UNIT-ISO-IEC 27001-2013_(ES)

INSTITUTO URUGUAYO DE NORMAS TÉCNICAS

UNIT-ISO/lEC

27001:2013 Adopción UNIT

Octubre 2013 Edición

2013-10-15

Tecnología de la información- Técnicas de seguridad - Sistemas de Gestión de la seguridad de la información - Requisitos (ISO/lEC 27001:2013, IDT) /nformation techno/ogy. Security techniques. Management Systems information security. Requirements Technologies de /'information. Techniques de sécurité. Systémes de gestion de sécurité de l'information. exigences

Número de referencia UNIT-180/IEC 27001:2013

El INSTITUTO URUGUAYO DE NORMAS TÉCNICAS ha adoptado en Octubre de 2013 la Norma Internacional ISO/lEC 27001:2013 como Norma: UNIT-ISOnEC 27001:2013; Tecnología de la información. Técnicas de seguridad. Sistemas de Gestión de la seguridad de la información. Requisitos El texto de esta norma UNIT-150/IEC corresponde a la traducción idéntica de la Norma Internacional sin modificaciones. Esta norma anula y sustituye a UNIT-ISO/lEC 27001 :2005. A los efectos de la aplicación de esta Norma UNIT-ISO las referencias normativas de la Norma ISO original se ajustan a las indicadas en la siguiente tabla: Se a lica

Referencia orl inaiiSO ISO/lEC 27000

UNIT-ISO/lEC 27000

En la siguiente tabla se indica la correspondencia entre la Bibliografía de la norma ISO/lEC y documentos editados por UNIT Bibliografía ISO/lEC

Documentos UNIT

ISO lEC 27002:2013

UNIT ISO lEC 27002:2013

ISO lEC 27003 ISO lEC 27004 ISO lEC 27005 ISO 31000:2009

UNIT ISO lEC 27003 UNIT ISO lEC 27004 UNIT ISO lEC 27005 UNIT-ISO 31000:2009

(en preparación)

(en preparación)

NORMA UNIT-ISOnEC: Norma UNIT, que recoge en forma íntegra el texto de la Norma lntemacionaiiSO/IEC correspondiente y en la que las modificaciones nacionales, cuando las hay, aparecen en la carátula en NOTAS UNIT a pie de página o en anexos nacionales. A los efectos de la aplicación de las normas UNIT-ISO/IEC, deberé cons.iderarse el contenido de la Norma Internacional, conjuntamente con las modificaciones nacionales.

DOCUMENTO PROTEGIDO POR DER

S tlE AUTOR (COPYRIGHT)

© UNIT 2013 ©ISO 2013 Todos los derechos reservados. Ninguna parte de esta publicación puede sene11roducida o utilizada en cualquier forma o por medio alguno, electrónico o mecénico, incluyendo fotbeopiasr m1Ci'Ofilr11;.etc:~ s¡¡, el permiso escrito del Instituto Uruguayo de Normas Técnicas (UNIT) en su calidad de representant$ $Xc.lRSo/I:J~~~~}~O· en Uruguay, o por la propia ISO. UNIT Plaza Independencia 812 piso 2 CP 11100, Montevideo Tel.+ 598 2901 2048 Fax+ 598 2902 1681 [email protected] www.unit.orq.uy

ISO copyright office Case postale 56 CH-1211 Geneva 20 Tel.+ 41 22 749 0111 Fax+ 41 22 749 09 47 [email protected] www.iso.org

ii

Índice Prefacio ..................•......•.....•.......................•..........................................................•...•..................v

O Introducción ..............................................................................................................................vi 0.1 Generalidades ..........................................................•.......•.......•...•........•.....••.......••..•......•......vi 0.2 Compatibilidad con otras normas del sistema de gestión .................................................. vi

1.

OBJET0 ......•....•..........•.•..........................................................•..............................................2

2.

REFERENCIAS NORMATIVAS .............................................................................................. 2

3.

TÉRMINOS Y DEFINICIONES ................................................................................................ 2

4.

CONTEXTO DE LA ORGANIZACIÓN ....................................................................•......•......... 2

4.1

Comprender la organización y su contexto ..................................................................... 2

4.2

Comprender las necesidades y expectativas de las partes interesadas ............••.......... 2

4.3

Determinar el alcance del sistema de gestión de la seguridad de la información .•....... 2

4.4

Sistema de gestión de la seguridad de la información .......•............................................ 2

5.

LIDERAZG0 .................•.•........................................................................................................ 2

5.1

Liderazgo y compromiso ................................................................................................... 2

5.2

Política ................................................................................................................................3

5.3

Roles, responsabilidades y autoridades organizacionales ............................................. 3

6.

PLANIFICACIÓN .....................................................................................................................4

6.1

Acciones para hacer frente a los riesgos y oportunidades ............................................. 4

6.2

Objetivos de seguridad de la inforni~'ció.n.·y·planificación para alcanzarlos .................. 6

7.

,/;,~{~,··,:,····: !:f(~i::;\

SOPORTE ..................................¡..,':~'"'' ..... ''iil'¡i""'~:....~ ........................................................... 6 ~· _,,.....

!... ...

:;

~

'" :l····:·~l.J: . ........................................................... 6 ~ ~

~

7.1

Recursos ............................... ~';,~ ;·~·~·~r··

7.2

Competencia .........................

7.3

Toma de conciencia .............. J::~:~~~~·;;;;:~•·Mj.'.:~····;·;;::::J ............................................................ 7

7.4

Comunicación ........................~;·:;~:;:~:~~~~~·~:~~~~~g:;:~::::·:! ............................................................ 7

7.5

Información documentada ................................................................................................. 7

8. 8.1

\.;:·;,,'•;•?·-~'···········.~:~·~';·./............................................................ 6 'íj :n, "•";.¡..'
¡·"'¡;' .',~.~1"

~'"\;~(11 ~'"í""tl'~r¡._ '!.,H !í~"'<¿i~·· ~.A\

i ~

OPERACIÓN ...........................................................................................................................8 Planificación y control operacional .................................................................................. 8

¡¡¡

8.2

Evaluación de riesgos de seguridad de la información .................................................. 8

8.3

Tratamiento de riesgos de seguridad de la información ................................................. 9

9.

EVALUACIÓN DEL DESEMPEÑO ......................................................................................... 9

9.1

Seguimiento, medición, análisis y evaluación ................................................................. 9

9.2

Auditoría interna .................................................................................................................9

9.3

Revisión por la dirección ................................................................................................. 10

10.

MEJORA ............................................................................................................................10

10.1

No conformidades y acciones correctivas ..................................................................... 10

10.2

Mejora continua ................................................................................................................ 11

ANEXO A ..................................................................................................................................... 12 BIBLIOGRAFÍA ............................................................................................................................ 32 INFORME CORRESPONDIENTE A LA NORMA UNIT-ISO/lEC 27001 :2013 .............................. 33

iv

Prefacio

ISO (Organización Internacional de Normalización) e lEC (Comisión Electrotécnica Internacional) constituyen el sistema especializado para la normalización a nivel mundial. Los organismos nacionales miembros de ISO o de lEC participan en el desarrollo de Normas Internacionales a través de los comités técnicos establecidos por las organizaciones respectivas para realizar acuerdos en los campos específicos de la actividad técnica. Los comités técnicos de ISO e lEC colaboran en los campos de interés mutuos. Otras organizaciones internacionales, gubernamentales y no gubernamentales, en colaboración con ISO e lEC, también toman parte en estos trabajos. En el campo de la tecnología de la información, ISO e lEC han establecido un comité técnico conjunto, ISO/lEC JTC 1. Las Normas Internacionales se redactan de acuerdo con las reglas establecidas en la Parte 2 de las Directivas ISO/lEC. La tarea principal de los comités técnicos es elaborar Normas Internacionales. Los proyectos de Normas Internacionales adoptados por los comités técnicos se envían a los organismos miembros para su votación. La publicación como Norma Internacional requiere la aprobación de al menos el 75% de los organismos miembros con derecho a voto. Se llama la atención sobre la posibilidad de que algunos elementos de este documento pueden estar sujetos a derechos de patente. ISO e lEC no se hacen responsables por la identificación de cualquiera o de todos los derechos de patente. ISO/lEC 27001 fue preparada por el Comité Técnico Conjunto ISO/lEC JTC 1, Tecnología de la información, Subcomité SC 27, Técnicas de seguridad. Esta segunda edición sustituye y reemplaza la primer edición (ISO/lEC 27001 :2005), que ha sido técnicamente revisada.

V

O Introducción 0.1 Generalidades

Esta Norma ha sido preparada para proporcionar requisitos a fin de establecer, implantar, mantener y mejorar continuamente un sistema de gestión de la seguridad de la información. La adopción de un sistema de gestión de la seguridad de la información es una decisión estratégica para una organización. El establecimiento y la implantación de un sistema de gestión de la seguridad de la información de una organización son influenciados por las necesidades y los objetivos de la organización, los requisitos de seguridad, los procesos organizacionales utilizados y el tamaño y la estructura de la organización. Se espera que todos estos factores influyentes cambien con el tiempo. El sistema de gestión de la seguridad de la información preserva la confidencialidad, la integridad

y la disponibilidad de la información, mediante la aplicación de un proceso de gestión de riesgos y proporciona confianza a las partes interesadas que los riesgos son gestionados adecuadamente. Es importante que el sistema de gestión de la seguridad de la información sea parte de y se encuentre integrado con los procesos de la organización y con la estructura general de gestión, y que la seguridad de la información sea considerada en el diseño de los procesos y en los sistemas y controles de información. Se espera que la implantación de un sistema de gestión de la seguridad de la información se pueda ampliar de acuerdo con las necesidades de la organización. Esta Norma puede ser utilizada por partes internas y externas para evaluar la capacidad de la organización de satisfacer los requisitos propios de seguridad de la información de la organización. El orden en el que se presentan los requisitos en esta Norma no refleja su importancia ni implica el orden en que se van a implantar. Los elementos de la lista son enumerados únicamente para fines de referencia. La Norma ISO/lEC 27000 describe la visión general y el vocabulario de los sistemas de gestión de seguridad de la información, haciendo referencia a la familia de normas de los sistemas de gestión de seguridad de la información (incluyendo a las Normas ISO/lEC 27003, ISO/lEC 27004 e ISO/lEC 27005), con términos y definiciones relacionados.

0.2 Compatibilidad con otras normas del ~i~t~.rn~.de gestión Esta Norma aplica la estructura de ~lt?;ni.v~I ••. Jos Útuló~. de sub-apartados idénticos, los textos idénticos, los términos comunes, y las d~fi9Jqib~e~ pásisas definidas en el Anexo SL de la Parte 1 de las Directivas ISO/lEC del SUP!.e!Tlento,:icgp~p.!ida~.o\ de ISO, y por lo tanto mantiene la compatibilidad con otras normas de slstemas.detg'estión que han adoptado el Anexo SL. Este enfoque común definido en el AnexO SL va a ser útil para aquellas organizaciones que elijan cumpla con los requisitos de dos o más normas del operar un único sistema de gestión sistema de gestión. '

vi

UNIT-ISO/lEC 27001 :2013

TECNOLOGÍA DE LA INFORMACIÓN - TÉCNICAS DE SEGURIDAD - SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - REQUISITOS

1- OBJETO Esta Norma especifica los requisitos para establecer, implantar, mantener y mejorar continuamente un sistema de gestión de la seguridad de la información en el contexto de la organización. Esta Norma también incluye los requisitos para la evaluación y el tratamiento de riesgos de seguridad de la información adaptados a las necesidades de la organización. Los requisitos establecidos en esta Norma son genéricos y se pretende que sean aplicables a todas las organizaciones, sin importar su tipo, tamaño o naturaleza. No es aceptable la exclusión de cualquiera de los requisitos especificados en los Capítulos 4 al 1O cuando una organización declara conformidad con la presente Norma.

2- REFERENCIAS NORMATIVAS Los siguientes documentos, en su totalidad o en parte, están referenciados normativamente en este documento y son indispensables para su aplicación. Para las referencias fechadas, sólo se aplica la edición citada. Para las referencias sin fecha, se aplica la última edición del documento referenciado (incluyendo cualquier modificación). ISO/lEC 27000, Tecnología de la información - Técnicas de seguridad- Sistemas de gestión de la seguridad de la información - Visión geperq_tY,Vocabulario.

/;;~~:>'y~i ',;

j" · · :

:~(~~;~:~\

''"'• ,:¡ ¡¡.,¡;¡ ,,, ,í , ,,) ril . ., ') 3- l¡aRM'N t?;(~~QEF,l~ICIONES ~ '""~ : ""·) ~·a· . ·.:._,$¿~ ·....,· ' Para el propósito de este documentoY;:son l;ap)Je~~les,;iqs términos y definiciones dados en la Norma ISO/lEC 27000. \ ., ' .. " ' ' / ~>··

~ 04'

.,,~z

-~iü ~;:::.Yi~': L,~. ,;:~::·:~-

L\f.' i:.(2í

~

4- coNTE:X:;roto'et~A-toRGANizAclóN :_;,;,<:",JJ.":M>"'";·::.\·..:":...:..x:.~·:.!l.M.~<.<:"V•l•::o;.;;.<""''W..OM::::.,.:'?:.'.'Wj

4.1

Comprender la organización y su contexto

La organización debe determinar los asuntos externos e internos que son relevantes para su propósito y que afectan su capacidad de lograr el (los) resultado (s) deseado (s) de su sistema de gestión de la seguridad de la información.

UNIT-150/IEC 27001 :2013

NOTA: La determinación de estos asuntos se refiere a establecer el contexto interno y externo de la organización, considerado en el apartado 5.3 de la Norma ISO 31000, Gestión de riesgos- Principios y directrices.

4.2

Comprender las necesidades y expectativas de las partes interesadas

La organización debe determinar: a) Las partes interesadas que son relevantes para el sistema de gestión de la seguridad de la información; b) Los requisitos de estas partes interesadas respecto de la seguridad de la información. NOTA: Los requisitos de las partes interesadas pueden incluir requisitos legales y reglamentarios y obligaciones contractuales.

4.3

Determinar el alcance del sistema de gestión de la seguridad de la información

La organización debe determinar los límites y la aplicabilidad del sistema de gestión de la seguridad de la información para establecer su alcance. Al determinar este alcance, la organización debe considerar: a) los problemas externos e internos mencionados en 4.1; b) los requisitos mencionados en 4.2; y e) las interfases y dependencias entre actividades desempeñadas por la organización y aquellas que son desempeñadas por otras organizaciones. El alcance debe estar disponible como información documentada. 4.4

Sistema de gestión de la seguridad de la información

La organización debe establecer, implantar, mantener y mejorar continuamente su sistema de gestión de la seguridad de la información, de acuerdo con los requisitos de esta Norma.

5- LIDERAZGO 5.1

Liderazgo y compromiso

La alta dirección debe demostrar su lider¡;!ZQP;Y::c9mpromiso con respecto al sistema de gestión de la seguridad de la información: //~.;;>'' " ··· <:,?,,~\~ } ;~.~~/ ~-F(í;,::.~·· r~. ¿ -~~~~- \. a) asegurando que la política de,f~~guf!~~j Cl'e91a irí!?frlación y los objetivos de seguridad de la información se encuentran;e~tableRidp§f.Y.~or:t,;cpmpatibles con la dirección estratégica de la organización; · , . '' ¡., :t , ·: · · ~'" ,'

,-:· .;

~

b) asegurando la integración de los}equisitos d~l sistema de gestión de la seguridad de la información en los procesos d~Ti;l'Q~gªoi~ª9\óriiO:;~.....i l

i~~l,il), 118 l;ii!St t\íPP!i:l.

l

e) asegurando que los recursos heJé~áW6s':"í5~?g~'eLsristema de gestión de la seguridad de la información se encuentren disponibles; d) comunicando la importancia de la gestión efectiva de la seguridad de la información y de cumplir con los requisitos del sistema de gestión de la seguridad de la información; e) asegurando que el sistema de gestión de la seguridad de la información alcance sus resultados previstos;

2

UNIT-ISOIIEC 27001 :2013

f)

dirigiendo y apoyando a que las personas contribuyan con la efectividad del sistema de gestión de la seguridad de la información;

g) promoviendo la mejora continua; y h) apoyando otros roles de gestión relevantes para demostrar su liderazgo, como compete a sus áreas de responsabilidad.

5.2

Política

La alta dirección debe establecer una política de seguridad de la información que: a) sea adecuada al propósito de la organización; b) incluya los objetivos de seguridad de la información (ver 6.2) o proporcione el marco para establecer los objetivos de seguridad de la información; e) incluya un compromiso para cumplir con los requisitos aplicables relacionados con la seguridad de la información; e d) incluya un compromiso de mejora continua del sistema de gestión de la seguridad de la información. La política de seguridad de información debe: e) estar disponible como información documentada; f)

ser comunicada dentro de la organización; y

g) estar a disposición de las partes interesadas, según corresponda.

5.3

Roles, responsabilidades y autoridades organizacionales

La alta dirección debe asegurar que las responsabilidades y autoridades de los roles relevantes para la seguridad de la información estén asignadas y comunicadas. La alta dirección debe asignar la responsabilidad y autoridad para: a) garantizar que el sistema de gestión de la seguridad de la información cumple con los requisitos de esta Norma; e b) informar a la alta dirección sobre el .9~s:e.mp~ñodel sistema de gestión de la seguridad de la información. f . ::) · '' ::.~. \, ./ /i:' &1~~~-:~r~l· K~ ~~ . ~~{~~ \

~OTA: La alta ~~rección tambi~n puede ~sig~·a~:~s~,9.~S,~J?ill\liides y.;~~fori?~des para informar sobre el desempeño del s1stema de gest1on de la segundad de la ~nfor¡¡n~clón,dentro. org~n1zac1on. :

""'"}

~

l,l

¡¡

\\(;,,, ; "lj

3


6- PLANIFICACIÓN 6.1

Acciones para hacer frente a los riesgos y oportunidades

6.1.1 Generalidades Al planificar el sistema de gestión de la seguridad de la información, la organización debe considerar los aspectos mencionados en 4.1 y los requisitos referidos en 4.2 y determinar los riesgos y oportunidades que necesitan ser gestionados para: a) asegurar que el sistema de gestión de la seguridad de la información puede alcanzar los resultados previstos; b) prevenir, o reducir los efectos no deseados; y e) lograr la mejora continua. La organización debe planificar: d) las acciones para gestionar estos riesgos y oportunidades; y e) cómo: 1)

integrar e implantar las acciones a sus procesos del sistema de gestión de la seguridad de la información; y

2)

evaluar la efectividad de estas acciones.

6.1.2 Evaluación de riesgos de seguridad de la información La organización debe definir y aplicar un proceso de evaluación de riesgos de seguridad de la información que: a) establezca y mantenga los criterios de riesgos de seguridad de la información que incluyen: los criterios de aceptación de riesgos; y

1)

2) los criterios para la realización de las evaluaciones de los riesgos de seguridad de la información; -n•"''' 4·'", .• ,.•.

_,J<·· ,. :,....

~-.,,

b) garantice que las reiteradas,/~yáltiaéióríes.. -.de los riesgos produzcan resultados consistentes, válidos y comparáb!f~s· . ·;;¡;, \ 1 .:::} ' !;¡\~' ~;;:, '· e) identifique los riesgos de segJri~"ad' ,,,iffit8rm~~idn:

t

~?,.

.

~1

~t~:-:;· ~~t

)::·:'

)!

aplique el proceso de ~v~!!Jac'íori~He ti~_sgps de seguridad de la información para identificar riesgos asociados ·!:con la. pér,dida de confidencialidad, integridad y dispo~dibidliddad 1 d.ef la inf?.r~~81P,f,\,"'p,~tQlE?¡H~~t-~lcance del sistema de gestión de la segun a e a 1n ormac1on¡· e,,,..,i, r:1~ ''~w\, .;·.,~::•t.'' , 1)

!

2)

identifique a los

h~~;~ {it.~j"~~··~vrf:"t: 1 tZ5~\:l~:"7.

propiet~rfos'd'el"'rlesg'o;

~

"' ,,

d) analice los riesgos de seguridad de la información: 1) evalúe las consecuencias potenciales que se producirían si los riesgos identificados en 6.1.2 e) 1) llegaran a materializarse;

4


2) evalúe la probabilidad realista de ocurrencia de los riesgos identificados en 6.1.2 e) 1); y 3) determine los niveles de riesgo; e) valore los riesgos de seguridad de la información: 1) compare los resultados de los análisis de riesgo con los criterios de riesgos establecidos en 6.1.2 a); y

2)

priorice los riesgos analizados para el tratamiento de riesgos.

La organización debe conservar información documentada sobre el proceso de evaluación de riesgos de seguridad de información. 6.1.3 Tratamiento de riesgos de seguridad de la información

La organización debe definir y aplicar un proceso de tratamiento de riesgos de seguridad de la información para: a) seleccionar las opciones adecuadas de tratamiento de riesgo de seguridad de la información, teniendo en cuenta los resultados de la evaluación de riesgos; b) determinar todos los controles que sean necesarios para poner en práctica las opciones elegidas de tratamiento de riesgos de seguridad de la información; NOTA: Las organizaciones pueden diseñar los controles según sea necesario, o identificarlos de cualquier fuente.

e) comparar los controles determinados en 6.1.3 b) anteriores, con los del Anexo A y verificar que no se han omitido controles necesarios; NOTA 1 El Anexo A contiene una lista completa de objetivos de control y controles. Los usuarios de esta Norma son referidos al Anexo A para garantizar que no se pasen por alto los controles necesarios. NOTA 2 Los objetivos de control son incluidos implícitamente en los controles elegidos. Los objetivos de control y los controles incluidos en el Anexo A no son exhaustivos y pueden ser necesarios objetivos de control y controles adicionales.

d) Elaborar una Declaración de Aplicabilidad que contenga los controles necesarios (ver 6.1.3 b) y e)) y la justificación de las inclusiones, sean implantados o no, y la justificación de las exclusiones de los controles del Anexo_.8;,.., ,.--·.;· ·'·.\

.

--<~···, t~.··:, {}( ~

·>~

e) Formular un plan de tratamientq:d.~;.Jiesgos dEf;.s.eguridad de la información; y /"' {;)-~ ~~;·~~>~~:;}::.{ .

f)

.

~-;;.~ \,

Obtener la aprobación del p~bpietéi:lrib \~ej:Jriesgo del plan de tratamiento de riesgos de ~egurida~. de la información ~ i~~c~pt~clón¡¡¡~~ 19$ (iesgos residuales de seguridad de la mformac1on. · t1 '' ·

,)~l

\\;;(;•,'

La organización debe conservar la infcirníación docúmei'Ítada sobre el proceso de tratamiento de riesgos de seguridad de la informaciórr;;·~·~;.,......," . ,,1,,,, ,,, .. ·;~:;"''1

~ t~~:~~t~~?. :s~!;;··~·:~0~~; ".:;~.:~G·-~,~;;~ ~ NOTA: El proceso de tratamiento y evaluacióQ.•9.!::"t!~~9~.~3.~~?:~~9!!Xi9.~? de la información en esta Norma se alinea con los principios y las directrices genéricas proporcionadas en la Norma ISO 31000, Gestión de riesgos - Principios y directrices.

5

UNIT-150/IEC 27001 :2013

Objetivos de seguridad de la información y planificación para alcanzarlos

6.2

La organización debe establecer objetivos de seguridad de la información en funciones y niveles pertinentes. Los objetivos de seguridad de la información deben: a) Ser coherentes con la política de seguridad de la información; b) Ser medibles (mensurables) (si corresponde); e) Tener en cuenta los requisitos aplicables de seguridad de la información y los resultados de la evaluación de riesgos y del tratamiento de riesgos; d) Ser comunicados; y e) Ser actualizados cuando corresponda. La organización debe conservar información documentada sobre los objetivos de seguridad de la información. Al planificar como alcanzar estos objetivos de seguridad de la información, la organización debe determinar: f)

Lo que se va a hacer;

g) Qué recursos van a ser necesarios; h) Quién va a ser responsable; i)

Cuándo se va a completar; y

j)

Cómo van a ser evaluados los resultados.

7- SOPORTE 7.1

Recursos

La organización debe determinar y proporcionar.J(?s recursos necesarios para el establecimiento, la implantación, el mantenimiento y la m~jo~a contiq~adel sistema de gestión de la seguridad de la información. ./.:;'~:,·· · ··.,;,'. :"'

7.2

.;~:t···Í

\:::;:

Competencia

La organización debe: a) Determinar la competencia nece~aria de la(s)pérsona(s) que realiza el trabajo bajo su control, que afecta el desempeño:Cie la seguridad qe la información; ' '--0 ;, -·pr· ,; r·-._,,..- _, .r.ii>• ,, ,,

- '·

~:.•_-,.-·

""'""

:,: C;(i,J(t.)

'""

~. ___

,_

< :-.:- ~.. ,!

·- '"' ......

,_,_,

__

,

'i\!.;:<~ ~;:;.~tf-~. ;_;"-~,.,-_;·¡:j:::.<";,

\"

;~

b) Asegurarse que estas persollé3srson"'corrrpetente~ en cuanto a educación, formación o experiencia apropiada; · · · · · · ·· ·· · ··· · · e) Cuando corresponda, adoptar acciones para adquirir las competencias necesarias, y evaluar la eficacia de las acciones adoptadas; y d) Conservar la información documentada adecuada como evidencia de la competencia.

6

UNIT -ISO/lEC 27001 :2013

NOTA: Las acciones aplicables pueden incluir, por ejemplo, la provisión de capacitación, la tutoría de, o la reasignación de empleados actuales; o la contratación de personas competentes.

7.3

Toma de conciencia

Las personas que realizan trabajos bajo el control de la organización, deben tener en cuenta: a) la política de seguridad de la información; b) su contribución a la eficacia del sistema de gestión de la seguridad de la información, incluyendo los beneficios de un mejor desempeño de la seguridad de la información; y e) las consecuencias de que no cumplan con los requisitos del sistema de gestión de la seguridad de la información.

7.4

Comunicación

La organización debe determinar la necesidad de las comunicaciones internas y externas pertinentes para el sistema de gestión de la seguridad de la información, incluyendo: a) qué comunicar; b) cuándo comunicar; e) con quién comunicarse; d) quién debe comunicar; e) los procesos mediante los cuales se va a efectuar la comunicación.

7.5

Información documentada

7.5.1 Generalidades El sistema de gestión de la seguridad de la información de la organización debe incluir: a) información documentada requerida por la presente Norma; e b) información documentada determinada por la organización como necesaria para la eficacia del sistema de gestión de la seguridad de la información. NOTA: El alcance de la información documentada para urt¡;istema de gestión de la seguridad de la información puede variar de una organización a otra debido a: , . ·· ..,,.,~ ·· .,

tipo~ clé;~ptividad~:;· ~~oce:;os, productos y servicios;

1)

el tamaño de la organización y sus

2)

la complejidad de los procesos y sus'i'1teraqqloi)e~~:x.~'

/

3)

la competencia de las personas.

7.5.2 Creación y actualización Al crear y actualizar información

\

~:.:~'~·

f,.,¡:rr~:~1 ¡;¡~~.L

~".

!i

~;,~. \·'l~~-1..>

<:~~;} .

H'i'l'\.!o~.:-;;,. ~..):

'

.,.

í'·"""'""'"·'"'......·

"

~

~

docur\h~Hf¡a~i!'é'i:'b}~a·~¡tabión debe garantizar: l:<-4f~ )\~ .•~':', \;\~{,:~::~út~)j.~

a) la identificación y la descripció~''(por eJempí'o,"tiiulo: fecha, autor o número de referencia); b) el formato (por ejemplo, el idioma, la versión de software, los gráficos) y los medios (papel, electrónico); y e) la revisión y aprobación para la conveniencia y suficiencia.

7

UNIT-ISO/IEC 27001:2013

7.5.3 Control de información documentada La información documentada requerida por el sistema de gestión de la seguridad de la información y por la presente Norma debe ser controlada para asegurar: a) que se encuentra disponible para su uso, donde y cuando sea necesaria; y b) que se encuentra protegida adecuadamente (por ejemplo, confidencialidad, del uso indebido o de la pérdida de integridad).

de

la

pérdida

de

Para el control de la información documentada, la organización debe abordar las siguientes actividades, según corresponda: e) la distribución, el acceso, la recuperación y el uso; d) el almacenamiento y la conservación, incluyendo la preservación de la legibilidad; e) el control de los cambios (por ejemplo, control de las versiones); y f)

la retención y la disposición.

La información documentada de origen externo, determinada por la organización como necesaria para la planificación y la operación del sistema de gestión de la seguridad de la información, debe ser identificada y controlada, según corresponda. NOTA: El acceso implica una decisión sobre el permiso para ver sólo la información documentada, o el permiso y la autoridad para ver y cambiar la información documentada, etc.

8- OPERACIÓN 8.1 Planificación y control operacional La organización debe planificar, implantar y controlar los procesos necesarios para cumplir con los requisitos de seguridad de la información, y para implantar las acciones determinadas en 6.1. La organización debe poner en práctica planes para alcanzar los objetivos de seguridad de la información determinados en 6.2. La organización debe mantener la información documentada en la medida necesaria para tener confianza en que los procesos se han llevago según lo previsto. ,,,

' '." ¡f'\

La organización debe controlar los cambip~"pr~vistos ~ revisar las consecuencias de los cambios no deseados, adoptando medidas ;para, mitig(;lr;: los. p9sibles efectos adversos, según sea necesario. j'(

La organización debe garantizar 'que .lo~ proces¿s ~'subcontratados son determinados y controlados. · •• · ··

8.2

seguríctad,d~',laJilfor;..¿acíón cabo '~v1'1Ú~¿ióh~s d~ riJsgo de

Evaluación de riesgos de

La organización debe llevar a seguridad de la información a intervalos planificados o cuando ocurren o se proponen cambios significativos, teniendo en cuenta los criterios establecidos en 6.1.2 a). La organización debe conservar la información documentada de las evaluaciones de riesgo de seguridad de la información.

8


8.3

Tratamiento de riesgos de seguridad de la información

La organización debe implantar el plan de tratamiento de riesgos de seguridad de la información. La organización debe conservar la información documentada de los resultados del tratamiento de riesgos de seguridad de la información.

9- EVALUACIÓN DEL DESEMPEÑO 9.1

Seguimiento, medición, análisis y evaluación

La organización debe evaluar el desempeño de la seguridad de la información y la eficacia del sistema de gestión de la seguridad de la información. La organización debe determinar: a) a que se debe hacer seguimiento y mediciones, incluyendo los procesos y controles de seguridad de la información; b) los métodos para el seguimiento, la medición, el análisis y la evaluación, según corresponda, para garantizar los resultados válidos; NOTA: Los métodos seleccionados deben producir resultados comparables y reproducibles para ser considerados válidos.

e) cuándo se van a llevar a cabo el seguimiento y la medición; d) quién debe realizar el seguimiento y medir; e) cuándo van a ser evaluados y analizados los resultados del seguimiento y la medición; y f)

quién debe analizar y evaluar esos resultados.

La organización debe conservar la información documentada apropiada como evidencia de los resultados del seguimiento y la medición.

9.2

Auditoría interna

La organización debe llevar a cabo auditorías internas a intervalos planificados para proporcionar información acerca de si el sistema de gestión"def'la·seguridad de la información: /''_·,:,}~t<•¡U ilJ>

. '.

a) cumple con: / ~t f';¡'";:) ;;~ '';"r;~ _ 1) los requisitos propios de 1~ 9rganiiadi6'n.'p,arasú sistema de gestión de la seguridad de la información; y ·,_ _ . ¡_ ¡;·:~ }" ,; '\ '\~ . , ;~~~.:. :~_~l.¿ 2) los requisitos de la presente·t-forma; "'"'"

.{.(,;,_,_,_.,.._,

b) es implementado y mantenido ~f!~q[;I\:!~Q~~l f:!~).-~~- 1 r ···""" ~~~¡r-i\:¡,;:7~··0;~~~~:~~~::.\ ~ )~

La organización debe:

!

L"''·-··-·'"""''"-··--·"·"·"·····~--J

e) planificar, establecer, implantar y mantener un programa de auditoría, incluyendo la frecuencia, los métodos, las responsabilidades, los requisitos de planificación y la presentación de informes; d) definir los criterios y el alcance de cada auditoría para cada auditoría;

9


e) seleccionar los auditores y realizar auditorías que garanticen la objetividad y la imparcialidad del proceso de auditoría; f)

garantizar que los resultados de las auditorías sean informados a la dirección pertinente; y

g) conservar la información documentada como evidencia del programa de auditoría y los resultados de la auditoría.

9.3

Revisión por la dirección

La alta dirección debe revisar el sistema de gestión de la seguridad de la información de la organización a intervalos planificados para garantizar su conveniencia, suficiencia y eficacia. La revisión por la dirección debe incluir la consideración de: a) el estado de las acciones de revisiones previas por la dirección; b) los cambios en los asuntos externos e internos que son pertinentes para el sistema de gestión de la seguridad de la información; e) la retroalimentación sobre el desempeño de la seguridad de la información, incluyendo a las tendencias en: 1) las no conformidades y las acciones correctivas; 2) los resultados del seguimiento y la medición; 3) los resultados de la auditoría; y 4) el cumplimiento de los objetivos de seguridad de la información; d) retroalimentación de las partes interesadas; e) resultados de la evaluación de riesgos y estado del plan de tratamiento de riesgos; y f)

oportunidades para la mejora continua.

Los resultados de la revisión por la dirección deben incluir a las decisiones relacionadas con las oportunidades de mejora continua y cualquier necesidad de cambios para el sistema de gestión de la seguridad de la información. La organización debe conservar la informadón:docú'mentada como evidencia de los resultados de 1 -;~::u . . ' i: , las revisiones por la dirección. >"·¡

,.·~:]

:;\;

k1

~~r~~s;\1{Lit_,, ...... ,. __

~:!:f \

. . .~

,16- l'ij~~:~'/ :._

10.1

·;>

No conformidades y acciones:~orrectivas \; úl!

/

,,:;,,,,,¡

tr,i\:~Y'~'t;\ l~ J.~·{~;L~ ~\'1f~) ~t~ ~

~

Cuando se produce una no conformidM.''Iª;~~:!'~ga,:o'izá'cJó'rí clebe: f ,_ ::.:· ¡_., ........~;. . ..... ·" "'"". ,, ·~.:.·.... ..~ a) reaccionar a la no conformidad, y, según corresponda: 1) adoptar medidas para controlar y corregirla; y 2) hacer frente a las consecuencias;

10

UNIT-150/IEC 27001 :2013

b) evaluar la necesidad de adoptar medidas para eliminar las causas de la no conformidad a fin de que no se repita u ocurra en otros lugares: 1) revisando la no conformidad; 2) determinando las causas de la no conformidad; y 3) determinando si existen o podrían ocurrir no conformidades similares; e) implantar las medidas oportunas; d) revisar la eficacia de las acciones correctivas adoptadas; y e) realizar cambios al sistema de gestión de la seguridad de la información, si es necesario. Las acciones correctivas deben ser apropiadas a los efectos de las no conformidades encontradas. La organización debe conservar la información documentada como evidencia de: f) la naturaleza de las no conformidades y de cualquier acción adoptada posteriormente y g) los resultados de cualquier acción correctiva. 10.2

Mejora continua

La organización debe mejorar continuamente la conveniencia, suficiencia y eficacia del sistema de gestión de la seguridad de la información.

11

UNIT-150/IEC 27001 :2013

ANEXO A (Normativo)

OBJETIVOS DE CONTROL DE REFERENCIA Y CONTROLES Los objetivos de control y los controles indicados en la Tabla A.1 se derivan directamente de y se alinean con los listados en la Norma ISO/lEC 27002 Capítulos 5 al 18 y se van a utilizar en el contexto del apartado 6.1.3.

Tabla A.1 -

Objetivos de control y controles

A.S Políticas de seguridad de la información A.5.1 Orientación de la dirección para la seguridad de la información Objetivo: Proporcionar orientación y apoyo de la dirección para la seguridad de la información de acuerdo con los requisitos del negocio v leves pertinentes. Control Políticas para la seguridad de A.5.1.1 La dirección debe definir y la información aprobar un conjunto de polfticas para la seguridad de la información y éstas se deben publicar y comunicar a todos los empleados y a las oartes externas oertinentes .. Control Revisión de las políticas para A.5.1.2 Las políticas de seguridad de la seguridad de la información la información deben ser revisadas a intervalos planificados o si ocurren cambios significativos para garantizar su continua conveniencia, suficiencia y eficacia. A.6 Organización de la seguridad de la información A.6.1 Organización interna Objetivo: Establecer un marco de gestión par?,I!Ji~iar y controlar la implementación y la operación de la seguridad de la información dentro de (a,org~hización. A.6.1.1 Control Todas las responsabilidades deben ser definidas y asianadas. A.6.1.2 Control Las funciones en conflicto y las áreas de responsabilidad deben ser segregadas para reducir las oportunidades de modificación no autorizada, no intencional o por mal uso de los acti,vos de la organización. A.6.1.3 Contacto con autoridades Control Deben mantenerse contactos apropiados con las autoridades relevantes. 12


A.6.1.4

Contacto con grupos de interés especial

A.6.1.5

Seguridad de la informaCión en gestión de proyectos

Control Deben mantenerse los contactos apropiados con los grupos de interés especial u otros foros especializados en seguridad, así como asociaciones de rofesionales.

*(VER LA NOTA UNIT 1)

A.6.2.2

Control Debe adoptarse una política y medidas de seguridad de apoyo para gestionar los riesgos introducidos por el uso de dis ositivos móviles Control Debe implantarse una política y medidas de seguridad de apoyo para proteger la información accedida, procesada o almacenada en sitios de teletrabajo.

Teletrabajo

Objetivo: Asegurar que los empleados y contratistas entiendan sus responsabilidades y que sean a tos ara los roles ara los cuales están siendo considerados. A. 7. 1. 1 Selección Control Debe realizarse la verificación de antecedentes del empleo de acuerdo con las leyes, regulaciones y normas éticas relevantes y en proporción a los requisitos del negocio, la clasificación de la información a ser accedida, y los riesgos percibidos.

* NOTA UNIT 1: Para profundizar en el concepto de abordaje de la seguridad de la información en la gestión de proyectos véase el apartado 6.1.5 de la Norma UNlT-ISOIIEC 27002:2013

13


A.7.1.2

Términos y condiciones de la relación laboral

Control Los acuerdos contractuales con los empleados y contratistas deben indicar sus responsabilidades y las de la organización en cuanto a la seguridad de la información.

A. 7.2 Durante el empleo

Objetivo: Asegurar que los empleados y contratistas sean conscientes y cumplan con las responsabilidades de seguridad de la información. A. 7.2.1 Responsabilidades de la Control dirección La dirección debe exigir a los empleados y contratistas aplicar la seguridad de acuerdo con las políticas y los procedimientos establecidos por la organización. Control Concientización, educación y A.7.2.2 Todos los empleados de la formación en seguridad de la organización y cuando sea información pertinente, los contratistas, deben recibir una educación adecuada en concientización y formación y actualizaciones regulares en políticas y procedimientos organizacionales, relevantes para su función laboral. Proceso disciplinario A.7.2.3 Control Debe existir un proceso disciplinario formal y comunicado para adoptar medidas contra los empleados que han perpetrado una violación a la seguridad . ... ,.

A.7.3 Finalizacióny cambio de la relaciónlábond o.empleo Objetivo: Proteger los intereses de la id'~ga.hif~qión cór:p,o,parte del proceso de cambiar o finalizar !ll . ·:··· la relación laboral • o' ~.::J;: ..;;y rfl!':!l~~ • !t . f,. ~~ m~!'·' ·.,t,, \ ,. . A. 7. 3. 1 Fi~a¡¡~ació~.tótq~piorg~ Control .. respobsé;!bl}.ldlq~$;1aq()r~les Las responsabilidades y las t \:::, •. ' t; !"'~·.Y''~' ,,} / funciones de la seguridad de la "> información que siguen vigentes luego de la finalización o el cambio de la relación laboral o empleo deben ser definidas, comunicadas al empleado o contratista y obligatorias.

14

UNIT-ISO/lEC 27001:2013

A.8 Gestión de activos A.8.1 Res onsabilidad or los activos Objetivo: Identificar los activos de la organización y definir las responsabilidades de protección adecuadas. A.8.1.1 Inventario de activos Control Deben ser identificados los activos asociados con los recursos de procesamiento de información y con la información y se debe establecer y mantener un inventario de estos activos. A.8.1.2 Control Propiedad de los activos Los activos mantenidos en el inventario deben contar con un ro ietario. Control A.8.1.3 Uso aceptable de los activos Deben identificarse, documentarse e implantarse las reglas para el uso aceptable de la información y los activos asociados con la información y con las instalaciones de rocesamiento de información. A.8.1.4 Devolución de los activos Control Todos los empleados y los usuarios de partes externas deben devolver todos los activos de la organización en su poder al término de su empleo, contrato o acuerdo. A.8.2 Clasificación de la información Objetivo: Garantizar que la información reciba un nivel adecuado de protección de acuerdo con su im ortancia ara la or anización. Control A.8.2.1 Clasificación de·.lainformación .· ''.-, La información debe ser clasificada en función de los requisitos legales, del valor, de la criticidad y de la sensibilidad a la divulgación no autorizada o a la modificación. A.8.2.2 Control Debe desarrollarse e implantarse un conjunto adecuado de procedimientos para el etiquetado de la información de acuerdo con el esquema de clasificación de la información, adoptado por la organización.

15


A.8.2.3

Control Procedimientos para la gestión de activos deben ser desarrollados e implementados de acuerdo con el esquema de la clasificación de la información adoptado por la organización.

Gestión de activos

A.8.3 Manejo de medios Objetivo: Prevenir la divulgación no autorizada, la modificación, la eliminación o la destrucción de la información almacenada en los medios. Control Gestión de los medios A.8.3.1 Deben implantarse removibles procedimientos para la gestión de los medios removibles de acuerdo con el esquema de clasificación adoptado por la organización. Control Disposición de los medios A.8.3.2 Los medios deben ser dispuestos cuando ya no son necesarios, utilizando procedimientos formales. A.8.3.3 Transferencia de medios Control físicos Los medios que contienen información deben ser protegidos contra el acceso no autorizado, el mal uso o la corrupción durante el transporte. A.9 Control de acceso A.9.1 Requisitos de negocios del control de acceso Objetivo: Limitar el acceso a la información y a las instalaciones de procesamiento de información A.9.1.1 Política de control de acceso Control Una política de control de acceso debe ser establecida, documentada y revisada en ' base a los requisitos de negocios y de la seguridad de la información. ' "'"'' A.9.1.2 Control Acqé~9 ci l~:s ~~:
(~

¡/";,:·

i~1~J~,

16

·:\

UNIT-150/IEC 27001:2013

A.9.2 Gestión de acceso del usuario Objetivo: Garantizar el acceso autorizado a los usuarios y evitar el acceso no autorizado a los sistemas y servicios. A.9.2.1 Control Registro y baja de usuarios Un proceso formal de registro y baja de usuarios debe ser implementado para permitir la asignación de derechos de acceso. A.9.2.2 Provisión de acceso a los Control usuarios Debe implantarse un proceso de provisión de acceso de usuario para asignar o revocar los derechos de acceso para todos los tipos de usuarios de todos los sistemas y servicios. A.9.2.3 Gestión de derechos de Control La asignación y la utilización acceso privilegiados de los derechos de acceso privilegiados deben ser restringidas y controladas. A.9.2.4 Gestión de información de Control autenticación secreta de los La asignación de información de autenticación secreta debe usuarios ser controlada a través de un proceso de gestión formal. A.9.2.5 Revisión de los derechos de Control acceso de los usuarios Los propietarios de los activos deben revisar los derechos de acceso de los usuarios a intervalos planificados. A.9.2.6 Remoción o ajuste de los Control derechos de acceso Los derechos de acceso de todos los empleados y de los usuarios externos a la información y a las instalaciones de procesamiento de la información deben ser removidos luego de la finalización del empleo, contrato o acuerdo, o ser ajustados al cambio. A.9.3 Responsabilidades del usua~ie>.; :.. ,.,. ,·, .L ,, ·.;·: '¡] Objetivo: Hacer que los usuarios sea!l''r~~pqi)~'~l;?le·~·,·~·e,s¡;¡lvaguardar su información de autenticación. L.,""'~:::.~.:.·;-:.~:::'::'·:::·'~:J:~~...... , ,; A.9.3.1 Uso de la información de Control autenticación secreta Los usuarios deben seguir las prácticas de la organización en el uso de la información de autenticación secreta.

17

UNIT-150/IEC 27001:2013

A.9.4 Control de acceso del sistema y la aplicación Objetivo: Prevenir el acceso no autorizado a los sistemas y__ las aQiicaciones. Control Restricción de acceso a la A.9.4.1 El acceso a la información y a información las funciones de aplicación del sistema debe ser restringido de acuerdo con la política de control de acceso. Procedimientos seguros de Control A.9.4.2 Cuando lo requiera la política inicio de sesión (log on) de control de acceso, el acceso a los sistemas y aplicaciones debe ser controlado por un procedimiento seguro de inicio de sesión (log on) Sistema de gestión de Control A.9.4.3 contraseña Los sistemas de gestión de contraseñas deben ser interactivos y deben garantizar contraseñas de calidad. Control Uso de programas utilitarios A.9.4.4 privilegiados El uso de programas utilitarios que podría ser capaz de anular los controles del sistema y de las aplicaciones debe ser restringido y estrechamente controlado. A.9.4.5 Control de acceso del código Control fuente del programa El acceso al código fuente del programa debe ser restringido. A.1 O Crij:)tografía A.10.1 Controles criptográficos Objetivo: Garantizar el uso adecuado y eficaz de la criptografía para proteger la confidencialidad, la autenticidad o la integridad de la infqrmación. A.10.1.1 Política sobre'el,uso de los Control Debe desarrollarse e t -~>} -:"~··-·····"······ t;.,:~:,' implantarse una política sobre el uso de los controles criptográficos para proteger la ! información. Gestión ,de claves ,, > A.10.1.2 Control >.·.> Debe desarrollarse e implantarse una política sobre el uso, protección y duración de las claves criptográficas a través de todo su ciclo de vida.

cont~l~,crlí)\8grá[\é,o~\)

(t r');~" 'r~c: '~,: ~~ ~<~,i'ii:i~~;'~;¡~¡~;~;?X'

18


A.11 Seguridad física y del ambiente A.11.1 Areas seguras Objetivo: Evitar accesos físicos no autorizados, daños e interferencias contra las instalaciones de procesamiento de información y la información. A.11.1.1 Perímetro de seguridad física Deben definirse los perímetros de seguridad y ser utilizados para proteger las áreas que contienen información sensible o critica e instalaciones de procesamiento de información. A.11.1.2 Controles de acceso físico Control Las áreas seguras deben estar protegidas por controles de entrada apropiados que aseguren que sólo se permite el acceso de personal autorizado. A.11.1.3 Seguridad de oficinas, Control Debe diseñarse y aplicarse despachos e instalaciones seguridad física a oficinas, despachos e instalaciones. Control A.11.1.4 Protección contra amenazas Debe diseñarse y aplicarse externas y del ambiente protección física contra desastres naturales, ataques maliciosos o accidentes. El trabajo en las áreas seguras Control A.11.1.5 Deben diseñarse y aplicarse procedimientos para trabajar en áreas seguras. Control A.11.1.6 Areas de entrega y de carga Los puntos de acceso tales como áreas de entrega y de carga y otros puntos donde las personas no autorizadas puedan acceder a las instalaciones deben ser '·'' ( controlados y, si es posible, aislados de las instalaciones de procesamiento de información para evitar el acceso no autorizado. i:0±';;i~'i;]- .// / A.11.2 Equipamiento \, \~> Objetivo: Prevenir pérdidas, daños, hurtos' o compróh1!3ter los activos, así como la interrupción de las operaciones de la organización. ~';·~ Control A.11.2.1 Ubicac_i4!\Y:·ptpt~~ci~n <:!el ¡, equipamiento · ---.---·--- ' El equipamiento debe estar ubicado y ser protegido para reducir los riesgos ocasionados por amenazas y peligros ambientales, y oportunidades de acceso no autorizado. _,

\"

~~ .~

r·:.,,,,' ' ' ,.,,, ·i ,,, .•

·v•. ,; • q

~,,,, 4 .•.• ~ .• i

19

.J.\c.,

1.


A.11.2.2

A.11.2.3

A.11.2.4

A.11.2.5

A.11.2.6

A.11.2.7

Control Debe protegerse el equipamiento contra posibles fallas en el suministro de energía y otras interrupciones causadas por fallas en los servicios de apoyo Seguridad en el cableado Control El cableado de energía y de telecomunicaciones que transporta datos o servicios de información de apoyo deben ser protegidos de la interceptación, la interferencia o los daños. Control Mantenimiento del equipamiento El equipamiento debe recibir el mantenimiento correcto para asegurar su permanente disponibilidad e integridad. Control Remoción de los activos Los equipamientos, la información o el software no se deben sacar fuera de las instalaciones de la organización sin autorización _Qrevia. Seguridad del equipamiento y Control de los activos fuera de las Deben asegurarse todo los instalaciones de la activos fuera de los locales de organización la organización, teniendo en cuenta los diferentes riesgos de trabajar fuera de las instalaciones de la or-g_anización. Seguridad en la reutilización o Control eliminación de los equipos Todo aquel equipamiento que contenga medios de almacenamiento debe revisarse para asegurar que todos los datos sensibles y software licenciado se hayan removido o se haya sobrescrito ' con seguridad antes de su disposición o reutilización. .•.. ":1 i\_ '''.. "· ..,, Eq4.ipó:de iúsúario·de·satendido Control r.~if) é;~,~y;,\..i'E~~u.-:.~:/;',·f.ii~. ~ .. Los usuarios deben asegurarse de que a los equipos desatendidos se les da protección adecuada.

Servicios de apoyo

'.-~'-"'"'--'.''>'

A.11.2.8

20


A.11.2.9

Política de escritorio y pantalla limpios

Control Debe adoptarse una política de escritorio limpio para papeles y medios de almacenamiento removibles y una política de pantalla limpia para las instalaciones de procesamiento de información.

A.12 Seguridad de las operaciones A.12.1 Procedimientos y responsabilidades operacionales Objetivo: Asegurar el funcionamiento correcto y seguro de las instalaciones de procesamiento de información. A.12.1.1 Procedimientos documentados Control Los procedimientos de de operación operación deben documentarse, mantenerse y ponerse a disposición de todos los usuarios que los necesiten. A.12.1.2 Los cambios en la Gestión de cambios organización, los procesos del negocio, las instalaciones de procesamiento de información y los sistemas que afectan la seguridad de la información, deben ser controlados. Control Gestión de la capacidad A.12.1.3 Debe supervisarse y adaptarse el uso de recursos, así como proyecciones de los futuros requisitos de capacidad para asegurar el desempeño requerido del sistema. Control Separación de los recursos A.12.1.4 Los recursos para el para desarrollo, prueba y desarrollo, prueba y ambientes ambientes operacionales operacionales deben separarse para reducir los riesgos de acceso no autorizado o los cambios en el ambiente operacional. Objetivo: Asegurar que la información y.Jas instalacio~es de procesamiento de información están r:,;';"':,;,,.,T; ;,; ,,,,,, w,:,.~~'~'~ protegidas contra el malware. A.12.2.1 Coritroléá cOfittá.ePiiialware Control :,:. 1',,-! :. '! ·;r,' Los controles de detección, prevención, y recuperación para proteger contra el malware deben ser implementados, combinados con el conocimiento correspondiente del usuario. ~·.;

!i

'i,.\<·1~'\:,,Y-;f'

21

~

UNIT-150/IEC 27001 :2013

A.12.3 Respaldo Objetivo: Protección contra la pérdida de datos. A.12.3.1 Respaldo de la información

Control Deben hacerse regularmente copias de seguridad de la información y del software y probarse regularmente acorde con la _política de respaldo.

A.12.4 Registro y seguimiento Objetivo: Registrar los eventos ' generar evidencia. A.12.4.1 Registros de eventos

A.12.4.2

Protección de la información de registros (logs)

A.12.4.3

Registros del administrador y del operador

A.12.4.4

Sincronización de relojes

•""•""•·.·.·

,

K~·-~·,

'•

~' A.12.5 Control del software en

'.~:;e:·

Control Los registros de eventos que registran actividades del usuario, excepciones, fallas y eventos de seguridad de la información deben ser producidos, mantenidos y revisados regularmente. Control Los medios de registro y la información de registro se deben proteger contra alteración y acceso no autorizado. Control Las actividades del administrador y del operador del sistema se deben registrar y los registros deben ser protegidos y revisados regularmente. Los relojes de todos los sistemas de procesamiento de información pertinente dentro de una organización o dominio de seguridad deben estar sincronizados a una sola fuente de referencia de tiempo.

· .· · · · · ·

;,:j :~Y~'~

f:~"x;

~reid~cci6h':;!;;,;,,;,;~.

"''' \

:.: . Objetivo: Garantizar la integridad de\lo$.sist4rne:1s:ooerativbs. A.12.5.1 lnsf9lab),9n de''SOffiiy§li'~¡Em los sistem~~ operativos . /

r···=···'··

,, . .,.,,. ,

!

i

r

'-

22

Control Deben implantarse procedimientos para controlar la instalación de software en los sistemas operativos

UNIT-ISO/lEC 27001:2013

A.12.6 Gestión de la vulnerabilidad técnica Objetivo: Evitar la explotación de vulnerabilidades técnicas. A.12.6.1 Gestión de vulnerabilidades técnicas

A.12.6.2

Restricciones a la instalación de software

Control Debe obtenerse información oportuna acerca de las vulnerabilidades técnicas de los sistemas de información, debe evaluarse la exposición de la organización a estas vulnerabilidades, y deben tomarse las medidas apropiadas para abordar el riesgo asociado. Control Deben establecerse e implantarse reglas relativas a la instalación de software por los usuarios.

A.12.7 Consideraciones de la auditoría de sistemas de información Objetivo: Minimizar el impacto de las actividades de auditoría en los sistemas operativos. A.12. 7.1 Controles de auditoría de Control sistemas de información Los requisitos y las actividades de auditoría que implican la verificación de los sistemas operativos se deben planificar y acordar cuidadosamente para minimizar las interrupciones en los procesos del negocio. A.13 Seguridad de las comunicaciones A.13.1 Gestión de seguridad de la red Objetivo: Garantizar la protección de la información en las redes y en sus recursos de procesamiento de información de apoyo. Control A.13.1.1 Controles de la red Deben gestionarse y controlarse las redes para proteger la información en los sistemas y las aplicaciones. A.13.1.2 Control Los mecanismos de seguridad, los niveles de servicio y los requisitos de gestión de todos los servicios de red deben ser identificados e incluidos en los acuerdos de servicios de red, ya sea que estos servicios

sean prestados en la empresa o subcontratados.

23


A.13.1.3

Segregación en las redes

Control Los grupos de servicios de información, los usuarios y los sistemas de información deben ser segregados en las redes.

A.13.2 Transferencia de información Objetivo: Mantener la seguridad de la información transferida dentro de la organización y con cualauier entidad externa. Control Políticas y procedimientos de A.13.2.1 transferencia de información Deben establecerse políticas, procedimientos y controles formales de transferencia, para proteger la transferencia de información a través del uso de todo tipo de medios de comunicación. Acuerdos sobre la A.13.2.2 Control transferencia de información Los acuerdos deben abordar la transferencia de información comercial entre la organización y las partes externas. Mensajería electrónica A.13.2.3 Control La información involucrada en la mensajería electrónica se debe proteger apropiadamente. Acuerdos de confidencialidad A.13.2.4 Control o no divulgación Deben identificarse, revisarse regularmente y documentarse los requisitos sobre acuerdos de confidencialidad o no divulgación que reflejan las necesidades de la organización para la protección de la información . . ·! {)

.

l . .•

!(~ ,~·::

~:::· •.. "··--=······=·········::.::_·····.~<·..__.· · ' - - - - · - - - L - - - - - - - - - - - 1

A.14 Adquisi~ión, desarrollo y mantehil:íliei:lt«p~ los. Sistemas A.14.1 Requisitos de seguridad dd lps slstemas;de información Objetivo: Garantizar que la seguridaq ~E;¡ la i(jfotm~~iór¡i.:es' una parte integral de los sistemas de información, a través de todo el ciclo 'qé~yida': Esto'·t8,qioi#n incluye los requisitos para los sistemas de información que proporcidnálí' los serviéios"a través de redes públicas. An~fi~iS.;.~,~~P,~.~,i~iR.fi~jo~ de los Control A.14.1.1 reqüisit9i?',~~!~~gQ,fíCiad 'kle la Los requisitos relacionados infdrmación ~ "' ' · · con la seguridad de la información se deben incluir en los requisitos para los nuevos sistemas de información o para las mejoras a los sistemas de información existentes.

24

UNIT-150/IEC 27001 :2013

A.14.1.2

Servicios de aplicación de seguridad en las redes públicas

A.14.1.3

Transacciones de protección de los servicios de aplicación

Control La información implicada en los servicios de aplicación que pasa a través de las redes públicas debe estar protegida contra la actividad fraudulenta, la disputa contractual y la divulgación y modificación no autorizada. Control La información implicada en las transacciones de los servicios de aplicación debe estar protegida para prevenir la transmisión incompleta, la omisión de envío, la alteración no autorizada del mensaje, la divulgación no autorizada, la duplicación o repetición no autorizada del mensaje.

A.14.2 Seguridad en los procesos de desarrollo y soporte Objetivo: Garantizar que la seguridad de la información se ha diseñado e implementado en el ciclo de vida del desarrollo de los sistemas de información. A.14.2.1 Política de desarrollo seguro Control Deben establecerse y aplicarse reglas para el desarrollo de software y sistemas dentro de la organización. Control A.14.2.2 Procedimientos de control de Los cambios en los sistemas cambios del sistema dentro del ciclo de vida de desarrollo se deben controlar por el uso de procedimientos de control de cambios formales. Control A.14.2.3 Cuando las plataformas operativas cambian, las aplicaciones críticas del negocio se deben revisar y poner a prueba para asegurar que no hay impacto adverso en las operaciones o en la seguridad de la organización.

25

UNJT-ISO/lEC 27001 :2013

Control Debe desalentarse la realización de modificaciones a los paquetes de software, que se deben limitar a los cambios necesarios, y todos los cambios se deben controlar estrictamente. Control Principios de la ingeniería de A.14.2.5 Los principios de la ingeniería sistemas segura de sistemas segura deben ser establecidos, documentados, mantenidos y aplicados a los esfuerzos de implementación de cualquier sistema de información. Control Entorno de desarrollo seguro A.14.2.6 Las organizaciones deben establecer y proteger adecuadamente los entornos de desarrollo seguro para los esfuerzos de desarrollo e integración de sistemas, que cubren todo el ciclo de vida de desarrollo del sistema. Control Desarrollo subcontratado A.14.2.7 La organización debe supervisar y realizar el seguimiento de las actividades de desarrollo de sistemas subcontratadas. Control Pruebas de seguridad de A.14.2.8 Deben llevarse a cabo pruebas sistemas de las funcionalidades de seguridad, durante el desarrollo. Control A.14.2.9 Pruebas de aceptación de sistemas, .. Deben establecerse programas de pruebas de aceptación y los criterios relacionados para nuevos sistemas de información, > actualizaciones y nuevas . versiones. A.14.3 Datos de~eba . .· . ·· .· .•• •••·•· · ·.,·.· · · · '·....•,. .. . . . •.•...• . .~·:-----:-------------1 Objetivo: Garantizar la protección de 'los•datosiufilizadós para la prueba. ""'c'=o""n.:ct'ro--:1----------1 ProtecCi6ri de lbs datos de A.14.3.1 prueba Los datos de prueba se deben seleccionar, proteger y controlar cuidadosamente.

A.14.2.4

Restricciones en los cambios a los paquetes de software

;': ''-"

' f,¡r)'!j!i .

.,

', ........ >

26


A.15 Relaciones con Jos proveedores A.15.1 Seguridad de la información en las relaciones con Jos proveedores Objetivo: Garantizar la protecCión de los activos de la organización, accesibles por los proveedores. A.15.1.1 Política de seguridad de la Control Los requisitos de seguridad de información. para las relaciones con los información para la mitigación de los riesgos asociados con el proveedores acceso del proveedor a los activos de la organización deben ser acordados con el proveedor y documentados. A.15.1.2 Abordar la seguridad dentro de Control los acuerdos con los Todos los requisitos proveedores pertinentes de seguridad de la información deben ser establecidos y acordados con cada proveedor que pueda acceder, procesar, almacenar, comunicar o proporcionar componentes de la infraestructura de TI para la información de la organización. Control A.15.1.3 Cadena de suministro de las tecnologías de la información y Los acuerdos con los proveedores deben incluir las comunicaciones requisitos para gestionar los riesgos de seguridad de la información asociados con la cadena de suministro de información y de servicios y productos de tecnologías de las comunicaciones.

A.15.2 Gestión de la prestación de servicios del proveedor Objetivo: Mantener un nivel acordado de s~eguridad,pe la información y de la prestación de servicios en línea con los acuerdos con h:is"próveectores. A.15.2.1 Segd~~í~qtpi':yrevisiQJl'<;Je los Control serfticibs~~~ IR~~~tovégd9res Las organizaciones deben ¡ é1'~'\""~~ '' 11~ ¡ realizar el seguimiento, revisar \ f\j ;' y auditar regularmente la \ >; , prestación de servicios de los ·"' ' proveedores. r;-~··,~·:••w:.~ ·~

~ !' r f'~:··.>-do.O"'\"'~\

o,J.'j_,.,, ,•,:<·:

_1J\:>:~ {;~lPIII

,,

i

1 ¡

w;:I<..U"%.'"ol:•.'"'"W.:if,'.>f,<,••,••I'::,!II."""!!.W.'r>-.:W.!!."'-'O"'""'"§

27

UNIT-150/IEC 27001 :2013

A.15.2.2

Gestión de cambios en los servicios de los proveedores

Objetivo: Garantizar un enfoque coherente y eficaz a la gestión de información, inclu endo fa comunicación de eventos de se uridad A.16.1.1 Responsabilidades y procedimientos

A.16.1.2

Reporte de eventos de seguridad de la información

A.16.1.3

Reporte de las debilidades de seguridad de fa información

A.16.1.4

Eva~ü~gión"'y ISiéuj'isóbre los ev~ntos de s~gurid~d de la

infopu,~~l$.9 ¡.;"'';"

(lj'

;m

t. . ·~ ~.-;:;:,t::::;',.;::;·;~;~.);;:;·;'!: !' f,

28

Control Los cambios en la prestación de servicios de los proveedores, incluyendo el mantenimiento y mejora de políticas, procedimientos y controles existentes de seguridad de la información deben ser gestionados, teniendo en cuenta la criticidad de la información, sistemas y procesos de negocios involucrados y la reevaluación de los riesgos.

incidentes de seguridad de la debilidades. Control Deben establecerse responsabilidades y procedimientos de gestión para asegurar una respuesta rápida, eficaz y metódica a los incidentes de seguridad de fa información. Control Los eventos de seguridad de la información se deben reportar a través de los canales de gestión apropiados, lo más rá idamente asible. Control Los empleados y contratistas que utilizan los sistemas y servicios de información de la organización, deben observar y reportar cualquier debilidad en la seguridad de sistemas o servicios, observada o que se sos eche. Control Los eventos de seguridad de la información deben ser evaluados y se debe decidir si son clasificados como incidentes de seguridad de la información.

UN IT-ISO/lEC 27001 :2013

A.16.1.5

Respuesta a incidentes de seguridad de la información

A.16.1.6

Aprender de los incidentes de seguridad de la información

A.16.1.7

Recopilación de evidencia

Control Los incidentes de seguridad de la información deben ser respondidos de acuerdo con los procedimientos documentados. Control Los conocimientos adquiridos en el análisis y la resolución de los incidentes de seguridad de la información deben ser utilizados para reducir la probabilidad o el impacto de futuros incidentes. Control La organización debe definir y aplicar procedimientos para la identificación, recopilación, adquisición y conservación de información, que puede servir como evidencia.

A.17 As ectos de se uridad de la información en la estión de la continuidad del ne ocio A.17.1 Continuidad de la se uridad de la información Objetivo: La continuidad de la seguridad de la información debe ser incluida en los sistemas de estión de continuidad del ne ocio de la or anización. Control A.17.1.1 Planificación de la continuidad La organización debe de la seguridad de la determinar sus requisitos para información la seguridad de la información y la continuidad de la gestión de la seguridad de la información en situaciones adversas, por ejemplo, durante una crisis o desastre. Control Implementación de la A.17.1.2 de la,i5,e,gu,ridad de La organización debe ntr.r,.,..,o-:>l"'l"'n 'e·~:- -~ establecer, documentar, implantar y mantener procesos, procedimientos y controles para garantizar el nivel requerido de continuidad para la seguridad de la información durante una situación adversa.

29

UNIT-150/IEC 27001 :2013

A.17.1.3

Verificar, revisar y evaluar la continuidad de la seguridad de la información

Control La organización debe verificar los controles establecidos e implementados de la continuidad de la seguridad de la información a intervalos regulares, con el fin de asegurar que sean válidas y efectivas en situaciones adversas.

A.17.2 Redundancia Ob"etivo: Garantizar la dis onibilidad de las instalaciones de rocesamiento de información. A.17.2.1 Disponibilidad de las Control instalaciones de Deben implantarse las instalaciones de procesamiento de información procesamiento de información con la suficiente redundancia como para cumplir con los re uisitos de dis onibilidad.

Identificación de la legislación aplicable y los requisitos contractuales

A.18.1.2

Derechos de propiedad intelectual

A.18.1.3

30

Control Todos los requisitos legislativos estatutarios, reglamentarios, contractuales y el enfoque de la organización para cumplirlos deben ser explícitamente identificados, documentados y actualizados para cada sistema de información y para la or anización. Control Deben implantarse procedimientos apropiados para asegurar el cumplimiento de los requisitos legislativos, reglamentarios y contractuales relacionados con los derechos de propiedad intelectual y el uso de productos de software atentados. Control Los registros se deben proteger contra pérdida, destrucción, falsificación, acceso no autorizado y divulgación no autorizada, de acuerdo con los requisitos legislativos, reglamentarios, contractuales de ne ocios.

UNIT -ISO/lEC 27001 :2013

A.18.1.4

Privacidad y protección de datos personales

A.18.1.5

Regulación de los controles criptográficos

Control Debe asegurarse la privacidad y la protección de los datos personales, como se exige en la legislación y en la regulación, según corresponda. Control Deben utilizarse controles criptográficos que cumplan con todos los acuerdos, leyes y reglamentos relevantes.

A.18.2 Revisiones de se uridad de la información Objetivo: Garantizar que la seguridad de la información sea implementada y que funciona de acuerdo con las olíticas rocedimientos de la or anización. Control A.18.2.1 Revisión independiente de El enfoque de la organización seguridad de la información para gestionar seguridad de la información y su implementación (es decir, objetivos de control, controles, políticas, procesos y procedimientos para la seguridad de la información) deben ser revisados independientemente a intervalos planificados o cuando se produzcan otros cambios si nificativos. Control A.18.2.2 Conformidad con las políticas Los directivos deben revisar y las normas de seguridad regularmente la conformidad con el procesamiento y los procedimientos de información, dentro de su área de responsabilidad con las políticas, normas y otros requisitos de seguridad adecuados. Control Reyi$ión'de cqtifé:lrmidad A.18.2.3 Los sistemas de información técpica ~~ J:~ deben ser revisados regularmente por su conformidad con las políticas y las normas de seguridad de la información de la or anización.

.)

r¡' f

31


BIBLIOGRAFÍA [1] ISO/lEC 27002:2013, Tecnología de la información- Técnicas de seguridad- Código de buenas prácticas para los controles de seguridad de la información. [2] ISO/lEC 27003, Tecnología de la información- Técnicas de seguridad- Directrices para la implantación de un sistema de gestión de la seguridad de la información. [3] ISO/lEC 27004, Tecnología de la información seguridad de la información - Medición. [4] ISO/lEC 27005, Tecnología de la información riesgo de seguridad de la información. [5]

Técnicas de seguridad -

Técnicas de seguridad -

Gestión de la

Gestión del

ISO 31000:2009, Gestión del riesgo- Principios y directrices.

[6] Directivas ISO/lEC, Parte 1, Suplemento Consolidado de /SO, Procedimientos específicos de /SO, 2012.

32


INFORME CORRESPONDIENTE A LA NORMA UNIT-ISO/IEC 27001:2013 TECNOLOGIA DE LA INFORMACIÓN TÉCNICAS DE SEGURIDAD -SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - REQUISITOS 1 - INTRODUCCION

La gestión eficaz de la seguridad de los sistemas de información es un aspecto primordial para salvaguardar a las organizaciones de los riesgos e inseguridades procedentes de una amplia variedad de fuentes que pueden dañar de forma importante sus sistemas de información. La Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (lEC), de las cuales UNIT es miembro, han desarrollado una serie de normas internacionales de amplísima difusión a nivel mundial al respecto a esta problemática. Se entendió oportuno considerar la adopción como normas técnicas nacionales de estas mencionadas normas internacionales y para ello se constituyó en nuestro Instituto un Comité Técnico Especializado para la elaboración de Normas Técnicas UNIT sobre Seguridad de la Información. Esta Norma especifica los requisitos para establecer, implantar, operar, hacer el seguimiento, revisar, mantener y mejorar sistemas de gestión de seguridad de la información (SGSI) formalizados dentro del contexto del riesgo de negocio general de la organización. Especifica los requisitos para la implantación de controles de seguridad de la información adaptados a las necesidades de cada una de las organizaciones o parte de ellas. Esta Norma puede ser utilizada por todo tipo de organización, independientemente del tipo, tamaño o naturaleza. 2 - COMITÉ ESPECIALIZADO

A los efectos de integrar dicho Comité Especializado se solicitaron delegados a: Ministerio de Defensa Nacional, Ministerio de Desarrollo Social, Cámara Uruguaya de Tecnología Informática (CUTI), URSEC, Facultad de Ingeniería - Universidad de la República, Asociación de Bancos del Uruguay, Asociación de Ingenieros del Uruguay, ISACA Capítulo Montevideo, ISSA Capítulo Uruguay, BPS, ANTEL, UTE, ANCAP, IMM, LATU, IBM del Uruguay, Microsoft Uruguay S.A., Banco Central del Uruguay, BROU, Banco Hipotecario del Uruguay, Comisión Local de Aseguradores, BSE y Citybank National Association Sucursal Uruguay 3-ANTECEDENTES .p:';'''''''""'~'':'"J.;.;:··.o,......, . ,

Para la elabo~ación de la presente norr.~~:·~I>Co'íriité,~~~eecializado tuvo en cuenta los siguientes " , ·-~;.. \ antecedentes. / it~) i . ::; '1\¡¡ '¡¡) \ Organizacic?~:Jnt~ ,iBflal d~J ~ormalización ISO/lEC 27001:2013 lnforma~ion teclip'?).P9Y t.~btiniques- lnformation security l'i i i);f,m ,;)· ) management systems - ReqUirements\ ':s~ · \\ •4')<·{t:i Al 4':CONSJDER doNES

¡sf&u¡ilY

! ;~::.:·:~: ~,~·~)~:\~, ~~5,~~

!

Esta norma corresponde íntegramentJ.cd~:~I§:Ñ6Ff6~~]~ter~acionaiiSO/IEC 27001:2013. Esta norma anula y sustituye a la Norma UNIT-ISO/IEC 27001:2005. En esta Norma UNIT-ISO/IEC no se han introducido modificaciones al texto original de la norma internacional referida. El proyecto correspondiente a esta norma fue aprobado el 03 de octubre de 2013 por el Comité Especializado y el 1O de octubre de 2013 por el Comité General.

33

INSTITUTO URUGUAYO

I!I~J

INSTITUTO URUGUAYO DE NORMAS TÉCNICAS

o

ll

Más de 70 años dedicados a la promoción y el mejoramiento de la calidad en beneficio de la comunidad

DE NORMAS TECNICAS

NORMALIZACIÓN Realizada a nivel nacional mediante comités especializados, integrados por representantes de todos los sectores involucrados, que dan respuesta a solicitudes formuladas por instituciones oficiales y/o empresas privadas, referentes a los requisitos técnicos que deben cumplir determinados productos, a los métodos de ensayo que se deben utilizar en su medición, elementos de seguridad, etc. Las normas UNIT encaran temas tan diversos como: Gestión de la Calidad, Gestión Ambiental, Materiales de Construcción, Electrotecnia, Seguridad y Salud Ocupacional, Productos Alimenticios, Textiles, Dibujos, Fertilizantes, Cueros, Metales, Sanitaria, Pinturas, Material de Lucha contra Incendios, Recipientes para Gases, Maderas, Papeles, etc. Muchas de ellas han sido declaradas de cumplimiento obligatorio por el Poder Ejecutivo y diversas Intendencias Municipales. A nivel internacional se participa en la elaboración de normas ISO, lEC, COPANTy MERCOSUR.

CAPACITACIÓN Fue UNIT quien inició en Uruguay la capacitación en Calidad (1971 ), así como en otras areas de gestión. Los más de 120 cursos diferentes en áreas relacionadas que dicta pueden ser realizados en forma independiente, aún cuando han sido estructurados en forma de los siguientes Diplomas: Especialista y Técnico en Gestión de la Calidad UNIT·ISO 9000; Especialista en Gestión Ambiental UNIT-ISO 14000; Especialista UNIT en Gestión de la Seguridad y Salud Ocupacional UNIT 18000 y Especialista UNIT en Recursos Humanos para Sistemas de Gestión. A quienes obtengan estos 4 Diplomas de Especialista se les otorga además el Diploma Superior en Sistemas UNIT de Gestión. Otros diplomas que integran el programa de Capacitación son: Especialista UNIT en Logística Empresarial e Internacional; Especialista UNIT en Gestión Forestal Sostenible; Especialista UNIT en Gestión de la Seguridad en la Información; Especialista UNIT en Gestión de la Energía; Especialista UN/Ten Gestión de los Servicios de Tecnología de la Información (UNIT·ISO/IEC 20000) Especialista UN/Ten Gestión de la Calidad en los Laboratorios de Análisis y Ensayo (UNIT-ISO/IEC 17025) Especialista UNIT en Gestión de la Calidad en los Laboratorios de Análisis Clínicos (UNIT-ISO 15189) Especialista UNIT en Gestión de la Calidad en Servicios de Salud; Especialista UNIT en Inocuidad Alimentaria; Supervisor en Gestión de la Calidad UNIT·ISO 9000 y Formación en Protección contra Incendios DNB-UNIT. Quienes obtengan el título de «Especialista o Técnico», estarán en condiciones de conducir la implantación de los respectivos sistemas, en tanto los que reciban el título de «Supervisor en Gestión de Calidad» estarán en condiciones de cooperar con los Especialistas en esa tarea. Se dictan, además, cursos para la Formación de Auditores de Calidad y SYSO, Alta Gerencia y de aplicación de las normas para Sistemas de Gestión en áreas específicas (Educación, Salud, Construcción, Agropecuaria, etc.) así como cursos complementarios en las temáticas de Software, Turismo, Gestión ambiental, Laboratorios, Inocuidad alimentaria, Gestión empresarial e Interacción con el cliente, además de cursos Técnicos y para Operarios. Se destaca que cualquiera de éstos cursos pueden dictarse «in situ» en las empresas. A través de UNIT se tiene la posibilidad de participar en diversos seminarios y simposios en el exterior.

CERTIFICACIÓN DE PRODUCTQS;;y~SERVICIOS

Mediante la Marca de Conformidad con N9fir;t~Y 9;Etifi<::~~i~Bd~ Productos y Servicios, los que UNIT evalúa durante la elaboración en fábrica o en su ..ré~liz@iq~'y c;lqrante sl¡ comercialización, certificando cuando corresponde que un producto o servicio quQjpléE:lri',fpJrtla'perm@,n~nte con una norma UNIT. Se otorga a extintores, recarga de extint6r~s; c~le,Bla~ói'e$ de,agóa, envases para gases, equipos de protección personal, material sanitario, material eléqtrico, materiales dec;or;~strucción,etc.

CERTIFICACIÓN DE SISTEMAS ÓE é'ESTIÓN Realizada por expertos calificados por la Asciciación de Norm'ali2;ación y Certificación (AENOR). UNIT fue quien puso en funcionamiento en Uruguay loslpfi.íf.\Wi~~t~~~y~'ti'\i;\§_p~ra la Certificación de Sistemas de la Calidad, Sistemas de Gestión Ambiental y Sistemas de,Gestiórtdéila S~guridad y la Salud Ocupacional, desarrollados según las normas UNIT-ISO 9000, UNIT-I'S0140b'tfyúNIT (OHSAS) 18000, siendo también quién certificó a las primeras empresas uruguayas en cumplir las respectivas normas.

INFORMACIÓN ESPECIALIZADA Mediante una biblioteca a disposición del público con más de 350.000 normas y especificaciones internacionales Yex~ra~jeras, que el exportador debe conocer cuando desea vender sus productos en diferentes mercados y que son tnd1spensables como antecedentes para la elaboración de las normas nacionales. -------- --- ---- --- ---- -- --- __ ___ ---- ----------~-

.,

(' OHSAS ::::·:::.,,,., ~!.~~' ~.: ~.,·,·.r..c•N·~:~.- ~-- -·n;,; :-.',~. ,'.-" '.-0·c, ;.•-..~,-· ·m··;.~.~~~N·;,.·,\J A.~
,

"'=·.'/

--

··--------·----..----·--..-----------.. ---. -···--·--------.. ----..----....... ..........

()>;N<>o

'

"'

"' "'

·•

PZA. INDEPENDENCIA 812- P2 .. MoNTEVIDEo- uRuGuAv ..... fiFioHisíD.A.-LA REPRaoücclóN ·rorA.-co-fi:Aii'ciAL s.A.Lvo..... TP: 2901 2048' - TF: 2902 1681 - E-mail:[email protected] POR AUTORIZACIÓN ESCRITA DE ESTE INSTITUTO

.

/

UNIT-ISO-IEC 27001-2013_(ES)

Recommend Documents