ISO 27001
TuWeb

Inicio
Aplicación P2P
Putty
GLOSARIO
Políticas de Seguridades de Red de Universidades
ISO 27001

Sistema de detección de intrusos (IDS)
 
ISO 27001

ISO 27001 es un estándar que ha sido realizado por la ISO/IEC JTC 1, Tecnología de la información, Subcomité SC 27, Técnicas de seguridad TI que permite establecer, implementar, operar, monitorear, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI) como modelo de una empresa privada o pública. La implementación de este estándar en una empresa depende de la manera efectiva en que esta desea que se realice sus procesos de una manera efectiva. Los principales pilares en que se basa son:

a) Entender los requerimientos de seguridad de la información de una organización y la
necesidad de establecer una política y objetivos para la seguridad de la información;
b) implementar y operar controles para manejar los riesgos de la seguridad de la información.
c) Monitorear y revisar el desempeño y la efectividad del Sistema de Seguridad implementado.
d) El mejoramiento continúo en base a la medición del objetivo propio de cada empresa.

El modelo de gestión de seguridad toma como base los siguientes parámetros:

Planear-Hacer-Chequear-Actuar
Este Estándar Internacional proporciona un modelo sólido para implementar los principios en aquellos lineamientos que gobiernan la evaluación del riesgo, diseño e implementación de seguridad, gestión y re-evaluación de la seguridad.
imagen
Sistema de gestión de seguridad de la información
La organización debe establecer, implementar, operar, monitorear, mantener y mejorar continuamente un SGSI para lograr esto los procesos utilizados se basan en el modelo PDCA (Planear-Hacer-Chequear-Actuar)
Establecer y manejar el SGSI

Establecer el SGSI
Para establecer un SGCI se debe hacer lo siguiente:

a) Definir el alcance y los límites del SGSI en términos de las características del negocio (organización, ubicación, activos, tecnología) detallando y justificando su alcance.
b) Definir una política SGSI en términos de las características del negocio, estas deben incluir:
b.1) Objetivos y principios para la acción con relación a la seguridad de la información
b.2) Requerimientos comerciales y legales o reguladores, y las obligaciones de la seguridad contractual
b.3)Debe estar alineada con el contexto de la gestión riesgo estratégico de la organización en la cual se dará el establecimiento y mantenimiento del SGSI
b.4) Debe establecer el criterio con el que se evaluará el riesgo y ser aprobado por la gerencia
c) Definir el enfoque de valuación del riesgo de la organización:
c.1) Identificar una metodología de cálculo del riesgo adecuado para el SGSI y los requerimientos identificados de seguridad, legales y reguladores de la información comercial.
c.2) Desarrollar los criterios para aceptar los riesgos e identificar los niveles de riesgo aceptables

La metodología de estimación del riesgo seleccionada debe asegurar que los cálculos del riesgo produzcan resultados comparables y reproducibles.

d) Identificar los riesgos:
d.1) Identificar los activos dentro del alcance del SGSI y los propietarios de estos activos.
d.2) Identificar las amenazas para aquellos activos.
d.3) Identificar las vulnerabilidades que podrían ser explotadas por las amenazas.
d.4) Identificar los impactos que pueden tener las pérdidas de confiabilidad, integridad y disponibilidad sobre los activos.

e) Analizar y evaluar el riesgo
e.1) Calcular el impacto comercial sobre la organización que podría resultar de una falla en la seguridad, tomando en cuenta las consecuencias de una pérdida de confidencialidad, integridad o disponibilidad de los activos.
e.2) Calcular la probabilidad realista de que ocurra dicha falla a la luz de las amenazas y vulnerabilidades prevalecientes, y los impactos asociados con estos activos, y los controles implementados actualmente.
e.3) Calcular los niveles de riesgo.
e.4) Determinar si el riesgo es aceptable o requiere tratamiento utilizando el criterio de aceptación del riesgo.
Implementar y operar el SGSI
La organización debe formular un plan, implementarlo, controlarlo, medirlo, capacitar y mejorar mediante programas y manejar recursos del SGSI a demás se debe implementar procedimientos o controles para detectar y responder a incidentes de seguridad
Monitorear y revisar el SGSI
La organización debe ejecutar procedimientos de monitoreo y revisión, y otros controles para detectar oportunamente incidentes de seguridad y resultados de procesamiento así como sus delegados e indicadores. Por otra parte se debe realizar revisiones, mediciones y evaluaciones regulares de la efectividad del SGSI así como sus objetivos para llegar a tener un riesgo aceptable en la seguridad.
También es necesario realizar auditorías SGSI internas bajo una revisión gerencial que busque la mejora continua y actualice los planes de seguridad incluyendo actividades de monitoreo y revisión.

Registrar las acciones y eventos que podrían tener un impacto sobre la efectividad o desempeño del SGSI
Mantener y mejorar el SGSI
La organización debe realizar cuando crea conveniente las mejoras identificadas en el SGSI. Para tomar las acciones correctivas-preventivas y comunicar clara y objetivamente los resultados y acciones a todas las partes interesadas con el fin de asegurar que las mejoras logren sus objetivos señalados.
Requerimientos de documentación
La documentación debe incluir los registros de las decisiones gerenciales, asegurar que las acciones sean monitoreadas, y los resultados registrados deben ser alcanzables.
La documentación SGSI debe incluir lo siguiente:

a) Enunciar los documentados de la política SGSI y los objetivos;
b) Alcance del SGSI
c) Procedimientos y controles de soporte del SGSI;
d) Una descripción de la metodología de evaluación del riesgo.
e) Reporte de evaluación del riesgo.
f) plan de tratamiento del riesgo.
g) Los procedimientos documentados necesarios por la organización para asegurar la planeación, operación y control de sus procesos de seguridad de la información y medir la efectividad de los controles.
h) Registros requeridos por este Estándar Internacional.
i) Enunciado de Aplicabilidad.
Control de documentos
Los documentos deben ser protegidos y controlados. Se debe establecer un procedimiento documentado para definir las acciones gerenciales necesarias:
a) Aprobar la idoneidad de los documentos antes de su emisión;
b) Revisar y actualizar los documentos conforme sea necesario y re-aprobar los documentos;
c) Asegurar que se identifiquen los cambios y el status de la revisión actual de los documentos.
d) Asegurar que las versiones más recientes de los documentos relevantes estén disponibles
en los puntos de uso;
e) Asegurar que los documentos se mantengan legibles y fácilmente identificables;
f) Asegurar que los documentos estén disponibles para aquellos que los necesitan; y sean transferidos, almacenados y finalmente eliminados en concordancia con los procedimientos aplicables para su clasificación;
g) Asegurar que se identifiquen los documentos de origen externo;
h) Asegurar que se controle la distribución de documentos;
i) Evitar el uso indebido de documentos obsoletos; y
j) Aplicarles una identificación adecuada si se van a retener por algún propósito.
Responsabilidad de la gerencia

Compromiso de la gerencia
La gerencia debe proporcionar evidencia de su compromiso con el establecimiento
a) establecer una política SGSI;
b) asegurar que se establezcan objetivos y planes SGSI;
c) establecer roles y responsabilidades para la seguridad de información;
d) comunicar a la organización la importancia de lograr los objetivos de seguridad de la información y cumplir la política de seguridad de la información, sus responsabilidades bajo la ley y la necesidad de un mejoramiento continuo;
e) proporcionar los recursos suficientes para desarrollar, implementar, operar, monitorear, revisar, mantener y mejorar el SGSI.
f) decidir el criterio para la aceptación del riesgo y los niveles de riesgo aceptables;
g) asegurar que se realicen las auditorías internas SGSI.
h) realizar revisiones gerenciales del SGSI.
Gestión de recursos

Provisión de recursos
a) Asegurar que los procedimientos de seguridad de la información respalden los requerimientos comerciales;
b) Identificar los requerimientos legales y reguladores y las obligaciones de seguridad contractuales;
c) Mantener una seguridad adecuada mediante la correcta aplicación de todos los controles
d) implementados; llevar a cabo revisiones cuando sean necesarias, y reaccionar apropiadamente ante los resultados de estas revisiones; donde se requiera, mejorar la efectividad del SGSI.
Capacitación, conocimiento y capacidad
La organización debe asegurar que todo el personal a quien se asignó las responsabilidades:
a) determinar las capacidades necesarias para el personal que realiza trabajo que afecta el
SGSI;
b) proporcionar la capacitación o realizar otras acciones para satisfacer estas necesidades;
c) evaluar la efectividad de las acciones tomadas;
d) mantener registros de educación, capacitación, capacidades, experiencia y calificaciones
La organización también debe asegurarse que todo el personal relevante esté consciente de la importancia de sus actividades y cómo ellos pueden contribuir al logro de los objetivos SGSI.

Auditorías internas SGSI
La organización debe realizar auditorías internas SGSI a intervalos planeados para determinar si los objetivos de control, controles, procesos y procedimientos del SGSI cumplen con los requerimientos

a) Estándar Internacional, legislación y regulaciones relevantes;
b) Seguridad de la información ;
c) se implementan y mantienen de manera efectiva; y
d) se realizan conforme lo esperado.

Se debe planear un programa de auditoría tomando en cuenta el status e importancia de los procesos y áreas a ser auditados, así como los resultados de auditorías.

Se debe definir el criterio, alcance, frecuencia y métodos de auditoría.

Los auditores y las auditorías deben asegurar la objetividad e imparcialidad del proceso. Los auditores no deben auditar su propio trabajo.

Las responsabilidades y requerimientos para las auditorías, el reporte de resultados y mantenimiento de registros se deben ser documentados.
Revisión Gerencial del SGSI

General
La gerencia debe revisar el SGSI de la organización (por lo menos una vez al año) para asegurarse de su idoneidad, conveniencia y efectividad.

Insumo de la revisión

El insumo para la revisión gerencial debe incluir:
a) resultados de auditorías y revisiones del SGSI;
b) retroalimentación de las partes interesadas;
c) técnicas, productos o procedimientos, para mejorar el desempeño y efectividad del SGSI;
d) status de acciones preventivas y correctivas;
e) vulnerabilidades o amenazas no tratadas adecuadamente en la evaluación de riesgo previa;
f) resultados de mediciones de efectividad;
g) acciones de seguimiento de las revisiones gerenciales previas;
h) cualquier cambio que pudiera afectar el SGSI; y
i) recomendaciones para el mejoramiento.

Resultado de la revisión

Debe incluir cualquier decisión y acción relacionada con lo siguiente:

a) mejoramiento de la efectividad del SGSI;
b) actualización de la evaluación del riesgo y el plan de tratamiento del riesgo;
c) modificación de procedimientos y controles que afectan la seguridad de la información, para responder a eventos internos o externos que pudieran tener impacto sobre el SGSI, incluyendo cambios en:

1) requerimientos comerciales;
2) requerimientos de seguridad;
3) procesos comerciales;
4) requerimientos reguladores o legales;
5) obligaciones contractuales; y
6) niveles de riesgo y/o criterio de aceptación del riesgo.

d) necesidades de recursos;
e) mejoramiento de la medición de efectividad de los controles

Acción correctiva

La organización debe realizar las acciones para eliminar la causa de las no-conformidades con los requerimientos del SGSI para evitar la recurrencia.

La documentación para la acción correctiva debe definir los requerimientos para:

a) identificar las no-conformidades;
b) determinar las causas de las no-conformidades;
c) evaluar la necesidad de acciones para asegurar que las no-conformidades no vuelvan a ocurrir;
d) determinar e implementar la acción correctiva necesaria;
e) registrar los resultados de la acción tomada; y
f) revisar la acción correctiva tomada.

La acción para evitar las no-conformidades con frecuencia es más una acción efectiva en costo que la acción correctiva.

Acción preventiva

La organización debe determinar la acción para eliminar la causa de las no-conformidades de los requerimientos SGSI para evitar que ocurran. El procedimiento documentado para la acción preventiva debe definir los requerimientos para:

a) identificar las no-conformidades potenciales y sus causas;
b) evaluar la necesidad para la acción para evitar la ocurrencia de no-conformidades;
c) determinar e implementar la acción preventiva necesaria;
d) registrar los resultados de la acción tomada; y
e) revisar la acción preventiva tomada.

La organización debe identificar los riesgos cambiados y los requerimientos de acción preventiva enfocando la atención sobre los riesgos cambiados significativamente. La prioridad de las acciones preventivas se debe determinar en base a los resultados de la evaluación del riesgo.


Anexo A (Normativo)
Objetivos de control y controles
Los objetivos de control y los controles enumerados en la Tabla A.1 se derivan directamente de, y se alinean con, aquellos enumerados en BS ISO/IEC 17799:2005 Cláusulas del 5 al 15.
Tabla A.1 – Objetivos de control y controles
A.5 Política de seguridad
A.5.1 Política de seguridad de información
A.5.1.1 Documentar política de seguridad de información.
A.5.1.2 Revisión de la política de seguridad de la información.
A.6 Organización de la seguridad de la información
A.6.1 Organización interna
A.6.1.1 Compromiso de la gerencia con la seguridad de la información
A.6.1.2 Coordinación de la seguridad de información
A.6.1.3 Asignación de responsabilidades de la seguridad de la información
A.6.1.4 Proceso de autorización para los medios de procesamiento de información
A.6.1.5 Acuerdos de confidencialidad
A.6.1.6 Contacto con autoridades
A.6.1.7 Contacto con grupos de interés especial
A.6.1.8 Revisión independiente de la seguridad de la información
A.6.2 Entidades externas
A.6.2.1 Identificación de riesgos relacionados con entidades externas
A.6.2.2 Tratamiento de la seguridad cuando se trabaja con clientes
A.6.2.3 Tratamiento de la seguridad en contratos con terceras personas
A.7 Gestión de activos
A.7.1 Responsabilidad por los activos
Objetivo: Lograr y mantener la protección apropiada de los activos organizacionales.
A.7.1.1 Inventarios de activos
A.7.1.2 Propiedad de los activos
A.7.1.3 Uso aceptable de los activos
A.7.2 Clasificación de la información
Objetivo: Asegurar que a información reciba un nivel de protección apropiado.
A.7.2.1 Lineamientos de clasificación
A.7.2.2 Etiquetado y manejo de la información
A.8 Recursos Humanos de seguridad
A.8.1 Prioridad a los empleados.
Asegura que los empleados, contratistas y terceros usuarios entiendan sus responsabilidades, y sean susceptibles de considerar sus roles, y reducir riesgos de robo, fraude o uso indebido de las instalaciones. Entre los que hay: Funciones y responsabilidades, proyección, términos y condiciones de los empleados.
A.8. 2 Durante el empleo
Garantizar que todos los empleados, contratistas y terceros usuarios son conscientes de las amenazas de seguridad de la información y preocupaciones, sus responsabilidades y obligaciones, y están equipados para apoyar la política de seguridad de la organización en el curso de su trabajo normal, y para reducir el riesgo de la de error. Responsabilidades de gestión, concienciación sobre la seguridad de la información, la educación y la formación, proceso disciplinario.
A.8.3 Terminación o cambio de empleo

Garantizar que los empleados, contratistas y terceros usuarios de salida de una organización o cambien de empleo de una manera ordenada, responsabilidades de terminación, devolución de activos y eliminación de los derechos de acceso.

A.9 Seguridad Física y ambiental

A.9.1 Áreas segura

Impedir el acceso físico no autorizado, daño e interferencia a los locales de la organización y la información.
Perímetro de la seguridad física, controles de entrada física, asegurar oficinas; habitaciones e instalaciones, protección contra las amenazas externas y ambientales, trabajo en áreas seguras, acceso del público, la entrega y áreas de carga.

A.9.2 Seguridad de equipos

Prevenir la pérdida, daños, robo o comprometer los intereses e interrumpir las actividades de la organización.
Se dictan recomendaciones para el manejo de posicionamiento y protección de equipo, utilidades de soporte, cableado de seguridad, mantenimiento de equipos, seguridad de equipos fuera del recinto, desecho seguro o rehúso de equipos o finalmente remoción de propiedades, respectivamente.

A.10 Administración de comunicaciones y operaciones

A.10.1 Procedimientos y responsabilidades de operación

Asegurar correctas y seguras instalaciones de procesamiento y operación de información.
Procedimientos de operación documentados, administración de cambios, división de responsabilidades y la separación de instalaciones de desarrollo, pruebas y operaciones.

A.10.2 Administración de servicio de entrega de terceros

Implementar y mantener un nivel apropiado de seguridad en la información y en el servicio de entrega en línea con terceros.
Servicio de entrega, monitoreo y revisión de servicios de terceros y la administración de cambios de terceros.

A.10.3 Planeamiento y aceptación del sistema

Reducir el riesgo de fallas en el sistema.
Se trata sobre el manejo de capacidad y aceptación del sistema.

A.10.4 Protección contra código malicioso y móvil

Proteger la integridad del software y la información.
Control contra código malicioso y control contra código móvil.

A.10.5 Respaldos
Mantener la integridad y disponibilidad de la información. Respaldo de la información.

A.10.6 Administración de la seguridad de la red
Asegurar la protección de la información en una red y la protección de las estructuras de soporte.
Se trata sobre los controles en la red y sobre la seguridad de los servicios de la red.

A.10.7 Manipulación de los soportes
Evitar la revelación, modificación, retirada o destrucción no autorizada de los activos, y la interrupción de las actividades de la organización.

A.10.8 Intercambio de información
Mantener la seguridad de la información y del software intercambiado dentro de una organización y con un tercero.

A.10.9 Servicios de comercio electrónico
Garantizar la seguridad de los servicios de comercio electrónico, y el uso seguro de los mismos.

A.10.10 Supervisión
Detectar las actividades de procesamiento de la información no autorizadas

A.11 Control de Accesos

A.11.1 Requisitos de negocios para el control de acceso
Controlar el acceso a la información.

A.11.2 Gestión de acceso de usuario.

Asegurar el acceso de un usuario autorizado y prevenir el acceso no autorizado a los sistemas de información.

A.11.3 Responsabilidades del usuario
Prevenir el acceso de usuarios no autorizados, así como evitar el que se comprometa o se produzca el robo de la información o de los recursos de procesamiento de la información.

A.11.4 Control de acceso a la red
Prevenir el acceso no autorizado a los servicios en red.

A.11.5 Control de acceso al sistema operativo
Evitar acceso no autorizado a los sistemas operativos.
Control de acceso mediante el registro de usuarios
Los usuarios deben identificarse y autenticarse
Las claves deben ser seguras e interactivas.
Restringir el uso de programas.
Las sesiones interactivas deben cerrarse después de un tiempo definido, y las conexiones deben durar un periodo de tiempo específico.

A.11.6 Control de acceso a las aplicaciones e información
Evitar el acceso no autorizado a la información mantenida en los sistemas de aplicación.
Restricción al acceso a la información

A.11.7 Computación móvil y tele-trabajo
Asegurar la seguridad de la información cuando se utilice medios computación móvil y tele-trabajo.
Establecer las medidas adecuadas para proteger la información cuando se usan de computación y comunicación móviles.
Políticas en lo que se refiere a actividades de tele-trabajo.

A.12 Adquisición, desarrollo y mantenimiento de los sistemas de información

A.12.1 Requerimientos de seguridad de los sistemas

La seguridad debe ser una parte importante de los sistemas de información, se debe tratar de mejorar los existentes de acuerdo a los requerimientos actuales.

A.12.2 Procesamiento correcto en las aplicaciones

Evitar errores, pérdida, modificación no-autorizada o mal uso de la información en las aplicaciones.
Chequeo y validación e identificación de requerimientos de las aplicaciones para validar el procesamiento de la información.

A.12.3 Controles criptográficos
Proteger la confidencialidad, autenticidad o integridad de la información a través de medios criptográficos.
Se debe desarrollar e implementar una política sobre el uso de controles criptográficos para la protección de la información.
Soporte de uso de técnicas criptográficas

A.12.4 Seguridad de los archivos del sistema

Garantizar la seguridad de los archivos del sistema
Procedimientos para controlar la instalación de software en los sistemas operacionales.
Restringir el acceso al código fuente del programa.

A.12.5 Seguridad en los procesos de desarrollo y soporte

Mantener la seguridad del software e información del sistema de aplicación
Revisión técnica de las aplicaciones después de cambios en el sistema operativo
Controlar los cambios en los paquetes de software
Se deben evitar las oportunidades de filtraciones en la información.
A.12.6 Seguridad en los procesos de desarrollo y soporte
Tiene como objetivo mantener la seguridad del software e información del sistema de aplicación.
La implementación de cambios deben ser controlados por procedimientos formales.
Cuando se realizan cambios en el Sistema Operativo se debe revisar y probar las aplicaciones críticas para evitar que no exista un impacto en las operaciones de la organización. Además se debe evitar las modificaciones en los paquetes de software, y realizar cambios que sean estrictamente necesarios y estos deben ser controlados.
Se debe prevenir fugas de información.
Este tipo de desarrollo debe ser supervisado y monitoreado por la organización.
A.12.6 Gestión de la vulnerabilidad técnica
Tiene como objetivo reducir los riesgos resultantes de la explotación de vulnerabilidades técnicas publicadas.
Se debe tener información oportuna de las vulnerabilidades técnicas de los sistemas de información que se encuentran en uso; evaluar la exposición a dichas vulnerabilidades y se debe tomar las medidas necesarias para tratar el riesgo.
A.13 Gestión de incidentes en la seguridad de la información
A.13.1 Reportes de eventos de la seguridad de la información y debilidades
El objetivo de esto es que la información de los eventos y debilidades debe ser comunicada para tomar una acción correctiva oportuna.
Los eventos de seguridad deben ser reportados por canales apropiados y lo más rápido posible.
Se requiere que todos los usuarios de los sistemas y servicios de información reporten cualquier debilidad observada o sospechosa en la seguridad de los sistemas.
A.13.2 Gestión de incidentes y mejoras en seguridad de la información
El objetivo de esto es asegurar que se aplique un enfoque efectivo a la gestión de la seguridad de la información.
Establecer responsabilidades y procedimientos para asegurar una respuesta rápida efectiva y ordenada a los incidentes de seguridad.
Deben existir mecanismos para cuantificar y monitorear los tipos, volúmenes de los incidentes en la seguridad de la información.
Cuando se ha producido un incidente y se ha llevado a cabo una acción de seguimiento contra el incidente y se haya involucrado una acción legal, se debe recolectar, mantener y presentar evidencia para cumplir las reglas en las jurisdicciones relevantes.
A.14 Gestión de la continuidad comercial
A.14.1 Aspectos de la seguridad de la información
El objetivo es contrarrestar las interrupciones de las actividades comerciales y proteger los procesos comerciales de los efectos de fallas o desastres, además se debe asegurar su reanudación oportuna.
Se debe mantener un proceso para tratar los requerimientos de seguridad de la información necesarios para la continuidad comercial de la organización.
Además se deben identificar los eventos que causan interrupciones en los procesos de la empresa, junto con la probabilidad, el impacto de las mismas y sus consecuencias.
Es importante desarrollar e implementar planes para mantener o restaurar las operaciones y asegurar la disponibilidad de la información. Los planes de continuidad comercial se deben probar y actualizar regularmente, para que sean efectivos.
A.15 Cumplimiento
A.15.1 Cumplimiento con requerimientos legales
Objetivo principal es evitar cualquier violación de ley, obligación reguladora o contractual y de cualquier requerimiento de seguridad.
Se deben definir explícitamente, documentar y actualizar los requerimientos estatutarios, reguladores y el enfoque de la organización relevante para cada sistema de información.
Además de implementar los procedimientos para asegurar el cumplimiento de los requerimientos legislativos, reguladores sobre el uso de material con respecto a los derechos de propiedad intelectual y sobre el uso de software patentados.
Se necesita proteger los registros importantes de una organización de cualquier pérdida, destrucción, falsificación en concordancia con los requerimientos estatutarios, contractuales y comerciales.
Por otro lado, se debe desanimar a los usuarios de utilizar medios de procesamiento de la información para propósitos no autorizados.
15.2 Cumplimiento con las políticas y estándares de seguridad, y el cumplimiento técnico

Objetivo: Asegurar el cumplimiento de los sistemas con las políticas y estándares de seguridad organizacional.

Los gerentes son los encargados de que los procedimientos, políticas y estándares de seguridad se cumplan
Los sistemas de información deben chequearse regularmente.

15.3 Consideraciones de auditoría de los sistemas de información

Objetivo: Maximizar la efectividad de y minimizar la interferencia en el proceso de auditoría.

Se debe planear cuidadosamente las auditorias acordando minimizar el riego de interrupciones en los procesos comerciales.

Se debe proteger el acceso a las herramientas de auditoría para evitar cualquier mal uso.

Anexo B
(Informativo)
Principios OECD y este Estándar Internacional

Los principios dados en los Lineamientos OECD para la Seguridad de los Sistemas y Redes de Información se aplican a todas las políticas y niveles operacionales. Este Estándar proporciona un marco referencial del sistema de gestión de la seguridad de la información se describe alguno de los principios OECD son los siguientes.

Principio OECD
Conciencia

Los participantes deben tener conocimiento de la necesidad de seguridad en los sistemas y redes de la información sistema y lo que pueden hacer para aumentar la seguridad.

Responsabilidad
Todos los participantes son responsables de la seguridad de los sistemas y redes de información.

Respuesta
Los participantes deben actuar de manera oportuna y cooperativa para evitar, detectar y responder a los incidentes de seguridad.

Evaluación del riesgo
Los participantes deben realizar evaluaciones de riesgo.

Diseño e implementación de la seguridad
Los participantes deben incorporar la seguridad como un elementos esencial de los sistemas y redes de información.

Gestión de la seguridad
Los participantes deben adoptar un enfoque integral para la gestión de la seguridad. La gestión del riesgo es un proceso que incluye la prevención, detección y respuesta a los incidentes, mantenimiento continuo, revisión y auditoria.

Reevaluación
Los participantes deben revisar y reevaluar la seguridad de los sistemas y redes de información, y realizar las modificaciones apropiadas a las políticas, prácticas, medidas y procedimientos.

Anexo C
(Informativo)
Correspondencia entre ISO 9001:2000, ISO 14001:2004 y este Estándar
Internacional

Se muestra las principales diferencias entre ISO 9001:2000, ISO 14001:2004 y este Estándar Internacional

Los tres estándares tienen una estructura muy similar los puntos en los que se encuentran pequeñas diferencias las cuales son la adición de los siguientes puntos:

Responsabilidad de gestión

Manejo de recursos