• No se han encontrado resultados

Quito Ecuador EXTRACTO

N/A
N/A
Protected

Academic year: 2022

Share "Quito Ecuador EXTRACTO"

Copied!
8
0
0

Texto completo

(1)

Quito – Ecuador

NORMA TÉCNICA

ECUATORIANA

NTE INEN-ISO/IEC 27007

Primera edición 2015-05

TECNOLOGÍAS DE LA INFORMACIÓN — TÉCNICAS DE SEGURIDAD — DIRECTRICES PARA LA AUDITORÍA DE SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (ISO/IEC 27007:2011, IDT)

INFORMATION TECHNOLOGY — SECURITY TECHNIQUES — GUIDELINES FOR INFORMATION SECURITY MANAGEMENT SYSTEMS AUDITING (ISO/IEC 27007:2011)

_____________________________________

Correspondencia:

EXTRACTO

(2)

Prólogo nacional

Esta Norma Técnica Ecuatoriana NTE INEN-ISO/IEC 27007 es una traducción idéntica de la Norma Internacional ISO/IEC 27007:2011. “Information technology — Security techniques — Guidelines for information security management systems auditing”. El Ministerio de Telecomunicaciones y de la Sociedad de la Información, MINTEL, es el responsable de la traducción de esta Norma Técnica Ecuatoriana, y de su adopción es el Comité Técnico de Normalización del INEN.

Para el propósito de esta Norma Técnica Ecuatoriana se han hecho los siguientes cambios editoriales:

a) Las palabras “esta Norma Internacional” han sido reemplazadas por “esta norma nacional”.

Para el propósito de esta Norma Técnica Ecuatoriana se enlistan los documentos normativos internacionales que se referencian en la Norma Internacional ISO/IEC 27007:2011 y los documentos normativos nacionales correspondientes.

Documento Normativo Internacional Documento Normativo Nacional ISO 19011:2011, Guidelines for auditing

management systems

ISO/IEC 27001:2005, Information technology

— Security techniques — Information security management systems — Requirements

ISO/IEC 27000:2009, Information technology

— Security techniques — Information security management systems — Overview and vocabulary

NTE INEN-ISO 19011:2012 Directrices para la auditoría de los sistemas de gestión

NTE INEN-ISO/IEC 27001:2011, Tecnologías de la información - Técnicas de seguridad.

Sistema de gestión de la seguridad de la información - (SGSI) - Requisitos.

NTE INEN-ISO/IEC 27000:2012, Tecnologías de la información - Técnicas de seguridad - Sistema de gestión de seguridad de la información - Descripción general y vocabulario.

EXTRACTO

(3)

Índice

Pag.

Prólogo ... iv

Introducción ...v

1 Objeto y campo de aplicación ... 1

2 Referencias normativas ... 1

3 Términos y definiciones ... 1

4 Principios de auditoría... 1

5 Gestión de un programa de auditoría ... 1

5.1 Generalidades ... 1

5.1.1 SG 5.1 Generalidades... 1

5.2 Establecimiento de los objetivos del programa de auditoría ... 2

5.2.1 SG 5.2 Establecimiento de los objetivos del programa de auditoría ... 2

5.3 Establecimiento del programa de auditoría ... 2

5.3.1 Funciones y responsabilidades de la persona responsable de la gestión del programa de auditoría ... 2

5.3.2 Competencia de la persona responsable de la gestión del programa de auditoría ... 2

5.3.3 Determinación del alcance del programa de auditoría ... 2

5.3.4 Identificación y evaluación de los riesgos relacionados con el programa de auditoría ………3

5.3.5 Establecimiento de procedimientos para el programa de auditoría ... 3

5.3.6 Identificación de los recursos del programa de auditoría ... 3

5.4 Implementación del programa de auditoría ... 3

5.4.1 Generalidades ... 3

5.4.2 Definición de los objetivos, el alcance y los criterios para una auditoría individual ... 3

5.4.3 Selección de los métodos de auditoría ... 4

5.4.4 Selección de los miembros del equipo auditor ... 4

5.4.5 Asignación de responsabilidades al líder del equipo auditor para una auditoría individual ... 5

5.4.6 Gestión del resultado del programa de auditoría ... 5

5.4.7 Gestión y mantenimiento de los registros del programa de auditoría ... 5

5.5 Seguimiento del programa de auditoría ... 5

EXTRACTO

(4)

6.3.3 Asignación de las tareas al equipo auditor ... 6

6.3.4 Preparación de los documentos de trabajo ... 6

6.4 Realización de las actividades de auditoría ... 6

6.4.1 Generalidades ... 6

6.4.2 Realización de la reunión de apertura ... 6

6.4.3 Realización de la revisión de documentación mientras se realiza la auditoría ... 6

6.4.4 Comunicación durante la auditoría ... 6

6.4.5 Asignación de funciones y responsabilidades de los guías y los observadores ... 6

6.4.6 Recopilación y verificación de la información ... 7

6.4.7 Generación de hallazgos de la auditoría ... 7

6.4.8 Preparación de las conclusiones de la auditoría ... 7

6.4.9 Realización de la reunión de cierre ... 7

6.5 Preparación y distribución del informe de auditoría ... 7

6.5.1 Preparación del informe de auditoría ... 7

6.5.2 Distribución del informe de auditoría ... 7

6.6 Finalización de la auditoría ... 7

6.7 Realización de las actividades de Seguimiento de una auditoría ... 7

7 Competencia y evaluación de los auditores ………..…………..7

7.1 Generalidades ... 7

7.2 Determinación de la competencia del auditor para cumplir las necesidades del programa de auditoría ... 8

7.2.1 Generalidades ... 8

7.2.2 Comportamiento personal ... 8

7.2.3 Conocimientos y habilidades ... 8

7.2.4 Logro de la competencia del auditor ... 9

7.2.5 Líderes de los equipos auditores ... 9

7.3 Establecimiento de los criterios de evaluación del auditor ... 9

7.4 Selección del método apropiado de evaluación del auditor ... 9

7.5 Realización de la evaluación del auditor ... 9

7.6 Mantenimiento y mejora de la competencia del auditor ... 9

Anexo A (informativo) guía práctica para auditoría de SGSI ...10

Bibliografía ...28

EXTRACTO

(5)

Prólogo

ISO (Organización Internacional de Normalización) e IEC (Comisión Electrotécnica Internacional) conforman el sistema especializado para la normalización mundial. Los organismos nacionales que son miembros de ISO o IEC participan en el desarrollo de Normas Internacionales a través de comités técnicos establecidos por la organización respectiva para tratar campos específicos de actividad técnica. Los comités técnicos de ISO e IEC colaboran en campos de mutuo interés. Otras organizaciones internacionales, públicas y privadas, en colaboración con ISO e IEC, también toman parte en el trabajo. En el campo de la tecnología de información, ISO e IEC han establecido un comité técnico conjunto, ISO/IEC JTC 1.

Las Normas Internacionales se redactan de acuerdo con las reglas establecidas en las Directivas ISO/IEC, Parte 2.

La tarea principal del comité técnico conjunto es preparar Normas Internacionales. Los Proyectos de Normas internacionales adoptados por el comité técnico conjunto son circulados a los organismos nacionales para su votación. Su publicación como Norma Internacional requiere de la aprobación de al menos el 75 % de los organismos miembros con derecho a voto.

Cabe resaltar la posibilidad de que algunos de los elementos de este documento puedan estar sujetos de derechos de patente. ISO/IEC no deben ser considerados responsables de identificar cualquier o todos los derechos de patente.

ISO/IEC 27007 ha sido preparada por el Comité Técnico Conjunto ISO/IEC JTC 1, Tecnología de la Información, Subcomité SC 27, Técnicas de Seguridad de IT.

EXTRACTO

(6)

Introducción

Esta Norma Internacional proporciona una guía en la gestión de un programa de auditoría de sistema de gestión de seguridad de la información (SGSI) y la conducta de las auditorías internas y externas de acuerdo con ISO/IEC 27001:2005, así como orientación en la competencia y evaluación de auditores del SGSI, la cual debería ser usada en conjunto con la guía contenida en ISO 19011. Esta Norma Internacional no establece requerimientos.

Esta guía está dirigida para todos los usuarios, incluyendo organizaciones pequeñas y medianas.

ISO 19011, Directrices para auditar sistemas de gestión proporciona una guía en la gestión de programas de auditoría, la dirección de auditorías internas y externas de sistemas de gestión, así como en la competencia y evaluación de auditores de sistemas de gestión.

El texto en esta Norma Internacional sigue la estructura de ISO 19011, y la guía específica SGSI adicional sobre la aplicación ISO 19011 para auditorías SGSI está identificada por las letras “SG”.

EXTRACTO

(7)

Tecnologías de la información — Técnicas de seguridad — Directrices para la auditoría de sistemas de gestión de seguridad de la información

1 Objeto y campo de aplicación

Esta norma nacional proporciona una guía sobre la administración de un programa de auditoría de un sistema de gestión de la seguridad de la información (SGSI), sobre ejecución de auditorías, y sobre la competencia de los auditores SGSI, además de la guía contenida en ISO 19011.

Esta norma nacional es aplicable a quienes necesiten comprender o llevar a cabo auditorías internas o externas de un (SGSI) o para administrar un programa de auditoría SGSI.

2 Referencias normativas

Los siguientes documentos referidos son indispensables para la aplicación de este documento. Para referencias fechadas, solo la edición citada aplica. Para referencias sin fechar, la última edición del documento referido (incluyendo cualquier enmienda) aplica.

ISO 19011:2011, Guía para auditar sistemas de gestión.

ISO/IEC 27001:2005, Tecnología de la información — Técnicas de seguridad — Sistemas de gestión de seguridad de la información — Requerimientos

ISO/IEC 27000:2009, Tecnología de la información — Técnicas de seguridad — Sistemas de gestión de seguridad de la información — Visión general y vocabulario

3 Términos y definiciones

Para propósitos de este documento, se aplican los términos y definiciones dados en ISO 19011 e ISO/IEC 27000.

4 Principios de auditoría

Se aplican los principios de auditoría ISO 19011:2011, Capítulo 4.

5 Gestión de un programa de auditoría

5.1 Generalidades

EXTRACTO

(8)

NTE INEN- ISO/IEC 27007

DE SEGURIDAD — DIRECTRICES PARA LA AUDITORÍA DE SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (ISO/IEC 27007:2011, IDT)

35.040

ORIGINAL:

Fecha de iniciación del estudio:

2014-06-23

REVISIÓN:

La Subsecretaría de la Calidad del Ministerio de Industrias y Productividad aprobó este proyecto de norma

Oficialización con el Carácter de por Resolución No.

publicado en el Registro Oficial No.

Fecha de iniciación del estudio:

Fechas de consulta pública: 2014-07-10 a 2014-09-08

Comité Técnico de: TECNOLOGÍAS DE LA INFORMACIÓN

Fecha de iniciación: 2015-01-06 Fecha de aprobación: 2015-01-06 Integrantes del Comité:

NOMBRES: INSTITUCIÓN REPRESENTADA:

Ing. Esteban Hidalgo (Presidente) MINTEL

Ing. Oswaldo Rivera MINTEL

Econ. Edwin Andrade CORPORACIÓN FINANCIERA NACIONAL

Ing. Giovanni Salazar ISSFA

Ing. Nicanor Palacios CLIKSOFT

Ing. Jhonny Barrera UNIVERSIDAD INTERNACIONAL SEK

Ing. Diego Vargas SNAP

Ing. Javier Sarmiento MIPRO

Sr. Edgar Valenzuela INEN

Ing. Judith Quinatoa (Secretaria técnica) INEN-DIRECCIÓN DE NORMALIZACIÓN

Otros trámites:

La Subsecretaría de la Calidad del Ministerio de Industrias y Productividad aprobó este proyecto de norma

Oficializada como: Voluntaria Por Resolución No. 15138 de 2015-04-14 Registro Oficial No. 506 de 2015-05-22

EXTRACTO

Referencias

Documento similar

Fuente de emisión secundaria que afecta a la estación: Combustión en sector residencial y comercial Distancia a la primera vía de tráfico: 3 metros (15 m de ancho)..

La campaña ha consistido en la revisión del etiquetado e instrucciones de uso de todos los ter- mómetros digitales comunicados, así como de la documentación técnica adicional de

Debido al riesgo de producir malformaciones congénitas graves, en la Unión Europea se han establecido una serie de requisitos para su prescripción y dispensación con un Plan

Como medida de precaución, puesto que talidomida se encuentra en el semen, todos los pacientes varones deben usar preservativos durante el tratamiento, durante la interrupción

Y tendiendo ellos la vista vieron cuanto en el mundo había y dieron las gracias al Criador diciendo: Repetidas gracias os damos porque nos habéis criado hombres, nos

Entre nosotros anda un escritor de cosas de filología, paisano de Costa, que no deja de tener ingenio y garbo; pero cuyas obras tienen de todo menos de ciencia, y aun

E Clamades andaua sienpre sobre el caua- 11o de madera, y en poco tienpo fue tan lexos, que el no sabia en donde estaña; pero el tomo muy gran esfuergo en si, y pensó yendo assi

o Si dispone en su establecimiento de alguna silla de ruedas Jazz S50 o 708D cuyo nº de serie figura en el anexo 1 de esta nota informativa, consulte la nota de aviso de la