03.NMX I 27000 Nyce 2014

NORMA MEXICANA
NMX-I-27000–NYCE-2014
TECNOLOGÍAS DE LA INFORMACIÓN – TÉCNICAS DE SEGURIDAD –

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
(SGSI) – FUNDAMENTOS Y VOCABULARIO.
INFORMATION TECHNOLOGY - SECURITY TECHNIQUES - INFORMATION SECURITY

MANAGEMENT SYSTEMS - OVERVIEW AND VOCABULARY.
© PROHIBIDA LA COPIA, REPRODUCCIÓN PARCIAL O TOTAL DE ESTA NORMA MEXICANA POR CUALQUIER MEDIO, SIN LA AUTORIZACIÓN DE
NORMALIZACIÓN Y CERTIFICACIÓN NYCE, S.C. COPIA CONTROLADA PARA USO EXCLUSIVO DE ROGELIO FRANCO VALDESPINO
NMX-I-27000-NYCE-2014
PREFACIO
1. Esta Norma Mexicana fue elaborada en el seno del Subcomité de Terminología y

Símbolos Gráficos de NYCE, con la participación de las siguientes Instituciones
y Empresas:
-AUREN IBEROAMERICA S. DE R.L. DE C.V.
-INTERNATIONAL CHAMBER OF COMMERCE.
-INSTITUTO POLITÉCNICO NACIONAL.
-NORMALIZACIÓN Y CERTIFICACIÓN ELECTRÓNICA, S.C.
-NET AND COMPUTER SERVICES MÉXICO, S.A. DE C.V.
-SERVICIOS DE VALOR DE T.I. S.A. DE C.V.
2. Por otra parte, también fue aprobada por las instituciones y empresas que a
continuación se señalan y que conforman el Comité Técnico de Normalización
Nacional de Electrónica y Tecnologías de la Información y Comunicación de
NYCE.
1. ASOCIACIÓN MEXICANA DE EMPRESAS DEL RAMO DE INSTALACIONES PARA

LA CONSTRUCCIÓN, A.C.
2. ASOCIACIÓN MEXICANA DE INTERNET, A.C.
3. ASOCIACIÓN NACIONAL DE INSTITUCIONES DE EDUCACIÓN EN

INFORMÁTICA.
4. ASOCIACIÓN NACIONAL DE TELECOMUNICACIONES.
5. ASOCIACIÓN DE PERMISIONARIOS, OPERADORES Y PROVEEDORES DE LA

INDUSTRIA DEL ENTRETENIMIENTO Y JUEGO DE APUESTA EN MÉXICO, A.C.
6. AUREN IBEROAMERICA S. DE R.L. DE C.V.
7. BEST PRACTICES GURUS, S.A. DE C.V.
8. CÁMARA NACIONAL DE LA INDUSTRIA ELECTRÓNICA, DE

TELECOMUNICACIONES Y TECNOLOGÍAS DE LA INFORMACIÓN.
9. COLEGIO DE INGENIEROS EN COMUNICACIONES Y ELECTRÓNICA.
10. COMISIÓN NACIONAL PARA EL USO EFICIENTE DE LA ENERGÍA.
11. DIRECCIÓN GENERAL DE NORMAS.
12. ERICSSON TELECOM, S.A. DE C.V.
NMX-I-27000-NYCE-2014
13. GRUPO ADO
14. INSTITUTO POLITÉCNICO NACIONAL.
15. INSTITUTO MEXICANO DE NORMALIZACIÓN Y CERTIFICACIÓN, A.C.
16. INNOVACIONES TELEMÁTICAS, S.A. DE C.V.
17. INTELI, S.C.
18. LEGRAND S.A. DE C.V.
19. ORGANISMO NACIONAL DE NORMALIZACIÓN Y CERTIFICACIÓN DE LA

CONSTRUCCIÓN Y EDIFICACIÓN, S.C.
20. PROCURADURÍA FEDERAL DEL CONSUMIDOR.
21. REDIT.
22. SIEMON.
23. TELEMATICA INNOVO CONTINUO, S.A DE C.V.
24. UNIVERSIDAD AUTÓNOMA METROPOLITANA.
25. UNIVERSIDAD IBEROAMERICANA.
26. UNIVERSIDAD NACIONAL AUTÓNOMA DE MÉXICO.
3. El aviso de declaratoria de vigencia de esta Norma Mexicana se publicó en el

Diario Oficial de la Federación el: 13 de agosto del 2014.
NMX-I-27000-NYCE-2014
ÍNDICE DEL CONTENIDO
Página
1 OBJETIVO Y CAMPO DE APLICACIÓN 1
2 REFERENCIAS 1
3 DEFINICIONES 2
4 SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN 13
5 LA FAMILIA DE NORMAS SGSI 22
6 BIBLIOGRAFÍA 29
7 CONCORDANCIA CON NORMAS INTERNACIONALES 29
APÉNDICE A FORMAS VERBALES PARA LA EXPRESIÓN DE LAS 30

DISPOSICIONES
APÉNDICE B NORMAS QUE COMPLEMENTAN A ESTÁ NORMA 31
NMX-I-27000-NYCE-2014
1/32
NORMA MEXICANA
NMX-I-27000–NYCE-2014
TECNOLOGÍAS DE LA INFORMACIÓN – TÉCNICAS DE SEGURIDAD –

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
(SGSI) – FUNDAMENTOS Y VOCABULARIO.
INFORMATION TECHNOLOGY - SECURITY TECHNIQUES - INFORMATION SECURITY

MANAGEMENT SYSTEMS - OVERVIEW AND VOCABULARY.
1 OBJETIVO Y CAMPO DE APLICACIÓN
Esta Norma Mexicana proporciona los fundamentos y vocabulario, constituyen el objeto de la

familia de normas de los sistemas de gestión de seguridad de la información y define
términos relacionados.
Esta Norma Mexicana es aplicable a todos los tipos, tamaños de organizaciones. (por
ejemplo empresas comerciales, agencias gubernamentales, organizaciones sin fines de
lucro).
NOTA: El Apéndice A aclara como se utilizan las formas verbales para expresar los requisitos y/o orientación en la
familia de las normas de SGSI.
La familia de normas de SGSI incluye normas que:
a) Definen los requisitos para un SGSI y para certificar tales sistemas;
b) Prestan apoyo directo, una guía detallada y/o interpretación del Planificar-Hacer-
Verificar-Actuar (PHVA);
c) Abordan directrices sectoriales especificas para un SGSI, y
d) Abordan la evaluación de la conformidad para un SGSI.
Los términos y las definiciones previstas en este proyecto de norma:
a) Cubren los términos y definiciones utilizados en la familia de normas de SGSI;
b) No cubren todos los términos y definiciones aplicados dentro de un SGSI, y no se

limita a la familia de normas de SGSI, para definir nuevos términos para su uso.
2 REFERENCIAS
Para la correcta aplicación de esta Norma Mexicana, se requiere consultar las siguientes
Normas Mexicanas vigentes o las que las sustituyan:
NMX-I-27000-NYCE-2014
2/32
NMX-I-20000/01-NYCE-2012 Tecnología de Información — Gestión del Servicio —

Parte 1: Requisitos del Sistema de Gestión
del Servicio.
NMX-I-27001-NYCE-2009 Tecnologías de la Información – Técnicas de Seguridad

– Sistemas de Gestión de la Seguridad Información –
Requisitos.
NMX-I-27002-NYCE-2009 Tecnologías de la Información – Técnicas de Seguridad

- Código de Buenas Prácticas para la Gestión de la
Seguridad de la Información.
NMX-I-27005-NYCE-2011 Tecnologías de la información – Técnicas de Seguridad

– Gestión del Riesgo en Seguridad de la Información.
NMX-I-27006-NYCE-2011 Tecnologías de la Información - Técnicas de Seguridad

- Requisitos para los Organismos que realizan
Auditorías y Certificaciones de los Sistemas de
Gestión de la Seguridad de la Información.
3 DEFINICIONES
Para los propósitos de esta Norma Mexicana se aplican las definiciones siguientes:
NOTA: Un término que se utiliza en una definición o nota, cuando se define en otras partes de esta sección, se
indica con negrita, seguido por el número de referencia, entre paréntesis. El término en negrita se puede
reemplazar en la definición o en las notas por su propia definición.
Por ejemplo;
Ataque (3.9) se define como “intento de destruir, exponer, modificar, inutilizar, robar u obtener acceso no
autorizado o hacer uso no autorizado de los activos (3.4)”.
Activo se define como “cualquier elemento que tiene valor para la organización”.
Al sustituir el término “activo”, por su definición, el ataque se define como:

“Intento de destruir, exponer, modificar, inutilizar, robar u obtener acceso no autorizado o hacer un uso no
autorizado de cualquier elemento que tiene valor para la organización”.
3.1 Acción correctiva
Acción para eliminar el motivo de una no conformidad (3.52) detectada u otra situación
indeseable (véase la norma que se indica en el inciso B.2 del apéndice B).
3.2 Acción preventiva
Acciones para eliminar el motivo de una posible no conformidad (3.52) u otra situación
potencial no deseable (véase la norma que se indica en el inciso B.2 del apéndice B).
3.3 Aceptación del riesgo
Decisión de aceptar un riesgo (3.69).
NMX-I-27000-NYCE-2014
3/32
3.4 Activos
Cualquier elemento que tiene valor para la organización.
NOTA: Hay muchos tipos de activos, que incluyen:
a) La información;
b) El software, como los programas de las computadoras;
c) Los recursos físicos, por ejemplo una computadora;
d) Los servicios;
e) El personal y sus cualidades, habilidades y experiencia;
f) Los recursos intangibles, como la reputación y la imagen.
3.5 Administración
Actividades coordinadas para dirigir y controlar una organización (véase la norma que se
indica en el inciso B.1 del apéndice B).
3.6 Alcance de la auditoría
Límite y extensión de una auditoría (véase la norma que se indica en el inciso B.2 del
apéndice B).
3.7 Amenaza
Causa potencial de un incidente no deseado, que puede resultar en un daño a un sistema u

organización.
3.8 Análisis de riesgos
Proceso de comprender la naturaleza del riesgo (3.69) y para determinar el nivel de riesgo
(3.51) (véase la norma que se indica en el inciso B.1 del apéndice B).
NOTAS:
1) El análisis de riesgos es la base para la evaluación de riesgos y las decisiones sobre el tratamiento de los
riesgos;
2) El análisis de riesgo incluye la estimación del riesgo.
3.9 Ataque
Intento de destruir, exponer, alterar, inutilizar, robar u obtener acceso no autorizado de un

activo (3.4).
3.10 Atributo
Propiedad o característica de un objeto que se puede distinguir cuantitativamente o

cualitativamente por el ser humano o medios automáticos (véase la norma que se indica en
el inciso B.3 del apéndice B).
NMX-I-27000-NYCE-2014
4/32
3.11 Autenticación
Provisión de seguridad por la entidad correcta con características reivindicadas.
3.12 Autenticidad
Propiedad de que una entidad es quien dice ser.
3.13 Comunicación y consulta de riesgos
Procesos continuos e iterativos que una organización realiza para facilitar, compartir u
obtener información, y para entablar un diálogo con las grupos de interés (3.38) con
respecto a la gestión del riesgo (3.69) véase la norma que se indica en el inciso B.1 del
apéndice B.
NOTAS:
1) La información puede relacionarse con la existencia, la naturaleza, la forma, la probabilidad, la

importancia, la evaluación, la aceptabilidad y el tratamiento del riesgo;
2) La consulta es un proceso de dos vías de comunicación informada entre una organización y sus grupos de
interés sobre un tema antes de tomar una decisión o determinación de una dirección sobre ese tema. La
consulta es:
- Un proceso que impacta una decisión por la influencia en lugar del poder, y;
- Una entrada a la toma de decisiones, no la toma de decisiones conjunta.
3.14 Confiabilidad
Propiedad consistente de resultados y comportamientos intencionados.
3.15 Confidencialidad
Propiedad de que la información no está disponible o se revela a personas, entidades o

procesos (3.62) no autorizados.
3.16 Conformidad
Cumplimiento de un requisito (véase la norma que se indica en el inciso B.2 del apéndice B).
NOTA: El término “conforme” es sinónimo pero en desuso.
3.17 Consecuencia
Resultado de un evento (3.33) que afecta los objetivos (véase la norma que se indica en el
inciso B.1 del apéndice B).
NOTAS:
1) Un evento puede conducir a una serie de consecuencias;
2) Una consecuencia puede ser cierta o incierta, y en el contexto de seguridad de la información suele ser
negativa;
3) Las consecuencias pueden ser expresadas de forma cualitativa o cuantitativamente;
4) Las consecuencias iniciales pueden escalarse a través de efectos en cadena.
NMX-I-27000-NYCE-2014
5/32
3.18 Contexto externo
Entorno externo en el que la organización trata de alcanzar sus objetivos (véase la norma
que se indica en el inciso B.1 del apéndice B).
NOTA: El contexto externo puede incluir:
- El entorno cultural, social, político, legal, normativo, financiero, tecnológico, económico, natural y
competitivo, ya sea internacional, nacional, regional o local;
- Factores claves y tendencias que tienen impacto en los objetivos de la organización, y;
- Relaciones, percepciones y valores de los grupos de interés externos.
3.19 Contexto interno
Entorno interno, en el que la organización trata de alcanzar sus objetivos (véase la norma
NOTA: El contexto interno puede incluir:
- Gobernabilidad, estructura organizacional, roles y responsabilidades;
- Políticas, objetivos y las estrategias que están implementadas para alcanzarlos;
- Capacidades, entendimiento en términos de recursos y conocimientos (por ejemplo, de capital, tiempo,

personas, procesos, sistemas y tecnologías);
- Sistemas de información, flujos de información y procesos de toma de decisiones (tanto formales como
informales);
- Relaciones, percepciones y valores de los grupos de interés, internos;
- Cultura de la organización;
- Normas, directrices y modelos adoptados por la organización y;
- Forma y el alcance de las relaciones contractuales.
3.20 Continuidad del negocio
Procedimientos (3.61) y/o procesos (3.62) para garantizar la continuidad de las

operaciones del negocio.
3.21 Control
Medio de gestión del riesgo (3.69), que incluye políticas (3.59), procedimientos (3.61),
directrices (3.27), prácticas o estructuras de la organización, que pueden ser de naturaleza
administrativa, técnica, de gestión o legal.
3.22 Control de acceso
Medio para asegurar que el acceso a los activos (3.4) es autorizado y restringido con base
en los requisitos de seguridad y del negocio.
3.23 Criterio de decisión
Umbrales, metas o patrones utilizados para determinar la necesidad de una acción o de una
investigación mayor, para describir el nivel de confianza en un resultado determinado.
NMX-I-27000-NYCE-2014
6/32
3.24 Criterios de riesgo
Términos de referencia contra el cual el significado del riesgo (3.69) se evalúa (véase la
norma que se indica en el inciso B.1 del apéndice B).
NOTAS:
1) Los criterios de riesgo se basan en los objetivos de la organización y el contexto externo e interno;
2) Los criterios de riesgo pueden derivarse de las normas, leyes, políticas y otros requisitos.
3.25 Datos
Colección de valores asignados a las medidas base (3.46), medidas derivadas (3.47) y/o
indicadores (3.41) (véase la norma que se indica en el inciso B.3 del apéndice B).
NOTA: Esta definición se aplica solo en el contexto de la norma que se indica en el inciso B.8 de apéndice B.
3.26 Declaración de aplicabilidad
Declaración documentada que describe los objetivos de control (3.55) y los controles
(3.21) que son relevantes y aplicables al SGSI (3.73) de la organización.
3.27 Directriz
Descripción que aclara lo que debe hacerse y cómo, para lograr los objetivos establecidos en
las políticas (3.59).
3.28 Disponibilidad
Propiedad de ser accesible y utilizable a petición de una entidad autorizada.
3.29 Eficacia
Grado en el cual se realizan las actividades planificadas y se alcanzan los resultados

planificados (véase la norma que se indica en el inciso B.2 del apéndice B).
3.30 Eficiencia
Relación entre los resultados obtenidos y cómo se han utilizado los recursos (véase la norma
3.31 Escala
Conjunto ordenado de valores, continuos o discretos, o un conjunto de categorías a los

cuales el atributo (3.10) es asignado (véase la norma que se indica en el inciso B.3 del
apéndice B).
NOTA: El tipo de escala depende de la naturaleza de la relación entre los valores sobre la escala. Se definen
comúnmente cuatro tipos de escala:
- Nominal: los valores de medición son categóricas;
- Ordinal: los valores de medición son las clasificaciones;
- Intervalo: los valores de medición tienen la misma distancia que corresponden a cantidades iguales del
NMX-I-27000-NYCE-2014
7/32
atributo;
- Proporción: los valores de medición tienen la misma distancia que corresponden a cantidades iguales de
atributo, donde el valor cero no corresponde a un atributo.
Estos son sólo ejemplos de los tipos de escala.
3.32 Evaluación de riesgos
Proceso (3.62) de la comparación de los resultados del análisis de riesgos (3.8) con los
criterios de riesgo (3.24) para determinar si el riesgo (3.69) y / o su magnitud es
aceptable o tolerable (véase la norma que se indica en el inciso B.1 del apéndice B).
NOTA: Evaluación de riesgos ayuda a la decisión sobre el tratamiento de los riesgos.
3.33 Evento
Ocurrencia o cambio de un conjunto particular de circunstancias (véase la norma que se

NOTA:
- Un evento puede ser una o más ocurrencias y puede tener varias causas;
- Un evento puede consistir en algo que no ha pasado;
- Un evento algunas veces puede ser referido como un “incidente” o “accidente”.
3.34 Evento de seguridad de la información
Ocurrencia identificada del estado de un sistema, servicio o red que indica una posible
violación de seguridad de la información a la política o la falta de salvaguardas, o de una
situación desconocida que puede ser relevante a la seguridad.
3.35 Función de medición
Algoritmo o cálculo realizado al combinar dos o más medidas base (3.46) (véase la norma
3.36 Gestión de incidentes seguridad de la información
Procesos (3.62) para la detección, notificación, evaluación, respuesta frente a, y

aprendizaje de incidentes de seguridad de la información (3.40).
3.37 Gestión de riesgos
Actividades coordinadas para dirigir y controlar una organización con respecto al riesgo
(3.69). (véase la norma que se indica en el inciso B.1 del apéndice B).
3.38 Grupos de interés
Persona u organización que pueden afectarse, verse afectadas por, o percibirse a sí mismos
a ser afectados por una decisión o actividad (véase la norma que se indica en el inciso B.1
del apéndice B).
NMX-I-27000-NYCE-2014
8/32
3.39 Identificación de riesgos
Proceso de encontrar, reconocer y describir los riesgos (3.69) (véase la norma que se indica
en el inciso B.1 del apéndice B).
NOTAS:
1) La identificación de riesgos consiste en la identificación de las fuentes de riesgos, eventos, sus causas y
sus posibles consecuencias;
2) La identificación de riesgos puede incluir datos históricos, análisis teóricos, opiniones informadas de
expertos, y necesidades de los grupos de interés.
3.40 Incidente de seguridad de la información
Un evento o una serie de eventos de seguridad de la información (3.34) no deseados o

inesperados que tienen una significativa probabilidad de comprometer las operaciones
comerciales y amenazar la seguridad de la información (3.71).
3.41 Indicador
Medida (3.45) que proporciona una estimación o evaluación de los atributos (3.10)
específicos derivados de un modelo analítico (3.49) con respecto a las necesidades de
información (3.50) definidas.
3.42 Instalaciones de procesamiento de información
Cualquier sistema de procesamiento de la información, servicios, infraestructura o sus

ubicaciones físicas.
3.43 Integridad
Propiedad de proteger la exactitud y completitud de los activos (3.4).
3.44 Medición
Proceso de obtención de la información acerca de la eficacia (3.29) de mecanismos del

SGSI (3.73) y los controles (3.21) utilizando un método de medición (3.48),
una función de medición (3.35), un modelo analítico (3.49), y criterios de decisión
(3.23).
3.45 Medida
Variable a la que se asigna un valor como el resultado de la medición (3.44) (véase la

norma que se indica en el inciso B.3 del apéndice B).
NOTA: El término "medidas" se utiliza para referirse colectivamente a las medidas base, las medidas derivadas, e
indicadores.
3.46 Medida base
Medida (3.45) se define en términos de un atributo (3.10) y el método para su

cuantificación (véase la norma que se indica en el inciso B.3 del apéndice B).
NOTA: La medida base es funcionalmente independiente de otras medidas.
NMX-I-27000-NYCE-2014
9/32
3.47 Medida derivada
Medida (3.45) que se define como una función de dos o más valores de medidas base
(3.46) (véase la norma que se indica en el inciso B.3 del apéndice B).
3.48 Método de medición
Secuencia lógica de las operaciones, genéricamente descrita, utilizada en la cuantificación de

un atributo (3.10) con respecto a una escala (3.31) especifica (véase la norma que se
NOTA: El tipo de método de medición depende de la naturaleza de las operaciones utilizadas para cuantificar un
atributo. Se pueden distinguir dos tipos:
- Subjetiva: la cuantificación implica juicio humano;
- Objetivo: la cuantificación basada en reglas numéricas.
3.49 Modelo analítico
Algoritmo o cálculo que combina una o más medidas base (3.46) y/o medidas derivadas
(3.47) con decisiones asociadas (véase la norma que se indica en el inciso B.3 del apéndice
B).
3.50 Necesidad de información
Conocimiento necesario para gestionar los objetivos, las metas, los riesgos y los problemas
(véase la norma que se indica en el inciso B.3 del apéndice B).
3.51 Nivel de riesgo
Magnitud de un riesgo (3.69) expresada en términos de la combinación

de consecuencias (3.17) y sus probabilidades (3.60) (véase la norma que se indica en el
3.52 No conformidad
Incumplimiento de un requisito (véase la norma que se indica en el inciso B.2 del apéndice
B).
3.53 No repudio
Habilidad de probar la ocurrencia de un evento o acción que se atribuye y sus entidades de

origen.
3.54 Norma de implementación de seguridad
Documento que especifica formas autorizadas para la realización de la seguridad.
3.55 Objetivo de control
Declaración que describe lo que se quiere lograr como resultado de los controles (3.21)de
aplicación.
NMX-I-27000-NYCE-2014
10/32
3.56 Objetivo de la revisión
Declaración que describe lo que se ha logrado como resultado de una revisión.
3.57 Objeto
Elemento caracterizado por la medición (3.44) de sus atributos (3.10).
3.58 Objeto de revisión
Elemento específico en proceso de revisión.
3.59 Política
Intención y dirección general, expresadas formalmente por la administración (3.5).
3.60 Probabilidad
Oportunidad de que algo suceda (véase la norma que se indica en el inciso B.1 del apéndice
B).
3.61 Procedimiento
Forma específica para llevar a cabo una actividad o un proceso (3.62) (véase la norma que
se indica en el inciso B.2 del apéndice B).
3.62 Proceso
Conjunto de actividades interrelacionadas o que interactúan, las cuales transforman

entradas en salidas (véase la norma que se indica en el inciso B.2 del apéndice B).
3.63 Proceso de gestión de riesgos
Aplicación sistemática de políticas (3.59) de gestión, los procedimientos (3.61) y

prácticas de las actividades de comunicación, consulta, establecimiento del contexto e
identificar, analizar, evaluar, tratar, monitorear y revisar el riesgo (3.69) (véase la norma
NOTA: La NMX-I-27005-NYCE-2011 utiliza el término "proceso" para describir la gestión de riesgos en general.
Los elementos dentro del proceso de gestión de riesgos se denominan «actividades».
3.64 Proyecto SGSI
Actividades estructuradas llevadas a cabo por una organización para implementar un SGSI
(3.73).
3.65 Registro
Documento que presenta resultados obtenidos o proporciona evidencia de actividades

realizadas (véase la norma que se indica en el inciso B.2 del apéndice B).
3.66 Rendición de cuentas
Asignación de acciones y decisiones a una entidad.
NMX-I-27000-NYCE-2014
11/32
3.67 Resultados de las mediciones
Uno o más indicadores (3.41) y sus interpretaciones asociadas que tratan una necesidad
de información (3.50).
3.68 Revisión
Actividad llevada a cabo para asegurar la conveniencia, adecuación y eficacia (3.29) del
asunto en cuestión para alcanzar los objetivos establecidos (véase la norma que se indica en
el inciso B.2 del apéndice B).
3.69 Riesgo
Efecto de la incertidumbre sobre los objetivos (véase la norma que se indica en el inciso B.1
del apéndice B).
NOTAS:
1) Un efecto es una desviación esperada - positiva y / o negativa;
2) Los objetivos pueden tener diferentes aspectos (como la financiera, la salud y la seguridad, la seguridad
de la información, y objetivos de entorno) y pueden aplicarse a distintos niveles (como los estratégicos,
en toda la organización, proyecto, producto y proceso);
3) El riesgo se caracteriza a menudo por la referencia a eventos (3.33) y consecuencias (3.17)

potenciales, o una combinación de éstos;
4) El riesgo de seguridad de la información a menudo se expresa en términos de una combinación de las

consecuencias de un evento de seguridad de la información y la probabilidad (3.60) de ocurrencia
asociada;
5) La incertidumbre es el estado, aunque sea parcial, de la carencia de información relacionada al

entendimiento o conocimiento de un evento, su consecuencia, o la probabilidad;
6) El riesgo de seguridad de la información se relaciona con el potencial de que las amenazas exploten las
vulnerabilidades de un activo de información o grupo de activos de información y por lo tanto causen daño
a una organización.
3.70 Riesgo residual
Riesgo (3.69) que queda después del tratamiento del riesgo (3.76).
NOTAS:
1) El riesgo residual puede contener el riesgo no identificado.
2) El riesgo residual también puede ser conocido como "riesgo retenido".
3.71 Seguridad de la información
Preservación de la confidencialidad (3.15), integridad (3.43) y disponibilidad (3.28) de

la información.
NOTA: Además, otras propiedades, como la autenticidad (3.12), rendición de cuentas (3.66), no repudio
(3.53), y confiabilidad (3.14) también pueden estar involucradas.
NMX-I-27000-NYCE-2014
12/32
3.72 Sistema de gestión
Marco de directrices (3.27), políticas (3.59), procedimientos (3.61), procesos (3.62) y

recursos asociados dirigidos a asegurar que una organización cumple con sus objetivos.
3.73 Sistema de gestión de seguridad de la información (SGSI)
Parte del sistema de gestión (3.72) general , basado en un enfoque de riesgo de negocio,
para establecer, implementar, operar, supervisar, revisar, mantener y mejorar la seguridad
de la información (3.71).
NOTA: El sistema de gestión incluye la estructura organizativa, políticas, actividades de planificación,
responsabilidades, prácticas, procedimientos, procesos y recursos.
3.74 Sistema de información
Aplicación, servicio, activo tecnológico de información, o cualquier componente de manejo de

información.
3.75 Tercero
Persona u organismo que se reconoce como independiente tanto de las partes implicadas
como de las preocupaciones del asunto en cuestión véase la NMX-I-27002-NYCE-2009.
3.76 Tratamiento del riesgo
Proceso (3.62) para modificar el riesgo (3.69) véase la norma que se indica en el inciso
B.1 del apéndice B.
NOTAS:
1) El tratamiento del riesgo puede implicar:
- Evitar el riesgo al decidir no iniciar o continuar con la actividad que da lugar al riesgo;
- Tomar o aumentar el riesgo con el fin de perseguir una oportunidad;
- Eliminar la fuente de riesgos;
- Cambiar la probabilidad;
- Cambiar las consecuencias;
- Compartir el riesgo con la otra parte o partes (incluyen los contratos y la financiación de riesgo), y;
- Retener el riesgo de la selección informada.
2) Tratamientos de riesgo que tienen que ver con las consecuencias negativas se refieren a veces como
"mitigación del riesgo", "eliminación del riesgo", "prevención de riesgos" y "reducción del riesgo";
3) El tratamiento del riesgo puede crear nuevos riesgos o modificar los riesgos existentes.
3.77 Unidad de medida
Cantidad particular, definida y aprobada por convenio, con la que otras cantidades de la
misma naturaleza son comparadas con el fin de expresar su magnitud con relación a esa
cantidad (véase la norma que se indica en el inciso B.3 del apéndice B).
NMX-I-27000-NYCE-2014
13/32
3.78 Validación
Confirmación, mediante la provisión de evidencia objetiva, de que los requisitos para un uso
específico intencionado o aplicación se han cumplido (véase la norma que se indica en el
3.79 Valoración de riesgos
Proceso (3.62) general de la identificación del riesgo (3.39), el análisis de riesgo (3.8)
y la evaluación de riesgos (3.32) (véase la norma que se indica en el inciso B.1 del
apéndice B).
3.80 Verificación
Confirmación, mediante la provisión de evidencia objetiva, de que se han cumplido los

requisitos especificados (véase la norma que se indica en el inciso B.2 del apéndice B).
NOTA: Esto también podría ser llamado prueba de cumplimiento.
3.81 Vulnerabilidad
Debilidad de un activo (3.4) o control (3.21) que puede ser explotado por una o más
amenazas (3.7).
4 SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA

INFORMACIÓN
4.1 Introducción
Las organizaciones de todo tipo y tamaño:
a) Recogen, procesan, almacenan y transmiten grandes cantidades de información;
b) Reconocen que la información y los procesos, sistemas, redes y personas relacionados

son activos importantes para el logro de los objetivos de la organización;
c) Se enfrentan a una variedad de riesgos que puedan afectar el funcionamiento

correcto de los activos; y
d) Tratan su exposición al riesgo percibido mediante la implementación de controles de

seguridad de la información.
Toda la información manejada y procesada por una organización está expuesta a amenazas
de ataques, errores, riesgos naturales (por ejemplo, inundaciones o incendios), etc. y está
expuesta a vulnerabilidades inherentes en su uso. El término “seguridad de la información”
generalmente se basa en el hecho de que la información se considera un activo que tiene
valor y, como tal, requiere una protección adecuada, por ejemplo contra la pérdida de su
disponibilidad, confidencialidad e integridad. Permitir que información precisa y completa
este disponible de manera oportuna a las personas autorizadas es un catalizador de la
eficiencia empresarial.
La protección de los activos de información mediante la definición, implementación,
NMX-I-27000-NYCE-2014
14/32
mantenimiento y mejora de la seguridad de la información de forma eficaz es esencial para

permitir que una organización logre sus objetivos, mantenga y mejore el cumplimiento de la
legislación y su imagen. Estas actividades coordinadas dirigidas hacia la implementación de
controles adecuados y el tratamiento de los riesgos inaceptables en seguridad de la
información son generalmente conocidas como los elementos de gestión de la seguridad de
la información.
Debido a que los riesgos asociados a la seguridad de la información y la eficacia de los

controles cambian según las circunstancias, las organizaciones necesitan:
a) Monitorear y evaluar la eficacia de los controles y procedimientos aplicados;
b) Identificar los riesgos emergentes que deben tratarse; y
c) Seleccionar, implementar y mejorar los controles según sea necesario.
Para interrelacionar y coordinar estas actividades de seguridad de la información, cada

organización necesita establecer su política y sus objetivos para la seguridad de la
información, y lograr estos objetivos de manera eficaz mediante el uso de un sistema de
gestión.
4.2 ¿Qué es un SGSI?
4.2.1 Fundamentos y principios
Un SGSI (Sistema de Gestión de la Seguridad de la Información) consiste de políticas,

procedimientos, directrices, recursos asociados y actividades gestionadas en conjunto por
una organización, en la búsqueda de la protección de sus activos de información. Un SGSI es
un enfoque sistemático para establecer, implementar, operar, monitorear, revisar, mantener
y mejorar la seguridad de la información de la organización para alcanzar los objetivos de
negocio, basado en una valoración del riesgo y en los niveles de aceptación del riesgo de la
organización diseñados para tratar y gestionar eficazmente los riesgos. El análisis de los
requisitos para la protección de los activos de información y la aplicación de controles
adecuados para asegurar la protección de estos activos de información, según sea necesario,
contribuye a la implementación exitosa de un SGSI. Los siguientes principios fundamentales
también pueden contribuir a la implementación exitosa de un SGSI:
a) La conciencia de la necesidad de seguridad de la información;
b) La asignación de responsabilidades para la seguridad de la información;
c) La incorporación del compromiso de la dirección y los intereses de los grupos de

interés;
d) La mejora de los valores sociales;
e) Valoraciones de riesgos para determinar los controles adecuados para alcanzar

niveles aceptables de riesgo;
f) La seguridad incorporada como un elemento esencial de los sistemas y redes de

información;
g) La prevención y detección activos de incidentes de seguridad de la información;
NMX-I-27000-NYCE-2014
15/32
h) Asegurar un enfoque integral de gestión de seguridad de la información; y
i) La re-valoración continúa de la seguridad de la información y la realización de

modificaciones cuando sea apropiado.
4.2.2 La información
La información es un activo que, al igual que otros activos importantes del negocio, es
fundamental para el negocio de una organización y, por lo tanto necesita ser debidamente
protegida. La información puede ser almacenada en muchas formas, incluyendo: formato
digital (por ejemplo, archivos almacenados en medios electrónicos u ópticos), formato
material (por ejemplo, en papel), así como la información intangible que forma parte del
conocimiento de los empleados. La información puede ser transmitida por diversos medios:
mensajería, comunicación electrónica o verbal. Independientemente del formato o del medio
por el cual se transmite la información, es necesario siempre una protección adecuada.
En la mayoría de las organizaciones la información depende de las tecnologías de la

información y de las comunicaciones. Esta tecnología es un elemento esencial en la
organización y ayuda a facilitar la creación, procesamiento, almacenamiento, transmisión,
protección y destrucción de información.
4.2.3 Seguridad de la información
La seguridad de la información incluye tres dimensiones principales: la confidencialidad, la

disponibilidad y la integridad. La seguridad de la información involucra la aplicación y la
gestión de medidas de seguridad adecuadas que conllevan la consideración de una amplia
gama de amenazas, con el objetivo de asegurar el éxito sostenido del negocio y su
continuidad, y minimizar impactos de los incidentes de seguridad de la información.
La seguridad de la información se consigue mediante la implementación de un conjunto de

controles aplicables, seleccionados a través del proceso de gestión de riesgos elegido y
gestionado por medio de un SGSI, incluyendo políticas, procesos, procedimientos,
estructuras organizativas, software y hardware para proteger los activos de información
identificados. Estos controles necesitan ser especificados, implementados, monitorizados
revisados y mejorados cuando sea necesario, para asegurar los objetivos del negocio y
seguridad de la información específicos se cumplan. Se espera que los controles relevantes
de seguridad de la información se integren de forma coherente con los procesos de negocio
de una organización.
4.2.4 Gestión
La gestión implica actividades para dirigir, controlar y mejorar de manera continua la

organización dentro de las estructuras adecuadas. Las actividades de gestión incluyen el
acto, la forma, o la práctica de organización, manejo, dirección, supervisión y control de los
recursos. Las estructuras de gestión se extienden desde una única persona en una
organización pequeña hasta jerarquías de gestión compuestas por muchos individuos en las
grandes organizaciones.
En términos de un SGSI, la gestión implica la supervisión y la toma de las decisiones

necesarias para alcanzar los objetivos del negocio mediante la protección de los activos de
información de la organización. La gestión de la seguridad de la información se expresa a
través de la formulación y el uso de las políticas de seguridad de la información,
procedimientos y directrices, las cuales son aplicadas en toda la organización por todos los
NMX-I-27000-NYCE-2014
16/32
individuos vinculados con la organización.
NOTA: El término "gestión" a veces puede referirse a las personas (es decir, una persona o grupo de personas
con autoridad y responsabilidad para la dirección y el control de una organización).
4.2.5 Sistema de gestión
Un sistema de gestión utiliza un marco de recursos para alcanzar los objetivos de una
organización. El sistema de gestión incluye la estructura organizativa, políticas, planificación
de actividades, responsabilidades, prácticas, procedimientos, procesos y recursos.
En términos de seguridad de la información, un sistema de gestión permite a una

organización:
a) Satisfacer los requisitos de seguridad de los clientes y otros grupos de interés;
b) Mejorar los planes y actividades de la organización;
c) Cumplir con los objetivos de seguridad de información de la organización;
d) Cumplir con las regulaciones, leyes y obligaciones de la industria; y
e) Gestionar los activos de información de una manera organizada que facilita la mejora
continua y la alineación a las metas actuales de la organización.
4.3 Enfoque basado en procesos
Las organizaciones necesitan identificar y gestionar numerosas actividades con el fin de

funcionar de manera eficaz y eficiente. Cualquier actividad que utilice los recursos necesita
gestionarse para permitir la transformación de entradas en salidas empleando un conjunto
de actividades interrelacionadas o que interactúan, esto también se conoce como un
proceso. La salida de un proceso puede ser directamente la entrada a otro proceso y, en
general esta transformación se lleva a cabo en condiciones planificadas y controladas. La
aplicación de un sistema de procesos dentro de una organización, junto con la identificación
e interacciones de estos procesos, y su gestión, puede ser referida como un “enfoque basado
en procesos".
El enfoque de procesos para el SGSI presentado en la familia de normas SGSI se basa en el
principio de operación adoptado en las normas de sistemas de gestión comúnmente conocido
como el proceso Planificar – Hacer – Verificar – Actuar (PHVA).
a) Planificar – establecer objetivos y hacer planes (analizar la situación de la

organización, establecer los objetivos generales y conjunto de metas, y elaborar los
planes para alcanzarlos);
b) Hacer – implementar los planes (hacer lo que estaba planeado hacer);
c) Verificar – evaluar los resultados (medir/monitorear el grado en el cual los logros

cumplen los objetivos planificados), y
d) Actuar – corregir y mejorar las actividades (aprender de los errores para mejorar las
actividades para lograr mejores resultados).
NMX-I-27000-NYCE-2014
17/32
4.4 ¿Por qué es importante un SGSI?
Los riesgos asociados con los activos de información de una organización necesitan ser
tratados. Lograr la seguridad de la información requiere la gestión del riesgo, y engloba los
riesgos de amenazas físicas, humanas y tecnológicas asociados con todas las formas de
información, ya sean internas o utilizadas por la organización.
Se espera que la adopción de un SGSI sea una decisión estratégica para una organización y
es necesario que esta decisión se integre a la perfección, de una manera proporcional y
actualizada de acuerdo con las necesidades de la organización.
El diseño e implementación del SGSI de una organización están influenciados por las
necesidades y objetivos de la organización, los requisitos de seguridad, los procesos de
negocio empleados, el tamaño y estructura de la organización. El diseño y operación de un
SGSI necesita reflejar los intereses y requisitos de seguridad de la información de todas los
grupos de interés de la organización, incluyendo clientes, proveedores, socios, accionistas y
otros terceros pertinentes.
En un mundo interconectado, la información y sus procesos relacionados, los sistemas y las

redes constituyen activos críticos de negocio. Las organizaciones y sus sistemas y redes de
información se enfrentan a amenazas de seguridad provenientes de una amplia gama de
fuentes, incluyendo el fraude asistido por computadora, espionaje, sabotaje, vandalismo,
incendios e inundaciones. El daño a los sistemas y las redes de información causada por
códigos maliciosos, la piratería informática, y ataques de denegación de servicio son cada
vez más comunes, más ambiciosos, y más sofisticados.
Un SGSI es importante tanto para empresas públicas como empresas del sector privado. En
cualquier industria, un SGSI es un habilitador que soporta el comercio electrónico y es
esencial para las actividades de gestión de riesgos. La interconexión de las redes públicas y
privadas y el hecho de compartir activos de información aumenta la dificultad de controlar el
acceso y manejo de la información. Además, la distribución de dispositivos móviles con
capacidad de almacenamiento que contienen activos de información puede debilitar la
eficacia de los controles tradicionales. Cuando las organizaciones adoptan e implementan la
familia de normas SGSI, se puede demostrar la capacidad de aplicar, de forma consistente y
mutuamente reconocible, los principios de seguridad de la información a los socios de
negocio y terceros
La seguridad de la información no siempre se tiene en cuenta en el diseño y desarrollo de los

sistemas de información.
Además, la seguridad de la información es a menudo considerada como una solución técnica.
Sin embargo, la seguridad que puede lograrse a través de medios técnicos es limitada, y
puede ser ineficaz sin el apoyo de una gestión y procedimientos adecuados dentro del
contexto de un SGSI. Integrar la seguridad en un sistema de información después de que se
ha producido un hecho puede ser engorroso y costoso. Un SGSI implica identificar qué
controles están actualmente funcionando y requiere una planificación cuidadosa y la
atención a los detalles. A modo de ejemplo, los controles de acceso, que pueden ser de
carácter técnico (lógico), físico, administrativo (gestión) o una combinación de los
anteriores, proporcionan un medio para asegurar que el acceso a los activos de información
este autorizado y restringido con base en los requisitos de seguridad de la información y del
negocio.
La adopción exitosa de un SGSI es importante para proteger los activos de información que
permita a una organización:
NMX-I-27000-NYCE-2014
18/32
a) Lograr una mayor confianza en que sus activos de información están adecuadamente
protegidos contra las amenazas de forma continua;
b) Mantener un marco estructurado y global para identificar y valorar los riesgos de

seguridad de la información, seleccionar y aplicar los correspondientes controles, y
medir y mejorar su eficacia;
c) Mejorar de manera continua su entorno de seguridad; y
d) Lograr un cumplimiento eficaz de las obligaciones legales y reglamentarias.
4.5 Establecer, supervisar, mantener y mejorar el SGSI
4.5.1 Información general
Una organización necesita llevar a cabo los siguientes pasos en el establecimiento,

monitoreo, mantenimiento y mejora de su SGSI:
a) Identificar los activos de información y sus requisitos de seguridad asociados (véase

4.5.2);
b) Evaluar los riesgos de seguridad de la información (véase 4.5.3) y tratar los riesgos
de seguridad de la información (véase 4.5.4);
c) Seleccionar e implementar los controles pertinentes para gestionar los riesgos

inaceptables (véase 4.5.5); y
d) Monitorear, mantener y mejorar la eficacia de los controles de seguridad asociados

con los activos de información de la organización (véase 4.5.6).
Para asegurar que el SGSI este protegiendo eficazmente los activos de información de la
organización de forma permanente, es necesario que se repitan continuamente los pasos (a)
a (d) para identificar cambios en los riesgos, en las estrategias de la organización, o en los
objetivos de negocio.
4.5.2 Identificar los requisitos de seguridad de la información
Dentro de la estrategia general y los objetivos de negocio de la organización, de su tamaño y

de su situación geográfica, los requisitos de seguridad de la información pueden ser
identificados a través del conocimiento y entendimiento de:
a) Los activos de información identificados y su valor;
b) Las necesidades de negocio para el procesamiento y almacenamiento de información;

y
c) Las medidas legislativas, reglamentarias y los requerimientos contractuales.
Llevar a cabo una valoración de riesgos metódica asociados con los activos de información
de la organización implica un análisis de: las amenazas a los activos de información
vulnerabilidades y la probabilidad de la materialización de una amenaza a los activos de
información, y el impacto potencial de cualquier incidente de seguridad de la información
sobre los activos de información. Se espera que el gasto en los controles correspondientes de
NMX-I-27000-NYCE-2014
19/32
seguridad sea proporcionado con respecto al impacto del negocio percibido en caso de la
materialización del riesgo.
4.5.3 La valoración de los riesgos de seguridad de la información
Gestionar los riesgos de seguridad de información requiere un método adecuado para la

valoración del riesgo y tratamiento del riesgo que puede incluir una estimación de los costos
y beneficios, requerimientos legales, las preocupaciones de los grupos de interés, y otras
entradas y variables que sean apropiadas.
Es recomendable que las valoraciones de riesgos identifiquen, cuantifiquen y prioricen los

riesgos contra los criterios de aceptación de riesgos y objetivos relevantes de la
organización. Es recomendable que los resultados orienten y determinen las acciones de
gestión apropiadas y prioridades para la gestión de riesgos de seguridad de la información y
para la implementación de los controles seleccionados para proteger contra estos riesgos.
Es recomendable que la valoración del riesgo incluya un enfoque sistemático para estimar la
magnitud de los riesgos (análisis de riesgos) y el proceso de comparar los riesgos estimados
contra los criterios de riesgo para determinar la importancia de los riesgos (evaluación de
riesgos).
Es recomendable que las valoraciones del riesgo se realicen periódicamente para tratar los
cambios en los requisitos de seguridad de la información y en la situación de riesgo, por
ejemplo, en los activos, amenazas, vulnerabilidades, impactos, la evaluación de riesgos, y
cuando se producen cambios significativos. Es recomendable que estas valoraciones se
lleven a cabo de una manera metódica capaz de producir resultados comparables y
reproducibles.
La evaluación del riesgo de seguridad de la información debe tener un ámbito de aplicación

claramente definido con el fin de ser eficaz y debe incluir las relaciones con las evaluaciones
de riesgos en otras áreas, en su caso.
La NMX-I-27005-NYCE-2011 proporciona una guía para la gestión de riesgo de la seguridad

de la información, incluye recomendaciones sobre la valoración del riesgo, tratamiento del
riesgos, aceptación del riesgo, informe del riesgo, monitoreo del riesgo y revisión del riesgo,
Se incluyen también ejemplos de metodologías para la valoración del riesgo.
4.5.4 Tratamiento de los riesgos de seguridad de la información
Antes de considerar el tratamiento de un riesgo, es recomendable que la organización decida

los criterios para determinar que riesgos no pueden ser aceptados. Los riesgos pueden ser
aceptados si, por ejemplo, se considera que el riesgo es bajo o que el costo del tratamiento
no es rentable para la organización. Es recomendable que estas decisiones estén registradas.
Para cada uno de los riesgos identificados a raíz de la valoración del riesgo es necesario que
se tome una decisión sobre el tratamiento del riesgo. Las posibles opciones para el
tratamiento del riesgo incluyen:
a) La aplicación de controles adecuados para reducir los riesgos;
b) La aceptación consciente y objetiva de los riesgos, siempre que satisfagan

claramente la política de la organización y los criterios para la aceptación del riesgo;
NMX-I-27000-NYCE-2014
20/32
c) Evitar los riesgos al no permitir que las acciones que pueden causar los riesgos se
produzcan;
d) Compartir los riesgos asociados a terceros, por ejemplo, las aseguradoras o

proveedores.
Para aquellos riesgos donde la decisión sobre el tratamiento del riesgo ha sido aplicar los
controles adecuados, es recomendable que estos controles sean seleccionados e
implementados.
4.5.5 Selección e implementación de controles
Una vez que se han identificado los requisitos de seguridad de la información (véase 4.5.2),
los riesgos a los activos de seguridad de la información identificados se han determinado y
evaluado (ver 4.5.3) y las decisiones sobre el tratamiento de riesgos de seguridad de
información han sido tomadas (véase 4.5.4), después la selección e implementación de los
controles solicitados reducen los riesgos.
Es recomendable que los controles aseguren que los riesgos se reduzcan a un nivel aceptable
teniendo en cuenta:
a) Los requerimientos y las limitaciones de la legislación y las regulaciones nacionales e

internacionales;
b) Objetivos de la organización;
c) Requisitos y restricciones operativas;
d) Costos de implementación y operación en relación con los riesgos que han sido
reducidos, y que permanece proporcional a los requisitos y limitaciones de la
organización;
e) La necesidad de equilibrar la inversión en la implementación y operación de los

controles contra la pérdida probable del resultado de los incidentes de seguridad de la
información.
Los controles que se especifican en la norma NMX-I-27002-2009 son reconocidos como las
mejores prácticas aplicables a la mayoría de las organizaciones y fácilmente adaptables para
las organizaciones de diversos tamaños y complejidades. Otras normas en la familia de
normas de SGSI proporcionan orientación sobre la selección y aplicación de controles de la
NMX-I-27002-2009 para el sistema de gestión de seguridad de la información.
Es recomendable que los controles de seguridad de la información sean considerados en la

especificación de los requisitos de los sistemas y proyectos y en la fase de diseño. El no
hacerlo puede resultar en costos adicionales y soluciones menos eficaces, y tal vez, en el
peor de los casos, la incapacidad de lograr una seguridad adecuada. Los controles pueden
ser seleccionados a partir de la norma NMX-I-27002-2009 o de otro conjunto de controles, o
pueden ser diseñados nuevos controles para satisfacer las necesidades específicas de la
organización. Es necesario reconocer que algunos controles no pueden ser aplicables a todos
los sistemas de información o entorno y pueden no ser factible para todas las
organizaciones.
Es recomendable que se tenga en cuenta que ningún conjunto de controles puede lograr por
NMX-I-27000-NYCE-2014
21/32
completo la seguridad de la información. Es recomendable que las acciones adicionales de

gestión se implementen para monitorear, evaluar y mejorar la eficiencia y eficacia de los
controles de seguridad de la información para apoyar los objetivos de la organización.
Es recomendable que la selección y la aplicación de los controles se documenten en una

declaración de aplicabilidad para los requisitos de cumplimiento.
4.5.6 Monitorear y mantener la eficacia del SGSI
Una organización necesita mantener y mejorar el SGSI mediante el seguimiento y valoración

del desempeño respecto a la política y los objetivos de la organización, e informar los
resultados a la Dirección para su revisión. Esta revisión del SGSI verifica que el SGSI incluya
controles específicos que sean adecuados para tratar los riesgos dentro del alcance del SGSI.
Además, basarse en los registros de aquellas áreas monitoreadas. proporciona evidencias de
la validación, verificación y trazabilidad de las acciones correctivas y preventivas
4.6 Factores críticos de éxito de un SGSI
Un gran número de factores son fundamentales para la implementación exitosa de un SGSI

que permita a una organización cumplir con sus objetivos de negocio. Algunos ejemplos de
factores críticos de éxito son:
a) Que la política, los objetivos y actividades de seguridad de la información estén

alineadas con los objetivos;
b) Un enfoque y un marco de trabajo para el diseño, implementación, monitoreo,

mantenimiento y mejora de la seguridad de la información consistente con la cultura
de la organización;
c) El apoyo visible y el compromiso de todos los niveles de la Dirección, especialmente

de la alta Dirección;
d) El entendimiento de los requisitos de protección de los activos de información

obtenido mediante la aplicación de la gestión del riesgo de la seguridad de la
información (véase la norma NMX-I-27005-NYCE-2011);
e) Un programa eficaz de concientización, formación y educación sobre seguridad de la

información, informando a todos los empleados y terceros pertinentes de sus
obligaciones en seguridad de la información establecidas en las políticas de seguridad
de la información, normas, etc. y motivarlos a actuar en consecuencia;
f) Un proceso eficaz de gestión de incidentes de seguridad de la información;
g) Un enfoque eficaz de gestión de continuidad del negocio; y
h) Un sistema de medición utilizado para evaluar el desempeño en la gestión de

seguridad de la información y sugerencias de mejora.
Un SGSI aumenta la probabilidad de que una organización logre de forma coherente los
factores críticos de éxito para proteger sus activos de información.
NMX-I-27000-NYCE-2014
22/32
4.7 Beneficios de la familia de normas SGSI
Los beneficios de implementar un SGSI resultan principalmente de una reducción de los

riesgos asociados a la seguridad de la información (es decir, reduciendo la probabilidad y/o
el impacto causado por los incidentes de seguridad de la información). Específicamente los
beneficios de que una organización logre el éxito sostenible de la adopción de la familia de
normas SGSI son:
a) Una forma estructurada para apoyar al proceso de especificar, implementar, operar y

mantener un costo eficaz integral, crear valor , integrados y alineados al SGSI que
cumplan las necesidades de la organización a través de diferentes operaciones y
lugares;
b) Asesoría para la Dirección en la gestión y operación consistente en una manera

responsable a su enfoque hacia la gestión de seguridad de la información, dentro del
contexto de la gestión del riesgo corporativo y gobernabilidad, incluyendo la
educación y capacitación sobre la gestión holística de la seguridad de la información
a los propietarios del negocio y del sistema;
c) La promoción de buenas prácticas de seguridad de la información, aceptadas a nivel

mundial, de una manera no preceptiva, dando a las organizaciones la flexibilidad para
adoptar y mejorar los controles aplicables, respetando sus circunstancias específicas
y para mantenerlos de cara a futuros cambios internos y externos;
d) Disponer de un lenguaje común y una base conceptual para la seguridad de la

información, haciendo más fácil la generación de confianza a los socios de negocio
con un SGSI en cumplimiento, especialmente si ellos requieren la certificación
conforme a la norma NMX-I-27001-NYCE-2009 por un organismo de certificación
acreditado;
e) Incrementar la confianza en los grupos de interés en la organización;
f) Satisfacer las necesidades y expectativas sociales; y
g) Inversiones económicas y más eficaces en la gestión de seguridad de la información,
5 LA FAMILIA DE NORMAS SGSI
5.1 Información general
La familia de normas SGSI consiste en una serie de normas relacionadas entre sí, ya
publicadas o en desarrollo que contienen una serie de componentes estructurales
importantes. Estos componentes se centran en normas regulatorias para describir los
requisitos de un SGSI (NMX-I-27001-NYCE-2009) y los requisitos para los organismos de
certificación (NMX-I-27006-NYCE-2011) que certifiquen la conformidad con la norma NMX-I-
27001-NYCE-2009.
Otras normas ofrecen directrices para los diversos aspectos de la implementación de un

SGSI, tratando un proceso genérico, guías para los controles relacionados de seguridad, así
como de sectores específicos. Las relaciones entre las normas que se describen en los incisos
B.9 y B.10 del apéndice B de la familia SGSI se ilustran en la figura 1.
NMX-I-27000-NYCE-2014
23/32
FIGURA 1 Relaciones entre las normas de la familia SGSI
Las normas que proporcionan apoyo directo, guía detallada y/interpretación general del
conjunto de procesos PDCA y para los requisitos especificados en la norma NMX-I-27001-
NYCE-2009 son las siguientes:
La NMX-I-27000-NYCE-2014, NMX-I-27002-NYCE-2009, NMX-I-27005-NYCE-2011, véanse

las normas que se describen en los incisos B.7, B.8, B.9, B.13, B.14, y B.16 del apéndice B.
La Norma que proporciona apoyo directo, es una guía detallada y/o interpretación de los
controles especificados en la NMX-I-27002-NYCE-2009 es la norma que se indica en el inciso
B.10 del apéndice B.
La NMX-I-27006-NYCE-2011 trata los requisitos de los organismos que realizan

certificaciones SGSI.
Véanse las normas que se describen en los incisos B.11, B.12, B.15 y B.17 del apéndice B,
que tratan sobre guías sectoriales especificas para el SGSI.
La familia de normas del SGSI mantiene relaciones con muchas otras normas se clasifican y
definen de la siguiente manera:
a) Las normas que describen fundamentos y vocabulario (véase 5.2);
NMX-I-27000-NYCE-2014
24/32
b) Las normas que especifican los requisitos (véase 5.3);
c) Las normas que describen directrices generales (véase 5.4); o
d) Las normas que describen directrices sectoriales específicas (ver 5.5).
5.2 Normas que describen fundamentos y vocabulario
5.2.1 La NMX-I-27000-NYCE-2014 (este documento)
Tecnologías de la información. Técnicas de seguridad. Sistemas de Gestión de la Seguridad

de la Información (SGSI). fundamentos y vocabulario
Campo de aplicación: Esta Norma Mexicana proporciona a organizaciones y personas:
a) Los fundamentos de la familia de las normas SGSI;
b) Una introducción a los sistemas de gestión de seguridad de la información (SGSI);
c) Una breve descripción del proceso PDCA (Planificar-Hacer-Verificar-Actuar); y
d) El vocabulario y las definiciones utilizadas en toda la familia de las normas SGSI.
Propósito: La norma NMX-I-27000-NYCE-2014 describe los fundamentos de los sistemas de

gestión de seguridad de la información, que constituyen la materia de la familia de las
normas SGSI, y define los términos relacionados.
5.3 Normas que especifican los requisitos
5.3.1 NMX-I-27001-NYCE-2009
Tecnologías de la información. Técnicas de seguridad. Sistemas de Gestión de la Seguridad

de la Información – Requisitos.
Campo de aplicación: Esta norma mexicana especifica los requisitos para establecer,
implementar, operar, monitorear, revisar, mantener y mejorar el Sistema de Gestión de
Seguridad de la Información (SGSI) dentro del contexto de los riesgos de negocio generales
de la organización. Se establecen los requisitos para la aplicación de los controles de
seguridad adaptados a las necesidades de las organizaciones de forma individual o partes
de la misma. Esta norma mexicana puede ser utilizada por todas las organizaciones,
independientemente del tipo, tamaño y naturaleza.
Propósito: La norma NMX-I-27001-NYCE-2009 establece los requisitos normativos para el

desarrollo y operación de un SGSI, incluyendo un conjunto de controles para el control y
mitigación de los riesgos asociados con los activos de información que la organización busca
proteger mediante la operación de su SGSI. Las organizaciones que implementan un SGSI
pueden hacer que se audite y certifique su conformidad. Es recomendable que los objetivos
de control y controles del apéndice A de la norma NMX-I-27001-NYCE-2009 se seleccionen
como parte del proceso del SGSI apropiado para satisfacer los requisitos identificados. Los
objetivos de control y controles que se enlistan en la tabla A.1 de la norma NMX-I-27001-
NYCE-2009 se derivan directamente y están alineados con los que se enumeran en los
capítulos 5 a 15 de la norma que se indica en el inciso B.6 del apéndice B.
NMX-I-27000-NYCE-2014
25/32
5.3.2 La NMX-I-27006-NYCE-2011
Tecnologías de la información. Técnicas de seguridad. Requisitos para organismos que

auditan y certifican Sistemas de Gestión de la Seguridad de la Información (SGSI)
Campo de aplicación: Esta norma específica los requisitos y proporciona las directrices que
han de cumplir los organismos que auditan y certifican un SGSI según la norma NMX-I-
27001-NYCE-2009, además de los requisitos contenidos en la norma que se describe en el
inciso B.4 del apéndice B. Su intención principal es servir de apoyo para la acreditación de
organismos de certificación que proporcionan servicios de certificación de SGSI bajo la
norma NMX-I-27001-NYCE-2009
Propósito: La norma NMX-I-27006-NYCE-2011 complementa a la norma que se describe en

el inciso B.4 del apéndice B al proporcionar los requisitos para que las organizaciones de
certificación sean acreditadas de manera que éstas proporcionen certificaciones de
conformidad consistentes contra los requisitos especificados en la norma NMX-I-27001-
NYCE-2009.
5.4 Normas que describen directrices generales
5.4.1 NMX-I-27002-NYCE-2009
Tecnologías de la información. Técnicas de seguridad. Código de buenas prácticas para la

gestión de la seguridad de la información
Campo de aplicación: Esta norma mexicana proporciona una lista de objetivos de control
comúnmente aceptados así como las mejores prácticas en controles de seguridad a utilizarse
como guía de implementación cuando se seleccionen e implementen controles para lograr la
seguridad de la información.
Propósito: La norma NMX-I-27002-NYCE-2009 proporciona directrices para la

implementación de los controles de seguridad de la información.
En concreto los capítulos 5 a 15 proporcionan asesoramiento y orientación específicos sobre
las mejores prácticas en la implementación de los controles especificados en los apartados
A.5 a A.15 del apéndice A de la norma NMX-I-27001-NYCE-2009.
5.4.2 Véase la norma que se describe en el inciso B.7 del apéndice B
Tecnologías de la información. Técnicas de seguridad. Guía de implementación de un

Sistema de Gestión de Seguridad de la Información
Campo de aplicación: Esta norma proporciona orientación para la implementación práctica

e información adicional para establecer, implementar, operar, monitorear, revisar, mantener
y mejorar un SGSI según la NMX-I-27001-NYCE-2009.
Propósito: La norma que se describe en el inciso B.7 del apéndice B proporciona un enfoque
orientado en procesos para la implementación con éxito del SGSI según la NMX-I-27001-
NYCE-2009.
5.4.3 Véase la norma que se describe en el inciso B.8 del apéndice B
Tecnologías de la información. Técnicas de seguridad. Gestión de la Seguridad de la

Información. Métricas
NMX-I-27000-NYCE-2014
26/32
Campo de aplicación: Esta norma proporciona orientación y asesoramiento sobre el

desarrollo y uso de las métricas con el fin de evaluar la eficacia del SGSI, de los objetivos de
control y controles utilizados para implementar y gestionar la seguridad de la información,
tal como se especifica en la NMX-I-27001-NYCE-2009.
Propósito: La Norma que se describe en el inciso B.8 del apéndice B proporciona un marco
de trabajo de métricas que permite una evaluación de la eficacia del SGSI de acuerdo con la
NMX-I-27001-NYCE-2009.
5.4.4 NMX-I-27005-NYCE-2011
Tecnologías de la información. Técnicas de seguridad. Gestión del riesgo de seguridad de la

información
Campo de aplicación: Esta norma mexicana proporciona directrices para la gestión de

riesgos de seguridad de la información. El enfoque descrito en esta norma apoya los
conceptos generales que se especifican en la NMX-I-27001-NYCE-2009.
Propósito: La NMX-I-27005-NYCE-2011 proporciona directrices sobre la implementación de

un enfoque de gestión de riesgos orientado a procesos para ayudar en la implementación de
manera satisfactoria y al cumplimiento de los requisitos de gestión de riesgos de seguridad
de la NMX-I- 27001-NYCE-2009.
5.4.5 Véase la norma que se indica en el inciso B.9 del apéndice B
Tecnologías de la información. Técnicas de seguridad. Directrices para la auditoría de los

Sistemas de Gestión de Seguridad de la Información (SGSI).
Campo de aplicación: Esta norma ofrece orientación sobre la realización de auditorías de

SGSI, así como sobre la competencia de los auditores del sistema de gestión de seguridad
de la información, además de las directrices contenidas en la norma que se describe en el
inciso B.5 del apéndice B, que es aplicable a los sistemas de gestión en general.
Propósito: La norma que se indica en el inciso B.9 del apéndice B proporciona directrices a
las organizaciones que tienen que realizar auditorías internas o externas de un SGSI así
como directrices para gestionar un programa de auditoría de SGSI según los requisitos
especificados en la NMX-I-27001-NYCE-2009.
Tecnologías de la información - Técnicas de seguridad - Directrices para los auditores sobre

los controles de seguridad de la información.
Campo de aplicación: Este informe técnico proporciona orientación sobre la revisión de la

implementación y operación de controles, incluyendo la verificación del cumplimiento técnico
de los controles del sistema de información, en cumplimiento de una norma de seguridad de
la información establecida de la organización
Propósito: Este informe técnico proporciona un enfoque sobre la revisión de los controles de
seguridad de la información, incluyendo la verificación del cumplimiento técnico, contra un
estándar de implementación de seguridad de información, que es establecido por la
organización. Este informe no tiene la intención de proporcionar una orientación específica
sobre la verificación del cumplimiento sobre la medición, la valoración de riesgos o de
NMX-I-27000-NYCE-2014
27/32
auditoría de un SGSI según lo especificado en las normas que se indican en los incisos B.8,
B.9 del apéndice B y la NMX-I-27005-NYCE-2011 respectivamente. Este informe técnico no
está diseñado para las auditorías de sistemas de gestión.
Tecnologías de la información - Técnicas de seguridad - Guía para la aplicación integrada de

la NMX-I-27001-NYCE-2009 y la NMX-I-20000-01-NYCE-2012.
Campo de aplicación: Esta norma proporcionará orientación sobre la aplicación integrada

de la NMX-I-27001-NYCE-2009 y la NMX-I-20000-1-2012 para las organizaciones que
deseen:
a) Implementar la NMX-I-27001-NYCE-2009 cuando la NMX-I-20000-1-2012 ya es

adoptada, o viceversa;
b) Implementar la NMX-I-27001-NYCE-2009 y la NMX-I-20000-1-2012 juntas;
c) Implementar y alinear los sistemas de gestión existentes con la NMX-I-27001-NYCE-

2009 y NMX-I-20000-1-2012.
Propósito: Proporcionar las organizaciones una mejor comprensión de las características,

similitudes y diferencias de las NMX-I-27001-NYCE-2009 e NMX-I-20000-1-2012 para
ayudar en la planificación de un sistema de gestión integrado el cual se conforma por ambas
normas.
Tecnologías de la información - Técnicas de seguridad - Gobernabilidad de seguridad de la

información.
Campo de aplicación: Esta norma proporcionará orientación sobre los principios y procesos
para la gobernabilidad de seguridad de la información, mediante el cual las organizaciones
pueden evaluar, dirigir y monitorear la gestión de seguridad de la información.
Propósito: La seguridad de la información se ha convertido en una cuestión clave para las

organizaciones. No sólo hay cada vez más requisitos reglamentarios, sino también la falta
de medidas de seguridad de la información de una organización puede tener un impacto
directo en la reputación de una organización. Por lo tanto, organismos de gobernabilidad,
como parte de su responsabilidades de gobernabilidad, son cada vez más requeridos para la
supervisión de seguridad de la información para asegurar que los objetivos de la
organización se logran,
Tecnologías de la información - Técnicas de seguridad - gestión de seguridad de la

información - Económica Organizacional.
Campo de aplicación: Este informe técnico proporcionará una metodología que permita a
las organizaciones comprender mejor económicamente como valorar con mayor precisión sus
activos de información identificados, valorar los riesgos potenciales a aquellos activos de
información, apreciar el valor que los controles de protección de la información entregan a
esos activos de información, y determinar el nivel óptimo de los recursos a ser aplicados en
NMX-I-27000-NYCE-2014
28/32
el aseguramiento de estos activos de información.
Propósito: Este informe técnico complementará a la familia de normas de SGSI mediante la

superposición de una perspectiva económica en la protección de los activos de información
de una organización en el contexto de un entorno social más amplio en el cual opera la
organización y proporciona orientación sobre cómo aplicar la economía organizacional de la
seguridad de la información mediante el uso de modelos y ejemplos.
5.5 Normas que describen las guías o directrices sectoriales específicas
Tecnologías de la información - Técnicas de seguridad - Directrices de gestión de seguridad

de información para el sector interno y comunicación entre organizaciones.
Campo de aplicación: Esta norma proporciona directrices, además de la orientación que se

proporcionan en la familia de normas de la serie 27000 para la implementación de la gestión
de seguridad de información dentro de comunidades compartiendo información, proporciona
controles y orientación específicamente relacionados con la iniciación, implementación,
mantenimiento y mejora de las comunicaciones de seguridad de la información en el sector
interno y entre organizaciones
Propósito: Esta norma es aplicable a todas las formas de intercambio y difusión de

información sensible, tanto en el sector público y privado, nacional e internacional, dentro de
la misma industria o mercado o entre los sectores. En particular, puede ser aplicable a los
intercambios de información y el intercambio relacionados a la provisión, mantenimiento y
protección de una organización o de la infraestructura crítica de la nación.

de la información para organizaciones de telecomunicaciones basadas en la NMX-I-27002-
NYCE-2009.
Campo de aplicación: Esta norma proporciona directrices que fomenten la aplicación de la

Gestión de seguridad la información en las organizaciones de telecomunicaciones.
Propósito: La norma que se indica en el inciso B.12 del apéndice B proporciona a las
organizaciones de telecomunicaciones una adaptación de la NMX-I-27002-NYCE-2009 única
para su sector industrial, adicionales a las guías de cumplimiento de requisitos de la NMX-I-
27001-NYCE-2009, en el apéndice A.

de la información financiera para servicios.
Campo de aplicación: Este informe técnico proporciona directrices adicionales a la

orientación que proporcionan en el Familia de las normas 27000, para iniciar, implementar,
mantener y mejorar la seguridad de la información dentro de las organizaciones que ofrecen
servicios financieros.
Propósito: Este informe técnico es un suplemento especializado en la NMX-I-27001-NYCE-
NMX-I-27000-NYCE-2014
29/32
2009 e NMX-I-27002-NYCE-2009 para el uso por organizaciones que ofrecen servicios

financieros para apoyarlos en:
a) Iniciar, implementar, mantener y mejorar un sistema de gestión de seguridad de la
información sistema basado en la NMX-I-27001-NYCE-2009;
b) Diseñar e implementar controles definidos en la NMX-I-27002-NYCE-2009 o dentro de

esta norma.
Informáticas de la Salud. Gestión de la seguridad de la información en Salud utilizando la

NMX-I-27002-NYCE-2009.
Campo de aplicación: Esta norma proporciona directrices de soporte para la

implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) en las
organizaciones del sector Salud
Propósito: La norma que se indica en el inciso B.17 del apéndice B proporciona a las
organizaciones del sector salud una adaptación de la NMX-I-27002-NYCE-2009 con guías
especificas para el este sector las cuales son adicionales a las directrices proporcionadas
para el cumplimiento de los requisitos del Apéndice A de la NMX-I-27001-NYCE-2009.
6 BIBLIOGRAFÍA
ISO / IEC 27000:2014 Information Technology -- Security Techniques -- Information

Security Management Systems -- Overview And Vocabulary.
7 CONCORDANCIA CON NORMAS INTERNACIONALES
Esta Norma Mexicana coincide totalmente con la norma internacional ISO/IEC 27000:2012
“Information Technology - Security Management Systems – Overview and Vocabulary”.
NMX-I-27000-NYCE-2014
30/32
APÉNDICE A
(Informativo)
FORMAS VERBALES PARA LA EXPRESIÓN DE LAS DISPOSICIONES
Nadie está obligado a aplicar las normas de la familia de SGSI. Sin embargo esta obligación
puede venir impuesta, por ejemplo, por una legislación, regulatoria o por un contrato entre
partes. Con el fin de poder solicitar el cumplimiento de un documento, el usuario necesita
ser capaz de identificar los requisitos necesarios a cumplirse. El usuario también tiene que
ser capaz de distinguir estos requisitos de las recomendaciones de otras normas donde hay
una cierta libertad de elección.
La siguiente tabla aclara de qué manera un documento de la familia de normas de SGSI es

interpretado según las expresiones verbales utilizadas, es decir diferenciando aquellas que
expresan requisitos o recomendaciones.
INDICACIÓN EXPLICACIÓN
Requisito Los términos “debe”, y “no debe” indican que los requisitos tienen
que seguirse estrictamente para mostrar conformidad con el
documento, no permitiéndose, desviaciones.
Recomendación Los términos "es recomendable", “es conveniente”, “se recomienda”
“no se recomienda”, y “no es conveniente” indican que se
recomienda una de entre varias posibilidades como la adecuada, sin
mencionar ni excluir a otras, o que una determinada actuación es
preferible, pero no se requiere necesariamente, o que (en forma
negativa) una cierta posibilidad o actuación no está recomendada
pero sin quedar prohibida.
Permiso Los términos "puede” y "no es necesario", indican una línea de
actuación permitida dentro de los límites del documento.
Posibilidad Los términos "puede” y "no puede", “indica la posibilidad de que
algo ocurra.
NMX-I-27000-NYCE-2014
31/32
APÉNDICE B
(Informativo)
NORMAS QUE COMPLEMENTAN A ESTA NORMA MEXICANA
En tanto no se elaboren las Normas Mexicanas, se debe usar de manera supletoria las
siguientes normas:
B.1 ISO Guide 73:2009 Risk management – Vocabulary
B.2 ISO 9000:2005 Quality management systems --

Fundamentals and vocabulary
B.3 ISO/IEC 15939:2007 Systems and software engineering --

Measurement process
B.4 ISO/IEC 17021:2011 Conformity assessment -- Requirements for

bodies providing audit and certification of
management systems
B.5 ISO/ IEC 19011:2011 Guidelines for auditing management systems
B.6 ISO/IEC 27002:2013 Information technology -- Security

techniques -- Code of practice for information
security controls

techniques -- Information security
management system implementation
guidance

management -- Measurement

techniques -- Guidelines for information
security management systems auditing
B.10 ISO/IEC TR 27008:2011 Information technology -- Security

techniques -- Guidelines for auditors on
information security controls

management for inter-sector and inter-
organizational communications

management guidelines for
telecommunications organizations based on
ISO/IEC 27002
NMX-I-27000-NYCE-2014
32/32

techniques -- Guidance on the integrated
implementation of ISO/IEC 27001 and
ISO/IEC 20000-1

techniques -- Governance of information
security
B.15 ISO/IEC TR 27015:2012 Information technology -- Security

management guidelines for financial services
B.16 ISO/IEC DTR 27016 15 Information technology -- Security

management -- Organizational economics
B.17 ISO 27799:2008 Health informatics -- Information security

management in health using ISO/IEC 27002

03.NMX I 27000 Nyce 2014

Cargado por

Copyright:

Formatos disponibles

03.NMX I 27000 Nyce 2014

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

03.NMX I 27000 Nyce 2014

Cargado por

Copyright:

Formatos disponibles

NORMA MEXICANA

TECNOLOGÍAS DE LA INFORMACIÓN – TÉCNICAS DE SEGURIDAD –

INFORMATION TECHNOLOGY - SECURITY TECHNIQUES - INFORMATION SECURITY

1. Esta Norma Mexicana fue elaborada en el seno del Subcomité de Terminología y

-AUREN IBEROAMERICA S. DE R.L. DE C.V.

-INTERNATIONAL CHAMBER OF COMMERCE.

-INSTITUTO POLITÉCNICO NACIONAL.

-NORMALIZACIÓN Y CERTIFICACIÓN ELECTRÓNICA, S.C.

-NET AND COMPUTER SERVICES MÉXICO, S.A. DE C.V.

-SERVICIOS DE VALOR DE T.I. S.A. DE C.V.

1. ASOCIACIÓN MEXICANA DE EMPRESAS DEL RAMO DE INSTALACIONES PARA

2. ASOCIACIÓN MEXICANA DE INTERNET, A.C.

3. ASOCIACIÓN NACIONAL DE INSTITUCIONES DE EDUCACIÓN EN

4. ASOCIACIÓN NACIONAL DE TELECOMUNICACIONES.

5. ASOCIACIÓN DE PERMISIONARIOS, OPERADORES Y PROVEEDORES DE LA

6. AUREN IBEROAMERICA S. DE R.L. DE C.V.

7. BEST PRACTICES GURUS, S.A. DE C.V.

8. CÁMARA NACIONAL DE LA INDUSTRIA ELECTRÓNICA, DE

9. COLEGIO DE INGENIEROS EN COMUNICACIONES Y ELECTRÓNICA.

10. COMISIÓN NACIONAL PARA EL USO EFICIENTE DE LA ENERGÍA.

11. DIRECCIÓN GENERAL DE NORMAS.

12. ERICSSON TELECOM, S.A. DE C.V.

13. GRUPO ADO

14. INSTITUTO POLITÉCNICO NACIONAL.

15. INSTITUTO MEXICANO DE NORMALIZACIÓN Y CERTIFICACIÓN, A.C.

16. INNOVACIONES TELEMÁTICAS, S.A. DE C.V.

17. INTELI, S.C.

18. LEGRAND S.A. DE C.V.

19. ORGANISMO NACIONAL DE NORMALIZACIÓN Y CERTIFICACIÓN DE LA

20. PROCURADURÍA FEDERAL DEL CONSUMIDOR.

23. TELEMATICA INNOVO CONTINUO, S.A DE C.V.

24. UNIVERSIDAD AUTÓNOMA METROPOLITANA.

25. UNIVERSIDAD IBEROAMERICANA.

26. UNIVERSIDAD NACIONAL AUTÓNOMA DE MÉXICO.

3. El aviso de declaratoria de vigencia de esta Norma Mexicana se publicó en el

ÍNDICE DEL CONTENIDO

1 OBJETIVO Y CAMPO DE APLICACIÓN 1

4 SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN 13

5 LA FAMILIA DE NORMAS SGSI 22

7 CONCORDANCIA CON NORMAS INTERNACIONALES 29

APÉNDICE A FORMAS VERBALES PARA LA EXPRESIÓN DE LAS 30

APÉNDICE B NORMAS QUE COMPLEMENTAN A ESTÁ NORMA 31

TECNOLOGÍAS DE LA INFORMACIÓN – TÉCNICAS DE SEGURIDAD –

INFORMATION TECHNOLOGY - SECURITY TECHNIQUES - INFORMATION SECURITY

1 OBJETIVO Y CAMPO DE APLICACIÓN

Esta Norma Mexicana proporciona los fundamentos y vocabulario, constituyen el objeto de la

La familia de normas de SGSI incluye normas que:

a) Definen los requisitos para un SGSI y para certificar tales sistemas;

c) Abordan directrices sectoriales especificas para un SGSI, y

d) Abordan la evaluación de la conformidad para un SGSI.

Los términos y las definiciones previstas en este proyecto de norma:

a) Cubren los términos y definiciones utilizados en la familia de normas de SGSI;

b) No cubren todos los términos y definiciones aplicados dentro de un SGSI, y no se

NMX-I-20000/01-NYCE-2012 Tecnología de Información — Gestión del Servicio —

NMX-I-27001-NYCE-2009 Tecnologías de la Información – Técnicas de Seguridad

NMX-I-27002-NYCE-2009 Tecnologías de la Información – Técnicas de Seguridad

NMX-I-27005-NYCE-2011 Tecnologías de la información – Técnicas de Seguridad

NMX-I-27006-NYCE-2011 Tecnologías de la Información - Técnicas de Seguridad

Al sustituir el término “activo”, por su definición, el ataque se define como: