Tecnología de la información —Técnicas de seguridad — Sistemas de gestión de la seguridad de la información — Requisitos.

Objeto y campo de aplicación

1.1 Generalidades Esta norma internacional cubre todo tipo de organizaciones (por ejemplo: empresas comerciales, entidades gubernamentales, organizaciones sin fines de lucro). Esta norma internacional especifica los requisitos para establecer, implementar, operar, dar seguimiento, revisar, mantener y mejorar un SGSI documentado dentro del contexto de los riesgos globales del negocio de la organización. Especifica los requisitos para la implementación de controles de seguridad adaptados a las necesidades de las organizaciones individuales o a partes de ellas. El SGSI se diseña para asegurar la selección adecuada de controles de seguridad que proporcionen protección a los activos de información y brinden confianza a las partes interesadas. Nota 1. Las referencias que se hacen en esta norma internacional a “negocio” se deberían interpretar ampliamente como aquellas actividades que son esenciales para el propósito de la existencia de la organización. Nota 2. La norma INTE-ISO/IEC 27002 brinda una guía de implementación que puede utilizarse para el diseño de controles. 1.2 Aplicación Los requisitos establecidos en esta norma internacional son genéricos y están previstos para ser aplicados a todas las organizaciones, independientemente de su tipo, tamaño y naturaleza. No es aceptable la exclusión de cualquiera de los requisitos especificados en los capítulos 4, 5, 6, 7 y 8 cuando una organización declara conformidad con la presente norma internacional. Cualquier exclusión de controles, considerada necesaria para satisfacer los criterios de aceptación de riesgos, necesita justificarse y debe suministrarse evidencia de que los riesgos asociados han sido aceptados por las personas responsables. Las declaraciones de conformidad con esta norma internacional en donde se excluya cualquier control no son aceptables, a menos que dichas exclusiones no afecten la capacidad ni la responsabilidad de la organización para ofrecer seguridad de la información que satisfaga los requisitos de seguridad determinados por la valoración del riesgo, así como los requisitos legales y reglamentarios aplicables. Nota. Si una organización ya tiene en funcionamiento un sistema de gestión de los procesos de su negocio (por ejemplo: en relación con la norma INTE/SO 9001 o INTE/ISO 14001), en la mayoría de los casos es preferible satisfacer los requisitos de la presente norma como parte del sistema de gestión existente.

Información general

Código del comité
CTN 27 SC 01
Nombre del comité
Seguridad de la información
Sector
Tecnologías de la información y comunicación
ICS
35.040
Correspondencias
ISO/IEC 27001:2005
Organismos
ISO
Edición
1
Fecha de aprobación
2008-12-01
Número de páginas
44
Estado
Sustituido
Reemplazada por
Código anterior
INTE/ISO/IEC 27001:2008/Cor 1:2013

Normas de Referencia
ISO/IEC 17799:2005