de seguridad de los sistemas e informacion

rada en lossistemasdeinformacion.ControlEn las declaraciones de los requisitos de negocio para losnalisisy especificaciondelosA.12.1.1 nuevos sistemas de informacion, 0 para mejoras de lossistemasde informacionya existentes, se deben especificarlosreauisitosdelos controlesdeseouridad.

requisitosde seguridad

A 12 2 Tratamiento correcto de las aplicacionesObjetivo Evitar err'ores, perdidas, mnrlifi,.. r-innpc:: indebidbs de la informacion en lasaolicaciones Control

Validaciondelosdatosde La introdllc@onde datos en las aplicaciones debe validarse.12.2.1 entrada para garantizatClue dichos datos son correctos yadecuados.ControlPara d e t e c t ~ r c ~ ~ l q u i e r corrupcion de la informacion debidaA.12.2.2 Controlde procesamientointerne aerroresde procesamiento0 actosintencionados,se deben

i ~ c o r p o r r cornprobaciones de validacion en lasaolicaciones.ControlSe deben ident if icar los requisi tos para garantizar la

A.12.2.3 los mensajes autenticidady para proteger la integridad de los mensajesen las aplicaciones y se deben identificar e implantar loscontrolesadecuados.

A.12.2,4 Validaciondelosdatosdesalida aplicacion se debenvalidarparatratamiento de la informacionalmacenadaA 12 3 Cont roles criptognificos

A.12.3.2 IGestiondec aves IDebe implantarseun sistema degestion de c aves para darso porte al uso de tecnicas criptogrclficas por parte de laoraanizacion.

A 12 4 Seguridad de los archivos de sistemaObietivo Garantizar la seauridaddelosarchivosdesistema. Controldel softwareen IControlexolotacion

A.12.3.1

Icfinformacion por medios

.. PROHIBIDA L COP lA REPRODU CCION PARCIAL 0 TOTAL DE ESTA NORMA MEXICANA SIN L AUTORIZACION DE NYCE A.C.

5/25/2018 NMX-I-27001-NYCE-2009

39/47

NMX I 27001 NYCE 200932 40

Deben estar implantados procedimientos para controlar lainstalacion de software en los sistemas ooerativosControlProteccion de los datos de pruebaA.12 4.2 os datos de prueba se deben seleccionar con cuidado ydeben estar proteqidos y controlados.del sistema ControlControl de acceso al codigoA.12 4.3 Se debe restringir el acceso al codigo fuente de losorooramas.fuente de los programasA 12 5 Seguridad en los procesos de desarrollo soporteObjet vo: Mantener la sequridad del software y de la informacion de las aplicacionesControlProcedimientos de control deA.12.5.1 a impl nt cionde c mbiosdebe controlarse mediante el

uso de orocedimiento formales de control de cambios.cambios

ontrolRevision tecnica de las Cuando se modifiquen los sistemas operativos, lasA.12.5.2 aplicaciones tras efectuar aplicaciones empr esariales crfticas deben ser revisadas ycambios en el sistema operativo probadas para garantizar que no existen efectos adversos

en las operaciones 0 en la sequridad de la orqanizacion.ontrol

Restricciones a los cam bios en los Se deben disuadir las modificaciones en los paquetes de.12.5.3 paquetes de software software, Iimitandose a los cambios necesarios, y todos loscambios deben ser objeto de un control riguroso.ControlA.12.5 4 Fugas de informacion Deben evitarse las situaciones que permitan que seoroduzcan fuoas de informacion.

ontrolExternalizacion del desarrollo deA.12.5.5 software a e x t e r ~ a l i z a c i o n d ~ g e s a r r o l i o de software debe sersupervisada y controlada por laorganizacion.A 12 6 Gesti6n de l vulnerabilidad tecnicObjet vo: Reducir los riesgos resultantes de la explotacion de las vulnerabilidades tecnicas publicadas.

ontrol

Control IfUIlIt :1A.12.6.1 tecnicas

A 13A 13 1 Notificaci6n de eventos puntos debiles de l seguridadObjet vo: Asegurarse de que los eventos y las vulnerabilidades de la seguridad de la informacion, asociadoscon los sistemas de informacion, se comunican de manera que sea posible emprender las accionescorrectivas oportunas. Control

Notificacion de los eventos deA.13.1.1 os eventos de seguridad de la informacion se debenseguridad de la informacion notificar a traves de los canales adecuados de gestion 1antes posible.


5/25/2018 NMX-I-27001-NYCE-2009

40/47

NMX I 27001 NYCE 200933/40

ControlN tT ., d t b l I Todos los empleados, contratistas, y terceros que seanA.13.1.2 I dO Icaclon' ~ os pun os e I es usuarios de los sistemas y servicios de informacion debende a segur a estar obligados a anotar y notificar cualquier punta debilque observen 0 que sospechen eXista, en dichos sistemas 0servicios.

A.13.2 Gestion de incidentes de segurid d de la inform cion mejor sObjet vo: Garantizar que se aplica un enfoque coherente y efectivo a la gestion de los incidentes deseguridad de la informacion.

ontrolResponsabilidades y Se deben establecer las responsabilidades y procedimientos.13.2.1 procedimientos de g s t i o n p ~ r ~ garantizar una respuesta rapida, efectiva yordenada alos incidentes de seguridad de la informacion.

ControlAprendizaje de los incidentes de Deben existir mecanismos que permitan cuantificar y.13.2.2 seguridad de la informacion supervisar los tipos, volumenes y costos de los incidentesde seguridad de la informacion.Control

Cuando se emprenda una accion contra una persona uorganizacion, despues de un incidente de seguridad de laA.13.2.3 Recopilacion de evidencias informacion, que implique acciones legales (tanto civilescomo penales), deben recopilarse las evidencias,conservarse y presentarse conforme a las normasestablecidas en la jurisdiccioncorrespondiente.A.14 estion de la continuidad del negocioA.14.1 spectos de segurid d de la inform cion en la gestion de la continuid d del negocioObjet vo: Contrarrestar las interrupciones de las actividadesempresariales y p r ~ t e g ~ r r o ~ p r c e s o s crfticos denegocio de los efectos derivados de fallos importantes 0 catastroficos de los sistemas de informacion, ascomo qarant izar su oportuna reanudacion ControlInclusion de la seguridad de lainformacion en el proceso de Debe desarrollarse y m n t ~ r s ~ un proceso para laA.14.1.1 gestion de la continuidad del continuidad del negocio en > toda la organizacion, quenegocio gestione los> retluisi tos de seguridad de la informacionnecesarios para la continuidad del neqocio.

que puedan causarContinuidad del negoclo yA.14.1 .2 de negocio, aSI como lariesgosI tales interrupciones, suspara la seguridad de la

IUI I I IO \ ; ; IUI IontrolDesarrollo e implantacion deplanes de continuidad que Deben desarrollarse e implantarse planes para mantener 0A.14.1.3 incluyan la seguridad de la restaurar las operaciones y garantizar la disponibilidad de lainformacion informacion en el nivel y en tiempo requeridos, despues deuna interrupcion 0 un fallo de los procesos de negociocrfticos.Marco de referencia para la ControlA.14.1,4 planificacion de la continuidad del

* PROHIBIDA L COPIA REPRODUCCION PARCIAL 0 TOTAL DE ESTA NORMA MEXICANA SIN L AUTORIZACION DE NYCE A.C.

5/25/2018 NMX-I-27001-NYCE-2009

41/47

NMX I 27001 NYCE 200934 40

negocio

Pruebas, mantenimiento yA.14.1.5 reevaluacion de los planes decontinuidad del negocioA 15 Cumplimiento

Debe mantenerse un unico marco de referencia para losplanes de continuidad del negocio, par asegurar que todoslos planes sean coherentes, para cumplir los requisitos deseguridad de la informacion de manera consistente y paraidentificar las prioridades de realizacion de pruebas y demantenimiento.ControlLos planes de continuidad del negocio deben probarse yactualizarse periodicamente para asegurar que estan al diav aue son efectivos.

A 15 1 1 Cumplimiento de los requisitos legalesObjetivo: Evitar incumplimientos de las leyes 0 de las obligacioneslegales, reglamentarias 0 contractuales yde los requisitos de sequridad.

Identificacion de la legislacionA.15.1.1

Derechos de propiedad intelectualA.15.1.2 (DPI) [Intellectual Property

Proteccion de los documentos deA.15.1.3

Proteccion de d tos y privacidadA.15.1.4 de la informacion personal

A.15.1.5

aplicable

Rights (IPR) ]

la organizacion

j' "'" ' ~ ~ ~ i los c .......J?V:> iLlIVI I I . ~ V I

oQnld::i"'i6n decriptogrclficos

IILV

'VIILI VIC:>A.15.1.6

ControlTodos los requisitos pertinentes, tanto legales comoreglamentarios 0 contractuales, y el enfoque de laorganizacion parel cumpl ir dichos requisitos, deben estardefinidos, documentados y mantenerse actualizados deforma explfcita para cada sistema de informacion de laorqanizacion.ControlDeben implantarse procedimientos adecuados paragarantizar el cumplimiento de los requisitos legales,reglamentarios y contractuales sobre el usa de material,con respecto al cual puedan existir derechos de propiedadintelectual y sobre el uso de productos desoftware/propietario.Control

L o s d o c ~ l 1 l ~ g ~ 9 s 0 i m p o r t a n t e s d E : ~ . ~ Q .. ~ t a r protegidos contrafa perdida, destruccion y f a l s i f i s ~ s i < s n de acuerdo con losrequisitos legales, regulatorios, contractuales yempresariales.

ontrolDebe garantizarse la proteccion y la privacidad de los datos~ ~ g p n se requiera E: g la > l ~ > g i i ~ > i ~ I ~ i y las regulaciones y, ensuc so en las clausulas;contractuales pertinentes.iControlSe d e b ~ i i i l ) ; 1 p e d i r g y ~ . 10suslJarios utilicen los recursos detr t miento de fa informacion para fines no autorizados.ontrol

Los controles criptogrclficos se deben utilizar de acuerdocon todos los contratos leves v reaulaciones oertinentes.A 15 2 Cumplimiento de las politicas normas de seguridad cumplimiento tecnicoObietivo: Asegurar que los sistemas cumplen las politicas y normas de sequridad de la orqanizacion.

ControlCumplimiento de las polfticas yA.15.2.1 normas de seguridad Los directores deben asegurarse de Que todos los

PROHIBID L COPIA REPRODUCCION P RCI L TOTAL DE ESTA NORMA MEXICANA SIN L UTORIZ CION DE NYCE, A.C.

5/25/2018 NMX-I-27001-NYCE-2009

42/47

NMX I 27001 NYCE 200935 40

procedimientos de seguridad dentro de su area deresponsabilidad se realizan correctamente con el fin decumplir las polfticas y normas de seouridad.ontrol

Comprobacion del cumplimiento . . .A.15.2.2 t" Debe comprobarse penodlcamente que los sistemas deeCnlco informacion cumplen las normas de aplicacion de laseauridad.A 15 3 Consideraciones sobre la auditoria de los sistemas de informacionObjet/vo: Lograr que el proceso de auditoria de los sistemas de informacion alcance la maxima eficacia conlas mfnimas interferencias.

ontrolA 15 3 1 Controles de auditoria de los Los r q u s t o ~ y actividades de auditoria que impliquen. sistemas de informacion c o m p r o b a c i o ~ e s ~ 9 s sistemas operativos deben ser

cUidadosamenteplanificados y acordados para minimizar elriesao de interruocionesen los orocesos emoresariales.ontrolProteccion de las herramientas

A.15.3.2 de auditoria de los sistemas de I acceso a las herramientas de auditoria de los sistemasinformacion de informacion debe estar protegido para evitar cualquieroosible oeliqro 0 usa indebido.

9 BIBLIOGRAFiAISO/IEC 27001 (2005) Information technology - Security techniques - Information

security management systems - Requirements.

1 CONCORDANCIA CON NORM S INTERNACIONALESEsta Norma Mexicana es identica a la Norma Internacional ISO/IEC 27001 (2005)"Information technology - Security techniques - Information securit')'i/Flianagement systems Requirements".

PROHIBIDA L COPIA REPRODUCCION PARCIAL 0 TOTAL DE ESTA NORMA MEXICANA SIN L AUTORIZACION DE NYCE, A.C.

5/25/2018 NMX-I-27001-NYCE-2009

43/47

NMX-I-27001-NYCE-200936/40

APENDICE BInformativo)

LOS PRINCIPIOS DE LA OCDE Y ESTA NORMA MEXICANA

Los principios recogidos en las Directrices de la O DE para la seguridad de los sistemas yredes de informacion se aplican a todas las pollticas y a todos los niveles de operacion querigen la seguridad de los sistemas y redes de informacion. Esta l\Iorma Mexicana constituyeel marco del sistema de gestion de la seguridad de la informacion para implementar algunosde los principios de la O DE utilizando el modelo pDCA y los procesos descritos en loscapitulos 4, 5, 6 Y 8, segun se indica en la tabla B.1.

TABLA B.1.- Los principios dEHaOCDEyelmodelo PDCAPrincioio de la O OE

ConcienciacionLos participantes deben concienciarse de lanecesidad de garantizar la seguridad de lossistemas y redes de informacion y saber quepueden hacer ellos para mejorar la seguridad.ResponsabilidadTodos los participantes son responsables de laseguridad de los sistemas y redes deinformacion.RespuestaLos participantes deben actuar de formaoportuna y coordinada para prevenir, detectary responder a los incidentes de seguridad.Evaluacion de riesgosLos participantes deben lIevar a caboevaluaciones de ~ i c : n n c :

Proceso del SGSI v fase del POCA corresoondientesEsta actividad es parte de la fase Hacer Do) veanse 4.2.2y 5.2.2 .

Esta actividad es parte de la fase Hacer Do) veanse 4.2.2y 5.1 .

Esto es en parte una actividad de supervision de la faseVerificar Check) vease 4.2.3 y 6 a 7.3) y una actividadde respuesta de la fase Actuar Act) vease 4.2.4 Y 8.1 a8.3). Tambien puede tener que ver con algunos aspectos delas fase Planificar Plan) y Verificar Check).I Esta actividad es parte de la fase Planificar Plan) vease4.2;1}ytareevaluacion/del riesgo es parte de la faseIVerificar Check) vease 4.2.3 y 6 a 7.3).

Oiseno e de riesgos, se seleccionantratamiento de los riesgos como parte

Los participantes dcomo un la implantacion y elredes de i n f n ~ ~ ; o ; n h elementoesencial~ I a n i f i c a r Plan) vease 4.2.1). La fase Hacern ~ n r l

Gestion de la seguridad La gestion del riesgo es un proceso que incluye laprevencion, deteccion y respuesta a los incidentes, y laLos participantes deben adoptar criterios gestion continuada de la seguridad. Todos estos aspectosdetallados de mantenimiento, revision y estan comprendidos en las fases Planificar Plan), Hacerauditorfa. Do), Verificar Check) y Actuar Act).


5/25/2018 NMX-I-27001-NYCE-2009

44/47

NMX-I-27001-NYCE-200937/40

Reevaluaci6n I a reevaluacion de la seguridad de la informacion es partede la fase Verificar Check) vease 4.2.3 y 6 a 7.3 , en laLos participantes deben revisar y reevaluar la cual deben lIevarse a cabo revisiones periodicas paraseguridad de los sistemas y redes de comprobar la eficacia del sistema de gestion de seguridad

informacion, y efectuar las modificaciones de la informacion, y la mejora de la seguridad es parte de laapropiadas de las polfticas, prckticas, medidas fase Actuar Act) vease 4.2.4 y 8.1 a 8.3 .y procedimientos de seguridad.


5/25/2018 NMX-I-27001-NYCE-2009

45/47

NMX-I-27001-NYCE-200938/40

APENDICE C(Informativo)

CORRESPONDENCIA ENTRE LAS NORMAS NMX-CC-9001-IMNC, NMX-SSA-14001IMNC Y ESTA NORMA MEXICANA

a tabla C.l - Correspondencia entre las normas NMX-CC-900l-IMNC e NMX-SSA-1400lIMNC Y esta l\Iorma Mexicana.TABLA C l Correspondencia entre las normas NMX-CC-9001-IMNC e NMX-SSA

14001-IMNC vesta Norma MexicanaEsta Norma Mexicana NMX-CC-9001"IMNC NMX-SSA-14001-IMNC

a Introduccion0.1 Generalidades0.2 Enfoque del proceso

0.3 Compatibilidad con otros sistemasde qestion

0 Introduccion0.1 Generalidades0.2 Enfoque del proceso0.3 Relacion can la Norma ISO 90040.4 Compatibilidad can otros sistemas degestion1 Objetivo y campo de aplicacion1.1 Generalidades1.2 Aolicacion2 Normas para consulta3 Terminos y definiciones4 Seguridad de la informacion

4.1 Requisitos generales

8.2.3 Supervision y medicion de losprocesos8.2.4 y del

4.2 Requisitos de la4.2.1 Generalidades4.2.2 Manual de calidad

0 Introduccion

1 Objetivo y campo deaplicacion

2 Normas para consulta3 Terminos y definiciones4 Sistemi!)de gestion de losrequisitos del SGA4.1 Requisitos generales

4.4 Implantacion y operacion

4.5.1';>ufJ : >IUI y medicion

1 Objetivo y campo de aplicacion1.1 Generalidades1.2 Aolicacion2 Referencias3 Terminos y definiciones4 Seguridad de la informacion

4.1 Requisitos generales4.2 Creacion y gestion del SGSI4.2.1 Creacion del SGSI4.2.2Implantacion y delSGSI4.2.3 Su pervision y r p v i ~ i t r i r l l l

4.2.4 Mantenimiento SGSI4.3 Requisitos de la4.3.1 Generalidades

4.3.2 Control de documentos 4.2.3 Control de documentos 4.4.5 Control de documentacion4.3.3 Control de registros 4.2.4 Control de registros 4.5.4 Control de registros


5/25/2018 NMX-I-27001-NYCE-2009

46/47

NMX-I-27001-NYCE-200939 40

EstaNormaMexicana NMX-CC-9001-IMNC NMX-SSA-14001-IMNC5 Responsabilidad dela Direcci6n I 5 Responsabilidad dela Direcci6n5.1 Compromiso de l Direccion.1 Compromiso de l Direccion5.2 Orientacion l c1iente

4.2 Polftica ambiental.3 Politica de calidad4.3 Planificacion.4 Planificacion

5.5 Responsabilidad, autoridad ycomunicacion6 Gesti6n de los recursos.2 Gestion de los recursos6.1 Provision de los recursos.2.1 Provision de los recursos6.2 Recursos humanos

4.4.2 Competencia, formacion ycompetencia5.2.2 Concienciacion, formacion y 6.2.2 Competencia, concienciacion yformacion concienciacion6.3 Infraestructura6.4 Entorno de trabajo

4.5.5Auditoria interna7 Revisi6n del SGSI por la I 5.6 Revision por l Direccion6 Auditoriasinternasdel SGSI 8.2.2 Auditoria interna 4.6 Revisi6n porla Direcci6nDirecci6n5.6.1 Generalidades7.1 Generalidades5.6.2 Datos iniciales de la revision

7.2 Datos iniciales de l revision5.6.3 Resultados de l revision

7.3 Resultados de l revision8 Mejoradel SGSI 8.5 Mejora8.1 Mejora continua 8.5.1 Mejora continua8.2 Accion correctiva 8.5.3 Acciones correctivas 4.5.3Disconformidad, accion

corrediva y accion preventiva8.3 Accion preventiva 8.5.3 Acciones preventivasAp{mdice A Objetivos de control Ap{mdice A Guia de uso de estacontroles NormaMexicanaAp{mdice B Los principios dela OCDEvestaNormaMexicanaAp{mdice C Correspondencia entre Ap{mdice B Correspondencialas normas NMX-CC-9001-IMNC e 9001: .L UU.L; I entre las Norma ISO 14001:NMX-SSA-14001-IMNC vesta Norma I 1996 2004e ISO9001:2000 Mexicana


5/25/2018 NMX-I-27001-NYCE-2009

47/47

NMX I 27001 NYCE 200940/40

APENDICEInformativo)

NORMAS INTERNACIONALES QUE COMPLEMENTAN EST NORMA MEXICANA

0.1 ISO/IEC TR 18044:2004 Information technology SecurityInformation security incident managetechniques

ment.-

0.2 ISO/IEC Guide 73:2002 Risk management Vocabulary Guidelines for uin standards.

se

0 3 ISO 19011:2002 Guidelines for quality and/ormanagement systems auditing.

environmental


Date post:	15-Oct-2015
Category:	Documents
Upload:	benitezcalidad4768
View:	426 times
Download:	30 times

NMX-I-27001-NYCE-2009

Documents