1. OBJETO
1.1. GENERALIDADES Esta norma específica los requisitos para establecer, implementar, operar, hacer seguimiento, revisar, mantener y mejorar un SGSI documentado dentro del contexto de los riesgos globales del negocio de la organización.
1.2. APLICACIÓN Los requisitos establecidos en esta norma son genéricos y están previstos para ser aplicables a todas las organizaciones, independientemente de su tipo, tamaño y naturaleza.
2. REFERENCIA NORMATIVA
2.1. El siguiente documento referenciado es indispensable para la aplicación de esta norma. Para referencias fechadas, sólo se aplica la edición citada.
3. TÉRMINOS Y DEFINICIONES
3.1. Para los propósitos de esta norma, se aplican los siguientes términos y definiciones:
3.1.1. Aceptación del riesgo.
3.1.2. Activo.
3.1.3. Análisis de riesgo.
3.1.4. Confidencialidad.
3.1.5. Declaración de aplicabilidad.
3.1.6. Disponibilidad.
3.1.7. Evaluación del riesgo.
3.1.8. Evento de seguridad de la información.
3.1.9. Gestión del riesgo.
3.1.10. Incidente de seguridad de la información.
3.1.11. Integridad.
3.1.12. Riesgo residual.
3.1.13. Seguridad de la información.
3.1.14. Sistema de gestión de la seguridad de la información GSI.
3.1.15. Tratamiento del riesgo.
3.1.16. Valoración del riesgo.
4. SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
4.1. REQUISITOS GENERALES
4.1.1. La organización debe establecer, implementar, operar, hacer seguimiento, revisar, mantener y mejorar un SGSI documentado, en el contexto de las actividades globales del negocio de la organización y de los riesgos que enfrenta.
4.2. ESTABLECIMIENTO Y GESTIÓN DEL SGSI
4.2.1. Establecimiento del SGSI
4.2.2. Implementación y operación del SGSI
4.2.3. Seguimiento y revisión del SGSI
4.2.4. Mantenimiento y mejora del SGSI
4.3. REQUISITOS DE DOCUMENTACIÓN
4.3.1. Control de documentos
4.3.1.1. Los documentos exigidos por el SGSI se deben proteger y controlar.
4.3.2. Control de registros
4.3.2.1. Se deben establecer y mantener registros para brindar evidencia de la conformidad con los requisitos y la operación eficaz del SGSI.
5. RESPONSABILIDAD DE LA DIRECCIÓN
5.1. COMPROMISO DE LA DIRECCIÓN
5.1.1. La dirección debe brindar evidencia de su compromiso con el establecimiento, implementación, operación, seguimiento, revisión, mantenimiento y mejora del SGSI.
5.2. GESTIÓN DE RECURSOS
5.2.1. La organización debe determinar y suministrar los recursos necesarios.
5.2.2. La organización debe asegurar que todo el personal al que se asigne responsabilidades definidas en el SGSI sea competente para realizar las tareas exigidas
6. AUDITORÍAS INTERNAS DEL SGSI
6.1. La organización debe llevar a cabo auditorías internas del SGSI a intervalos planificados, para determinar si los objetivos de control, controles, procesos y procedimientos de su SGSI:
6.1.1. a) Cumplen los requisitos de la presente norma y de la legislación o reglamentaciones pertinentes.
6.1.2. b) cumplen los requisitos identificados de seguridad de la información.
6.1.3. c) están implementados y se mantienen eficazmente, y tienen un desempeño acorde con lo esperado.
7. REVISIÓN DEL SGSI POR LA DIRECCIÓN
7.1. GENERALIDADES
7.1.1. La dirección debe revisar el SGSI de la organización a intervalos planificados para asegurar su conveniencia, suficiencia y eficacia continuas.
7.2. INFORMACIÓN PARA LA REVISIÓN
7.2.1. Las entradas para la revisión por la dirección deben incluir:
7.2.1.1. a) resultados de las auditorías y revisiones del SGSI. b) retroalimentación de las partes interesadas. c) técnicas, productos o procedimientos que se pueden usar en la organización para mejorar el desempeño y eficacia del SGSI. d) estado de las acciones correctivas y preventivas.
7.3. RESULTADOS DE LA REVISIÓN
7.3.1. Los resultados de la revisión por la dirección deben incluir cualquier decisión y acción relacionada con:
7.3.1.1. a) la mejora de la eficacia del SGSI; b) la actualización de la evaluación de riesgos y del plan de tratamiento de riesgos. c) La modificación de los procedimientos y controles que afectan la seguridad de la información, según sea necesario.
8. MEJORA DEL SGSI
8.1. MEJORA CONTINUA
8.1.1. La organización debe mejorar continuamente la eficacia del SGSI mediante el uso de la política de seguridad de la información.
8.2. ACCIÓN CORRECTIVA
8.2.1. La organización debe emprender acciones para eliminar la causa de no conformidades asociadas con los requisitos del SGSI, con el fin de prevenir que ocurran nuevamente.
8.3. ACCIÓN PREVENTIVA
8.3.1. La organización debe determinar acciones para eliminar la causa de no conformidades potenciales con los requisitos del SGSI y evitar que ocurran. Las acciones preventivas tomadas deben ser apropiadas al impacto de los problemas potenciales.