Scribd
Cargar
478 vistas5 páginas

(Ex) Une-Iso (Iec 27001 2023

La norma UNE-ISO/IEC 27001 establece los requisitos para el establecimiento, implementación, mantenimiento y mejora continua de un sistema de gestión de la seguridad de la información en cualquier organización. Incluye directrices sobre la evaluación y tratamiento de riesgos de seguridad de la información, aplicables a diversas entidades sin distinción de tipo o tamaño. Esta norma es equivalente a la norma internacional ISO/IEC 27001:2022.

Cargado por

nelton baralt
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
478 vistas5 páginas

(Ex) Une-Iso (Iec 27001 2023

La norma UNE-ISO/IEC 27001 establece los requisitos para el establecimiento, implementación, mantenimiento y mejora continua de un sistema de gestión de la seguridad de la información en cualquier organización. Incluye directrices sobre la evaluación y tratamiento de riesgos de seguridad de la información, aplicables a diversas entidades sin distinción de tipo o tamaño. Esta norma es equivalente a la norma internacional ISO/IEC 27001:2022.

Cargado por

nelton baralt
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd

Norma Española

UNE-ISO/IEC 27001
Mayo 2023

Seguridad de la información, ciberseguridad y protección


de la privacidad
Sistemas de gestión de la seguridad de la información
Requisitos

Esta norma ha sido elaborada por el comité técnico


CTN-UNE 320 Ciberseguridad y protección de datos
personales, cuya secretaría desempeña UNE.

EXTRACTO DEL DOCUMENTO UNE-ISO/IEC 27001

Asociación Española Calle de Génova, 6 915 294 900


de Normalización 28004 Madrid. España [email protected] – www.une.org
UNE-ISO/IEC 27001

Seguridad de la información, ciberseguridad y protección de la privacidad


Sistemas de gestión de la seguridad de la información
Requisitos

Information security, cybersecurity and privacy protection. Information security management systems.
Requirements.

Sécurité de l'information, cybersécurité et protection de la vie privée. Systèmes de management de la sécurité


de l'information. Exigences.

Esta norma es idéntica a la Norma Internacional ISO/IEC 27001:2022.

EXTRACTO DEL DOCUMENTO UNE-ISO/IEC 27001

Las observaciones a este documento han de dirigirse a:

Asociación Española de Normalización


Génova, 6
28004 MADRID-España
Tel.: 915 294 900
[email protected]
www.une.org

© UNE 2023
Prohibida la reproducción sin el consentimiento de UNE.
Todos los derechos de propiedad intelectual de la presente norma son titularidad de UNE.
Índice

Prólogo ...................................................................................................................................................5

0 Introducción ........................................................................................................................6
0.1 Generalidades .....................................................................................................................6
0.2 Compatibilidad con otras normas de sistemas de gestión .................................6

1 Objeto y campo de aplicación........................................................................................7

2 Normas para consulta ......................................................................................................7

3 Términos y definiciones..................................................................................................7

4 Contexto de la organización ..........................................................................................7


4.1 Comprensión de la organización y de su contexto ................................................7
4.2 Comprensión de las necesidades y expectativas de las partes
interesadas ..........................................................................................................................7
4.3 Determinación del alcance del sistema de gestión de la seguridad de
la información.....................................................................................................................8
4.4 Sistema de gestión de la seguridad de la información .........................................8

5 Liderazgo ..............................................................................................................................8
5.1 Liderazgo y compromiso.................................................................................................8
5.2 Política...................................................................................................................................9
5.3 Roles, responsabilidades y autoridades en la organización ..............................9

6 Planificación ..................................................................................................................... 10
6.1 Acciones para tratar los riesgos y oportunidades .............................................. 10
6.1.1 Consideraciones generales ......................................................................................... 10
6.1.2 Evaluación de los riesgos de seguridad de la información .............................. 10
6.1.3 Tratamiento de los riesgos de seguridad de la información .......................... 11
6.2 Objetivos de seguridad de la información y planificación para su
consecución ...................................................................................................................... 12
6.3 Planificación de cambios ............................................................................................. 13

7 Soporte ............................................................................................................................... 13
7.1 Recursos............................................................................................................................. 13
7.2 Competencia ..................................................................................................................... 13
7.3 Concienciación................................................................................................................. 13
7.4 Comunicación .................................................................................................................. 13
7.5 Información documentada.......................................................................................... 14
7.5.1 Consideraciones generales ......................................................................................... 14
7.5.2 Creación y actualización .............................................................................................. 14
7.5.3 Control de la información documentada ............................................................... 14

8 Operación .......................................................................................................................... 15
8.1 Planificación y control operacional ......................................................................... 15
8.2 Evaluación de los riesgos de seguridad de la información .............................. 15
8.3 Tratamiento de los riesgos de seguridad de la información .......................... 15

9 Evaluación del desempeño.......................................................................................... 16


9.1 Seguimiento, medición, análisis y evaluación ...................................................... 16
9.2 Auditoría interna ............................................................................................................ 16
9.2.1 Consideraciones generales ......................................................................................... 16
9.2.2 Programa de auditoría interna ................................................................................. 16
9.3 Revisión por la dirección ............................................................................................. 17

EXTRACTO DEL DOCUMENTO UNE-ISO/IEC 27001


9.3.1 Consideraciones generales ......................................................................................... 17
9.3.2 Entradas de la revisión por la dirección ................................................................ 17
9.3.3 Resultados de la revisión por la Dirección............................................................ 18

10 Mejora ................................................................................................................................. 18
10.1 Mejora continua .............................................................................................................. 18
10.2 No conformidad y acciones correctivas.................................................................. 18

Anexo A (Normativo) Controles de la seguridad de la información de


referencia ........................................................................................ 19

Bibliografía ........................................................................................................................................ 29

EXTRACTO DEL DOCUMENTO UNE-ISO/IEC 27001


1 Objeto y campo de aplicación
Este documento especifica los requisitos para el establecimiento, implementación, mantenimiento y
mejora continua de un sistema de gestión de la seguridad de la información en el contexto de la
organización. Este documento también incluye los requisitos para la apreciación y el tratamiento de los
riesgos de seguridad de información a la medida de las necesidades de la organización. Los requisitos
establecidos en este documento son genéricos y aplicables a todas las organizaciones, cualquiera que
sea su tipo, tamaño o naturaleza. No se acepta la exclusión de cualquiera de los requisitos especificados
en los capítulos 4 al 10 cuando la organización reclame la conformidad con este documento.

2 Normas para consulta


Los documentos indicados a continuación, en su totalidad o en parte, son normas para consulta
indispensables para la aplicación de este documento. Para las referencias con fecha, solo se aplica la
edición citada. Para las referencias sin fecha se aplica la última edición (incluida cualquier modificación
de esta).

ISO/IEC 27000, Tecnología de la información. Técnicas de seguridad. Sistemas de Gestión de la Seguridad


de la Información (SGSI). Visión de conjunto y vocabulario.

EXTRACTO DEL DOCUMENTO UNE-ISO/IEC 27001

También podría gustarte