Quito – Ecuador
NORMA TÉCNICA
ECUATORIANA
NTE INEN-ISO/IEC 27007
Primera edición 2015-05
TECNOLOGÍAS DE LA INFORMACIÓN — TÉCNICAS DE SEGURIDAD — DIRECTRICES PARA LA AUDITORÍA DE SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (ISO/IEC 27007:2011, IDT)
INFORMATION TECHNOLOGY — SECURITY TECHNIQUES — GUIDELINES FOR INFORMATION SECURITY MANAGEMENT SYSTEMS AUDITING (ISO/IEC 27007:2011)
_____________________________________
Correspondencia:
EXTRACTO
Prólogo nacional
Esta Norma Técnica Ecuatoriana NTE INEN-ISO/IEC 27007 es una traducción idéntica de la Norma Internacional ISO/IEC 27007:2011. “Information technology — Security techniques — Guidelines for information security management systems auditing”. El Ministerio de Telecomunicaciones y de la Sociedad de la Información, MINTEL, es el responsable de la traducción de esta Norma Técnica Ecuatoriana, y de su adopción es el Comité Técnico de Normalización del INEN.
Para el propósito de esta Norma Técnica Ecuatoriana se han hecho los siguientes cambios editoriales:
a) Las palabras “esta Norma Internacional” han sido reemplazadas por “esta norma nacional”.
Para el propósito de esta Norma Técnica Ecuatoriana se enlistan los documentos normativos internacionales que se referencian en la Norma Internacional ISO/IEC 27007:2011 y los documentos normativos nacionales correspondientes.
Documento Normativo Internacional Documento Normativo Nacional ISO 19011:2011, Guidelines for auditing
management systems
ISO/IEC 27001:2005, Information technology
— Security techniques — Information security management systems — Requirements
ISO/IEC 27000:2009, Information technology
— Security techniques — Information security management systems — Overview and vocabulary
NTE INEN-ISO 19011:2012 Directrices para la auditoría de los sistemas de gestión
NTE INEN-ISO/IEC 27001:2011, Tecnologías de la información - Técnicas de seguridad.
Sistema de gestión de la seguridad de la información - (SGSI) - Requisitos.
NTE INEN-ISO/IEC 27000:2012, Tecnologías de la información - Técnicas de seguridad - Sistema de gestión de seguridad de la información - Descripción general y vocabulario.
EXTRACTO
Índice
Pag.
Prólogo ... iv
Introducción ...v
1 Objeto y campo de aplicación ... 1
2 Referencias normativas ... 1
3 Términos y definiciones ... 1
4 Principios de auditoría... 1
5 Gestión de un programa de auditoría ... 1
5.1 Generalidades ... 1
5.1.1 SG 5.1 Generalidades... 1
5.2 Establecimiento de los objetivos del programa de auditoría ... 2
5.2.1 SG 5.2 Establecimiento de los objetivos del programa de auditoría ... 2
5.3 Establecimiento del programa de auditoría ... 2
5.3.1 Funciones y responsabilidades de la persona responsable de la gestión del programa de auditoría ... 2
5.3.2 Competencia de la persona responsable de la gestión del programa de auditoría ... 2
5.3.3 Determinación del alcance del programa de auditoría ... 2
5.3.4 Identificación y evaluación de los riesgos relacionados con el programa de auditoría ………3
5.3.5 Establecimiento de procedimientos para el programa de auditoría ... 3
5.3.6 Identificación de los recursos del programa de auditoría ... 3
5.4 Implementación del programa de auditoría ... 3
5.4.1 Generalidades ... 3
5.4.2 Definición de los objetivos, el alcance y los criterios para una auditoría individual ... 3
5.4.3 Selección de los métodos de auditoría ... 4
5.4.4 Selección de los miembros del equipo auditor ... 4
5.4.5 Asignación de responsabilidades al líder del equipo auditor para una auditoría individual ... 5
5.4.6 Gestión del resultado del programa de auditoría ... 5
5.4.7 Gestión y mantenimiento de los registros del programa de auditoría ... 5
5.5 Seguimiento del programa de auditoría ... 5
EXTRACTO
6.3.3 Asignación de las tareas al equipo auditor ... 6
6.3.4 Preparación de los documentos de trabajo ... 6
6.4 Realización de las actividades de auditoría ... 6
6.4.1 Generalidades ... 6
6.4.2 Realización de la reunión de apertura ... 6
6.4.3 Realización de la revisión de documentación mientras se realiza la auditoría ... 6
6.4.4 Comunicación durante la auditoría ... 6
6.4.5 Asignación de funciones y responsabilidades de los guías y los observadores ... 6
6.4.6 Recopilación y verificación de la información ... 7
6.4.7 Generación de hallazgos de la auditoría ... 7
6.4.8 Preparación de las conclusiones de la auditoría ... 7
6.4.9 Realización de la reunión de cierre ... 7
6.5 Preparación y distribución del informe de auditoría ... 7
6.5.1 Preparación del informe de auditoría ... 7
6.5.2 Distribución del informe de auditoría ... 7
6.6 Finalización de la auditoría ... 7
6.7 Realización de las actividades de Seguimiento de una auditoría ... 7
7 Competencia y evaluación de los auditores ………..…………..7
7.1 Generalidades ... 7
7.2 Determinación de la competencia del auditor para cumplir las necesidades del programa de auditoría ... 8
7.2.1 Generalidades ... 8
7.2.2 Comportamiento personal ... 8
7.2.3 Conocimientos y habilidades ... 8
7.2.4 Logro de la competencia del auditor ... 9
7.2.5 Líderes de los equipos auditores ... 9
7.3 Establecimiento de los criterios de evaluación del auditor ... 9
7.4 Selección del método apropiado de evaluación del auditor ... 9
7.5 Realización de la evaluación del auditor ... 9
7.6 Mantenimiento y mejora de la competencia del auditor ... 9
Anexo A (informativo) guía práctica para auditoría de SGSI ...10
Bibliografía ...28
EXTRACTO
Prólogo
ISO (Organización Internacional de Normalización) e IEC (Comisión Electrotécnica Internacional) conforman el sistema especializado para la normalización mundial. Los organismos nacionales que son miembros de ISO o IEC participan en el desarrollo de Normas Internacionales a través de comités técnicos establecidos por la organización respectiva para tratar campos específicos de actividad técnica. Los comités técnicos de ISO e IEC colaboran en campos de mutuo interés. Otras organizaciones internacionales, públicas y privadas, en colaboración con ISO e IEC, también toman parte en el trabajo. En el campo de la tecnología de información, ISO e IEC han establecido un comité técnico conjunto, ISO/IEC JTC 1.
Las Normas Internacionales se redactan de acuerdo con las reglas establecidas en las Directivas ISO/IEC, Parte 2.
La tarea principal del comité técnico conjunto es preparar Normas Internacionales. Los Proyectos de Normas internacionales adoptados por el comité técnico conjunto son circulados a los organismos nacionales para su votación. Su publicación como Norma Internacional requiere de la aprobación de al menos el 75 % de los organismos miembros con derecho a voto.
Cabe resaltar la posibilidad de que algunos de los elementos de este documento puedan estar sujetos de derechos de patente. ISO/IEC no deben ser considerados responsables de identificar cualquier o todos los derechos de patente.
ISO/IEC 27007 ha sido preparada por el Comité Técnico Conjunto ISO/IEC JTC 1, Tecnología de la Información, Subcomité SC 27, Técnicas de Seguridad de IT.
EXTRACTO
Introducción
Esta Norma Internacional proporciona una guía en la gestión de un programa de auditoría de sistema de gestión de seguridad de la información (SGSI) y la conducta de las auditorías internas y externas de acuerdo con ISO/IEC 27001:2005, así como orientación en la competencia y evaluación de auditores del SGSI, la cual debería ser usada en conjunto con la guía contenida en ISO 19011. Esta Norma Internacional no establece requerimientos.
Esta guía está dirigida para todos los usuarios, incluyendo organizaciones pequeñas y medianas.
ISO 19011, Directrices para auditar sistemas de gestión proporciona una guía en la gestión de programas de auditoría, la dirección de auditorías internas y externas de sistemas de gestión, así como en la competencia y evaluación de auditores de sistemas de gestión.
El texto en esta Norma Internacional sigue la estructura de ISO 19011, y la guía específica SGSI adicional sobre la aplicación ISO 19011 para auditorías SGSI está identificada por las letras “SG”.
EXTRACTO
Tecnologías de la información — Técnicas de seguridad — Directrices para la auditoría de sistemas de gestión de seguridad de la información
1 Objeto y campo de aplicación
Esta norma nacional proporciona una guía sobre la administración de un programa de auditoría de un sistema de gestión de la seguridad de la información (SGSI), sobre ejecución de auditorías, y sobre la competencia de los auditores SGSI, además de la guía contenida en ISO 19011.
Esta norma nacional es aplicable a quienes necesiten comprender o llevar a cabo auditorías internas o externas de un (SGSI) o para administrar un programa de auditoría SGSI.
2 Referencias normativas
Los siguientes documentos referidos son indispensables para la aplicación de este documento. Para referencias fechadas, solo la edición citada aplica. Para referencias sin fechar, la última edición del documento referido (incluyendo cualquier enmienda) aplica.
ISO 19011:2011, Guía para auditar sistemas de gestión.
ISO/IEC 27001:2005, Tecnología de la información — Técnicas de seguridad — Sistemas de gestión de seguridad de la información — Requerimientos
ISO/IEC 27000:2009, Tecnología de la información — Técnicas de seguridad — Sistemas de gestión de seguridad de la información — Visión general y vocabulario
3 Términos y definiciones
Para propósitos de este documento, se aplican los términos y definiciones dados en ISO 19011 e ISO/IEC 27000.
4 Principios de auditoría
Se aplican los principios de auditoría ISO 19011:2011, Capítulo 4.
5 Gestión de un programa de auditoría
5.1 Generalidades
EXTRACTO
NTE INEN- ISO/IEC 27007
DE SEGURIDAD — DIRECTRICES PARA LA AUDITORÍA DE SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (ISO/IEC 27007:2011, IDT)
35.040
ORIGINAL:
Fecha de iniciación del estudio:
2014-06-23
REVISIÓN:
La Subsecretaría de la Calidad del Ministerio de Industrias y Productividad aprobó este proyecto de norma
Oficialización con el Carácter de por Resolución No.
publicado en el Registro Oficial No.
Fecha de iniciación del estudio:
Fechas de consulta pública: 2014-07-10 a 2014-09-08
Comité Técnico de: TECNOLOGÍAS DE LA INFORMACIÓN
Fecha de iniciación: 2015-01-06 Fecha de aprobación: 2015-01-06 Integrantes del Comité:
NOMBRES: INSTITUCIÓN REPRESENTADA:
Ing. Esteban Hidalgo (Presidente) MINTEL
Ing. Oswaldo Rivera MINTEL
Econ. Edwin Andrade CORPORACIÓN FINANCIERA NACIONAL
Ing. Giovanni Salazar ISSFA
Ing. Nicanor Palacios CLIKSOFT
Ing. Jhonny Barrera UNIVERSIDAD INTERNACIONAL SEK
Ing. Diego Vargas SNAP
Ing. Javier Sarmiento MIPRO
Sr. Edgar Valenzuela INEN
Ing. Judith Quinatoa (Secretaria técnica) INEN-DIRECCIÓN DE NORMALIZACIÓN
Otros trámites:
La Subsecretaría de la Calidad del Ministerio de Industrias y Productividad aprobó este proyecto de norma
Oficializada como: Voluntaria Por Resolución No. 15138 de 2015-04-14 Registro Oficial No. 506 de 2015-05-22