1. DEFINICIÓN
1.1. Es un estándar para la seguridad de la información
2. OBJETO
2.1. Esta norma específica los requisitos para:
2.1.1. Establecer
2.1.2. Implementar
2.1.3. Operar
2.1.4. Seguimiento
2.1.5. Revisar
2.1.6. Mantener
2.1.7. Mejorar
3. REFERENCIA NORMATIVA
3.1. NTC-ISO/IEC 17799:2006
4. SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACIÓN
4.1. Establecimiento y gestión del SGSI
4.1.1. Establecimiento
4.1.2. Implementación y Operación
4.1.3. Seguimiento y Revisión
4.1.4. Mantenimiento y mejora
4.2. Requisitos de documentación
4.2.1. Control de Documentos
4.2.2. Control de Registros
5. RESPONSABILIDAD DE LA DIRECCIÓN
5.1. Compromiso de la Dirección
5.2. Gestión de Recursos
6. AUDITORIAS INTERNAS DEL SGSI
6.1. Llevar a cabo auditorias al SGSI para determinar si los objetivos se cumplen:
6.1.1. Requisitos de la Norma ISO 27001
6.1.2. Requisitos de legislación
6.1.3. Reglamentaciones pertinentes.
7. REVISIÓN DEL SGSI POR LA DIRECCIÓN
7.1. Información para la revisión.
7.1.1. Las entradas para la revisión deben incluir:
7.1.1.1. Resultados de las auditorias
7.1.1.2. Retroalimentación de las Partes interesadas.
7.1.1.3. Tecnicas, productos o precedimientos para mejorar la eficacia y desempeño del SGSI
7.1.1.4. Estado de las acciones correctivas y preventivas,
7.1.1.5. Vulnerabilidades y amenzas no tratadas
7.2. Resultados de la revisión.
7.2.1. deben incluir cualquier decisión y acción relacionada con:
7.2.1.1. Mejora de la eficacia del SGSI
7.2.1.2. Actualización de la evaluación de riesgos
7.2.1.3. Recursos necesarios
7.2.1.4. La mejora a la manera en que se mide la eficacia de los controles
8. MEJORA DEL SGSI
8.1. Mejora continua.
8.1.1. La organización debe mejorar continuamente la eficacia del SGSI mediante el uso de la política de seguridad de la información, los objetivos de seguridad de la información, los resultados de la auditoría, el análisis de los eventos a los que se les ha hecho seguimiento, las acciones correctivas y preventivas y la revisión por la dirección.
8.2. Acción Correctiva
8.2.1. Identificar las no conformidades
8.2.2. Determinar las causas
8.2.3. Evaluar la necesidad
8.2.4. Determinar e implementar la acción
8.2.5. Registrar los resultados de la acción tomada.
8.2.6. Revisar la acción correctiva tomada.
8.3. Acción Preventiva
8.3.1. Identificar no conformidades potenciales y sus causas
8.3.2. Evaluar la necesidad de acciones para impedir que las no conformidades ocurran
8.3.3. Determinar e implementar la acción preventiva necesaria
8.3.4. Registrar los resultados
8.3.5. Revisar la acción preventiva