NORMA ISO

INTERNACIONAL 28000

Segundo edición
2022-03
--`,`,,,``,```,,`,,,```,``,,,,,,-`-`,,`,,`,`,,`---

Seguridad y resiliencia —
Seguridad gestión sistemas —
Requisitos

Referencia
Número ISO
28000:2022(E)

Derechos de autor
Organización Internacional de Normalización
© YO ASI
2022
 ISO 28000:2022(E)

--`,`,,,``,```,,`,,,```,``,,,,,,-`-`,,`,,`,`,,`---

DERECHOS DE AUTOR PROTEGIDO DOCUMENTO

© ISO 2022
Todos los derechos reservados. A menos que se especifique lo contrario, o se requiera en el contexto de su implementación,
ninguna parte de esta publicación puede ser reproducido o utilizado de lo contrario en cualquier forma o por cualquier medio,
electrónico o mecánico, incluido fotocopiado, o destino en el Internet o un intranet, sin previo escrito permiso. Permiso poder
ser solicitado de cualquiera YO ASI en el DIRECCIÓN abajo o organismo miembro de la ISO en el país del solicitante.
YO ASI derechos de autor oficina
CP 401 • Cap. de Blandonnet
8 CH-1214 Vernier, Ginebra
Teléfono: +41 22 749 01 11
Correo electrónico: derechos de [email protected]
Sitio web: www.iso.org
Publicado en Suiza

ii
Copyright In t ernational Organization for © ISO 2022 – All rights reserved

--`,`,,,``,```,,`,,,```,``,,,,,,-`-`,,`,,`,`,,`---
Copyright International Or g
ISO 28000:2022(E)
Página de contenido
Prólogo ............................................................................................................................................................................ v
Introducción ................................................................................................................................................................. vi
1 Alcance ............................................................................................................................................................... 1
2 Normativo referencias .................................................................................................................................. 1
3 Términos y definiciones .....................................................................................................................1
4 Contexto de el organización ....................................................................................................................... 4
4.1 Comprensión el organización y es contexto ............................................................................4
4.2 Comprensión el necesidades y esperanzas de heredar de interesado fiestas .....................4
4.2.1 General ............................................................................................................................4
4.2.2 Legal, regulador y otro Requisitos ...............................................................................4
4.2.3 Principios ........................................................................................................................5
4.3 Determinando el alcance de el seguridad gestión sistema ....................................................6
4.4 Seguridad gestión sistema ........................................................................................................6
5 Liderazgo ........................................................................................................................................................... 7
5.1 Liderazgo y compromiso ...........................................................................................................7
5.2 Seguridad Política ......................................................................................................................7
5.2.1 Establecimiento el seguridad Política .........................................................................7
5.2.2 Seguridad política Requisitos .......................................................................................8
5.3 Roles, Responsabilidades y autoridades ..................................................................................8
6 Planificación ..................................................................................................................................................... 8
6.1 Comportamiento a DIRECCIÓN riesgos y oportunidades ......................................................8
6.1.1 General ............................................................................................................................8
6.1.2 Determinando relacionado con la seguridad riesgos y Identificando
oportunidades ................................................................................................................9
6.1.3 Direccionamiento relacionado con la seguridad riesgos y explotando
oportunidades ................................................................................................................9
6.2 Seguridad objetivos y planificación a lograr ellos ..................................................................9
6.2.1 Establecimiento seguridad objetivos ..........................................................................9
6.2.2 Determinando seguridad objetivos ...........................................................................10
6.3 Planificación de cambios .........................................................................................................10
7 Soporte ............................................................................................................................................................ 10
7.1 Recursos ....................................................................................................................................10
7.2 Competencia .............................................................................................................................10
7.3 Conciencia .................................................................................................................................11
7.4 Comunicación ...........................................................................................................................11
7.5 Documentado Información .....................................................................................................11
7.5.1 General .........................................................................................................................11
7.5.2 Creando y Actualizando documentado Información ................................................11
7.5.3 Control de documentado información .......................................................................12
8 Operación ....................................................................................................................................................... 12
8.1 Operacional planificación y control .......................................................................................12
8.2 Identificación de procesos y actividades ...............................................................................12
8.3 Riesgo evaluación y tratamiento ............................................................................................13
8.4 Controles ...................................................................................................................................13
8.5 Seguridad estrategias, procedimientos, procesos y tratamientos ......................................14
8.5.1 Identificación y selección de estrategias y tratamientos .........................................14
8.5.2 Recurso Requisitos ......................................................................................................14
8.5.3 Implementación de tratamientos ...............................................................................14
8.6 Seguridad planes .....................................................................................................................14
8.6.1 General .........................................................................................................................14
8.6.2 Respuesta Estructura ........................................................................................................................14
8.6.3 Advertencia y comunicación .......................................................................................15
©ani zIaSti oOn fo2r S0t a2n 2d a r– iii
 ISO 28000:2022(E)
8.6.4 Contenido de el seguridad planes ..............................................................................15

ii
Copyright In t ernational Organization for © ISO 2022 – All rights reserved
 ISO 28000:2022(E)

8.6.5 Recuperación ...............................................................................................................16

9 Actuación evaluación ................................................................................................................................. 16
9.1 Escucha, medición, análisis y evaluación ..............................................................................16
9.2 Interno auditoría ......................................................................................................................17
9.2.1 General .........................................................................................................................17
9.2.2 Interno auditoría Programa .......................................................................................17
9.3 Gestión Reseña .........................................................................................................................17
9.3.1 General .........................................................................................................................17
9.3.2 Revisión por la dirección Entradas ............................................................................18
9.3.3 Revisión por la dirección resultados .........................................................................18
10 Mejora .............................................................................................................................................................. 18
10.1 Continuo mejora ......................................................................................................................18
10.2 Disconformidad y correctivo Acción .....................................................................................19
Bibliografía .................................................................................................................................................................. 20
--`,`,,,``,```,,`,,,```,``,,,,,,-`-`,,`,,`,`,,`---

i vernational Organization for

Copyright In t © ISO 2022 – All rights reserved
 ISO 28000:2022(E)

Prefacio
YO ASI (el Internacional Organización para Normalización) es a mundial federación de nacional
Organismos de normalización (organismos miembros de la ISO). El trabajo de preparación de normas
internacionales normalmente se lleva a cabo a través de comités técnicos de la ISO. Cada organismo
miembro interesado en un tema para el cual se ha establecido un comité técnico tiene derecho a estar
representado en ese comité. Organizaciones internacionales, gubernamental y no gubernamental, en
enlace con YO ASI, también llevar parte en el trabajo. La ISO colabora estrechamente con la Comisión
Electrotécnica Internacional (IEC) en todos los asuntos de normalización electrotécnica.
Los procedimientos utilizados para desarrollar este documento y los destinados a su posterior
mantenimiento se describen en las Directivas ISO/IEC, Parte 1. En particular, se deben tener en cuenta
los diferentes criterios de aprobación necesarios para los distintos tipos de documentos ISO. Este
documento se redactó de acuerdo con las reglas editoriales de las Directivas ISO/IEC, Parte 2 (véase
www.iso.org/directives ).
Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento puedan
estar sujetos a derechos de patente. La ISO no será responsable de la identificación de ninguno o todos
esos derechos de patente. Cualquier derecho de patente identificado durante el desarrollo del
documento aparecerá en la Introducción y/o en la lista ISO de declaraciones de patentes recibidas
(consulte www.iso.org/patents ).
Cualquier nombre comercial utilizado en este documento es información proporcionada para
conveniencia de los usuarios y no constituye un respaldo.
Para una explicación del carácter voluntario de las normas, el significado de los términos y expresiones
específicos de la ISO relacionado a conformidad evaluación, como Bueno como información
acerca de ISO adherencia Para conocer los principios de la Organización Mundial del Comercio (OMC)
en materia de Obstáculos Técnicos al Comercio (OTC), véase www.iso.org/iso/foreword.html .
Este documento era preparado por Técnico Comité ISO/TC 292, Seguridad y resiliencia.
Esta segunda edición anula y reemplaza a la primera edición (ISO 28000:2007), que ha sido revisada
técnicamente, pero mantiene los requisitos existentes para dar continuidad a las organizaciones que
utilizan la edición anterior. Los principales cambios son los siguientes:
— Recomendaciones en principios tener estado agregado en Cláusula 4 a dar mejor coordinación
con ISO 31000;

--`,`,,,``,```,,`,,,```,``,,,,,,-`-`,,`,,`,`,,`---
— Se han añadido recomendaciones en la cláusula 8. para una mejor coherencia con la norma ISO
22301, facilitando Integración incluyendo:
— seguridad estrategias, procedimientos, procesos y tratos;
— seguridad planes.
Cualquier comentario o pregunta sobre este documento debe dirigirse al organismo de normalización
nacional del usuario. Puede encontrar una lista completa de estos organismos en
www.iso.org/members.html .

Copyright International Or g ©ani zIaSti oOn fo2r S0t a2n 2d a r– v

 ISO 28000:2022(E)

Introducción
La mayoría de las organizaciones están experimentando una creciente incertidumbre y volatilidad en el
entorno de seguridad. Como consecuencia, se enfrentan a problemas de seguridad que afectan a sus
objetivos y que desean abordar de forma sistemática dentro de su sistema de gestión. Un enfoque
formal de la gestión de la seguridad puede contribuir directamente a la capacidad empresarial y la
credibilidad de la organización.
Este documento especifica los requisitos para un sistema de gestión de la seguridad, incluidos aquellos
aspectos críticos para garantizar la seguridad de la cadena de suministro. Requiere que la organización:
— evaluar el seguridad ambiente en cual él opera incluido es suministrar cadena
(incluyendo dependencias e interdependencias);
— determinar si adecuado seguridad medidas son en lugar a eficazmente administrar relacionado con la
seguridad riesgos;
— gestionar el cumplimiento de las obligaciones legales, reglamentarias y voluntarias que la
organización suscribe;
— Alinear los procesos y controles de seguridad, incluidos los procesos y controles ascendentes y
descendentes relevantes de la cadena de suministro para cumplir los objetivos de la organización.
La gestión de la seguridad está vinculada a muchos aspectos de la gestión empresarial. Incluye todas las
actividades controladas o influenciadas por las organizaciones, incluidas, entre otras, las que tienen un
impacto en la cadena de suministro. Se deben considerar todas las actividades, funciones y operaciones
que tienen un impacto en la gestión de la seguridad de la organización, incluida (entre otras) su cadena
de suministro.
En lo que respecta a la cadena de suministro, hay que tener en cuenta que las cadenas de suministro son
dinámicas por naturaleza. Por lo tanto, algunas organizaciones que gestionan varias cadenas de
suministro pueden exigir a sus proveedores que cumplan con los estándares de seguridad relacionados
como condición para ser incluidas en esa cadena de suministro a fin de cumplir con los requisitos de
gestión de la seguridad.
Este documento aplica el modelo Planificar-Hacer-Verificar-Actuar (PDCA) a la planificación,
establecimiento, implementación, operación, monitoreo, revisión, mantenimiento y mejora continua de
la eficacia del sistema de gestión de seguridad de una organización, consulte la Tabla 1. y la Figura 1 .

Mesa 1 — Explicación de el Ciclo PDCA modelo

Plan Establish security policy, objectives, targets, controls, processes and
(Establish) procedures relevant to improving security in order to deliver results
that align with the organization’s overall policies and objectives.
--`,`,,,``,```,,`,,,```,``,,,,,,-`-`,,`,,`,`,,`---

Do Implement and operate the security policy, controls, processes and

(Implement and operate) procedures.
Check Monitor and review performance against security policy and objectives,
(Monitor and review) report the results to management for review, and determine and
authorize actions for remediation and improvement.
Act Maintain and improve the security management system by taking
(Maintain and improve) corrective action, based on the results of management review and
reappraising the scope of the security management system and
security policy and objectives.
 ISO 28000:2022(E)

v te i rnacional Organización
Derechos de autor En
para Normalización
© YO ASI 2022 – Todo derechos
reservado

Copyright International Or g ©ani zIaSti oOn fo2r S0t a2n 2d a r– vi

i
 ISO 28000:2022(E)

Cifra 1 — P.D.C.A. modelo aplicado a el seguridad gestión sistema

Este asegura a grado de consistencia con otro gestión sistema normas, semejante como YO ASI
9001, ISO 14001, ISO 22301, ISO/IEC 27001, ISO 45001, etc., apoyando así la implementación y
operación consistente e integrada con los sistemas de gestión relacionados.
Para las organizaciones que así lo deseen, la conformidad del sistema de gestión de seguridad con este
documento puede ser verificado mediante un proceso de auditoría externa o interna.
--`,`,,,``,```,,`,,,```,``,,,,,,-`-`,,`,,`,`,,`---

Copyright International Or g ©ani zIaSti oOn fo2r S0t a2n 2d a r– vii

 --`,`,,,``,```,,`,,,```,``,,,,,,-`-`,,`,,`,`,,`---

Copyright International Organization for

Standardization
 INTERNATIONAL STANDARD ISO 28000:2022(E)

Seguridad y resiliencia — Seguridad gestión sistemas —

Requisitos

1 Alcance
Este documento especifica los requisitos para un sistema de gestión de la seguridad, incluidos los
aspectos relevantes para la cadena de suministro.
Este documento es aplicable a todos los tipos y tamaños de organizaciones (por ejemplo, empresas
comerciales, gobiernos, etc.). o otro público agencias y no lucrativo organizaciones) cual pretender a
establecer, Implementar, mantener y mejorar un sistema de gestión de seguridad. Proporciona un
enfoque holístico y común y no es específico de una industria o sector.
Este documento puede utilizarse durante toda la vida de la organización y puede aplicarse a cualquier
actividad, interna o externa, en todos los niveles.

2 Referencias normativas
Los documentos que se mencionan a continuación se citan en el texto de tal forma que parte o la
totalidad de su contenido constituyen requisitos de este documento. Para las referencias fechadas, solo
se aplica la edición citada. Para las referencias sin fecha, se aplica la última edición del documento
referenciado (incluidas las modificaciones).
YO ASI 22300, Seguridad y resiliencia - Vocabulario

3 Términos y definiciones
Para el Propósitos de este documento, el términos y definiciones dado en YO ASI 22300 y el siguiente
Aplicar. ISO e IEC mantienen bases de datos terminológicas para su uso en la normalización en las
siguientes direcciones:
— ISO en línea hojeada plataforma: disponible en https://www.iso.org/obp
— CEI Electropedia: disponible en https://www.electropedia.org/
3.1
organización
Persona o grupo de personas que tiene sus propias funciones con responsabilidades, autoridades y
relaciones para lograr sus objetivos ( 3.7 )
Nota 1 a entrada: El concepto de organización incluye, pero es no limitado a, comerciante individual, compañía,
corporación, firma, empresa, autoridad, asociación, caridad o institución, o parte o combinación en esto, si
--`,`,,,``,```,,`,,,```,``,,,,,,-`-`,,`,,`,`,,`---

Incorporada o no, pública o privada.

Nota 2 a la entrada: Si la organización es parte de una entidad más grande, el término “organización” se refiere
únicamente a la parte de la entidad más grande que está dentro del alcance del sistema de gestión de la seguridad (
3.5 ).

3.2
interesado fiesta (privilegiado término)
tenedor de apuestas (aceptado término)
Persona u organización ( 3.1 ) que puede afectar, ser afectada por, o percibirse afectada por una decisión
o actividad.

Copyright International Or g ©ani zIaSti oOn fo2r S0t a2n 2d a r– 1

 ISO 28000:2022(E)

3.3
arriba gestión
persona o grupo de gente OMS dirige y controles un organización ( 3.1 ) en el nivel más alto
Nota 1 a entrada: Arriba gestión tiene el fuerza a delegar autoridad y proporcionar recursos dentro el
organización.

Nota 2 a entrada: Si el alcance de el gestión sistema ( 3.4 ) cubiertas solo parte de un organización, entonces La
alta dirección se refiere a aquellos que dirigen y controlan esa parte de la organización.

3.4
gestión sistema
colocar de interrelacionado o interactuando elementos de un organización ( 3.1 ) a establecer políticas (
3.6 ) y
objetivos ( 3.7 ), también como procesos ( 3.9 ) Para lograr esos objetivos
Nota 1 a entrada: A gestión sistema poder DIRECCIÓN a soltero disciplina o varios Disciplinas.

Nota 2 a la entrada: Los elementos del sistema de gestión incluyen la estructura, los roles y responsabilidades de
la organización, la planificación y la operación.

3.5
seguridad gestión sistema
sistema de coordinado políticas ( 3.6 ), procesos ( 3.9 ) y prácticas a través de cual un La
organización gestiona sus objetivos de seguridad ( 3.7 )
3.6
política
intenciones y dirección de Una organización ( 3.1 ) tal como se expresa formalmente por su Alta dirección ( 3.3 )
3.7
objetivo
resultado a ser logrado
Nota 1 a entrada: Un objetivo poder ser estratégico, táctico, o operacional.

Nota 2 a entrada: Objetivos poder relatar a diferente Disciplinas (semejante como finanzas, salud y seguridad, y
entorno). Pueden ser, por ejemplo, de toda la organización o específicos de un proyecto, producto y proceso ( 3.9 ).

Nota 3 a la entrada: Un objetivo puede expresarse de otras maneras, por ejemplo, como un resultado previsto,
como un propósito, como un criterio operacional, como un objetivo de seguridad o mediante el uso de otras
palabras con un significado similar (por ejemplo, objetivo, meta o propósito).

Nota 4 a entrada: En el contexto de seguridad gestión sistemas ( 3.5 ), seguridad objetivos son colocar por el organización
( 3.1 ), coherente con el seguridad política ( 3.6 ), a lograr específico resultados.

3.8
riesgo
efecto de incertidumbre en objetivos ( 3.7 )
Nota 1 a la entrada: Un efecto es una desviación de lo esperado. Puede ser positivo, negativo o ambos, y puede
abordar, crear o dar lugar a oportunidades y amenazas.

Nota 2 a entrada: Objetivos poder tener diferente aspectos y categorías, y poder ser aplicado en diferente niveles.

Nota 3 a la entrada: El riesgo suele expresarse en términos de fuentes de riesgo, eventos potenciales, sus
consecuencias y su probabilidad.

3.9
proceso
colocar de interrelacionado o interactuando actividades eso usos o transforma Entradas a entregar a resultado
Nota 1 a entrada: Si el resultado de a proceso es llamado un producción, a producto o a servicio depende en el contexto
de el referencia.

Copyright International Organization for

Standardization
 INTERNATIONAL STANDARD ISO 28000:2022(E)
2 © ISO 2022 – All rights reserved
--`,`,,,``,```,,`,,,```,``,,,,,-`-`,,`,,`,`,,`-- -

Copyright International Or g ©ani zIaSti oOn fo2r S0t a2n 2d a r– 3

 ISO 28000:2022(E)

3.10
competencia
capacidad a aplicar conocimiento y habilidades a lograr destinado resultados
3.11
documentado información
información requerido a ser revisado y mantenido por un organización ( 3.1 ) y el medio en el que
está contenido
Nota 1 a la entrada: La información documentada puede estar en cualquier formato y medio, y

proceder de cualquier fuente. Nota 2 a la entrada: La información documentada puede referirse a:

— el gestión sistema ( 3.4 ), incluido relacionado procesos ( 3.9 );

— información creado en orden para el organización a funcionar (documentación);

— evidencia de resultados logrado (archivos).

3.12
actuación
mensurable resultado
Nota 1 a entrada: Actuación poder relatar cualquiera a cuantitativo o cualitativo recomendaciones.

Nota 2 a entrada: Actuación poder relatar a gerente actividades, procesos ( 3.9 ), productos, servicios,
sistemas o
organizaciones ( 3.1 ).

3.13
continuo mejora
periódico actividad a mejorar actuación ( 3.12 )
3.14
eficacia
medida a cual planificado actividades son comprendió y planificado resultados son logrado
3.15
requisito
necesidad o expectativa eso es fijado, generalmente implícito o obligatorio
Nota 1 a entrada: "Generalmente implícito" medio eso él es costumbre o común práctica para el organización (
3.1 ) y
interesado fiestas ( 3.2 ) eso el necesidad o expectativa bajo consideración es implícito.

Nota 2 a entrada: A especificado requisito es uno eso es fijado, p.ej en documentado información ( 3.11 ).

3.16
conformidad
cumplimiento de a requisito ( 3.15 )
3.17
disconformidad
incumplimiento de a requisito ( 3.15 )
3.18
correctivo acción
acción a eliminar el causa(s) de a disconformidad ( 3.17 ) y a Prevenir la recurrencia

Copyright International Or g ©ani zIaSti oOn fo2r S0t a2n 2d a r– 3

 ISO 28000:2022(E)
--`,`,,,``,```,,`,,,```,``,,,,,-`-`,,`,,`,`,,`-- -

4
Copyright In ternational Organization for © ISO 2022 – All rights reserved
Standardization
 ISO 28000:2022(E)

3.19
auditoría
sistemático y independiente proceso ( 3.9 ) para obtención evidencia y evaluando él
objetivamente a determinar en qué medida se cumplen los criterios de auditoría
Nota 1 a la entrada: Una auditoría puede ser una auditoría interna (de primera parte) o una auditoría externa
(de segunda parte o de tercera parte), y puede ser una auditoría combinada (combinando dos o más
disciplinas).

Nota 2 a entrada: Un interno auditoría es llevado a cabo por el organización ( 3.1 ) sí mismo, o por un
externo fiesta en e n su nombre.

Nota 3 a entrada: "Auditoría evidencia" y "auditoría criterios" son definido en YO ASI 19011.

3.20
medición
proceso ( 3.9 ) Para determinar una valor
3.21
escucha
determinando la estado de a sistema, a proceso ( 3.9 ) o un actividad
Nota 1 a entrada: A determinar el estado, allá poder ser a necesidad a controlar, supervisar o críticamente observar.

4 Contexto de el organización

4.1 Comprensión el organización y Su contexto

El organización deber determinar externo y interno asuntos eso son importante a es objetivo y
que afecten su capacidad para lograr los resultados previstos de su sistema de gestión de seguridad,
incluidos los requisitos de su cadena de suministro.

4.2 Comprensión el necesidades y esperanzas de heredar de interesado fiestas

4.2.1 General

El organización deber determinar:

— el interesado fiestas eso son importante a el seguridad gestión sistema;
— el importante Requisitos de estos interesado fiestas;
— cual de estos Requisitos voluntad ser dirigido a través de el seguridad gestión sistema.
--`,`,,,``,```,,`,,,```,``,,,,,,-`-`,,`,,`,`,,`---

4.2.2 Legal, regulador y otro Requisitos

El organización deber:
a) implementar y mantener a proceso a identificar, tener acceso a y evaluar el aplicable
requisitos legales, reglamentarios y otros relacionados con su seguridad;
b) asegurar eso estos aplicable legal, regulador y otro Requisitos son tomado en cuenta en la
implementación y mantenimiento de su sistema de gestión de seguridad;
c) documento este información y mantener él arriba a fecha;
d) comunicar este información a importante interesado fiestas como adecuado.

Copyright International Or g ©ani zIaSti oOn fo2r S0t a2n 2d a r– 5

 ISO 28000:2022(E)

4.2.3 Principios

4.2.3.1 General
El objetivo de seguridad gestión dentro el organización es el creación y, en particular, La protección del
valor.
El organización debería aplicar el principios dado en Cifra 2 y descrito en 4.2.3.2 a 4.2.3.9 .

--`,`,,,``,```,,`,,,```,``,,,,,,-`-`,,`,,`,`,,`---
Cifra 2 — Principios

4.2.3.2 Liderazgo
Los líderes de todos los niveles deben establecer una unidad de propósito y dirección. Deben crear
condiciones para alinear las estrategias, políticas, procesos y recursos de la organización para lograr sus
objetivos. Cláusula 5 explica los requisitos con respecto a este principio.

4.2.3.3 Estructurado y integral proceso acercarse basado en mejor disponible información

Un enfoque estructurado e integral de la gestión de la seguridad, incluida la cadena de suministro, debería
contribuir a la obtención de resultados consistentes y comparables, que se logran de manera más eficaz
y eficiente cuando las actividades se entienden y gestionan como procesos interrelacionados que
funcionan como un todo coherente. sistema.

4.2.3.4 Personalizado
El sistema de gestión de la seguridad debe ser personalizado y proporcional al contexto y las necesidades
externas e internas de la organización y debe estar relacionado con sus objetivos.

6
Copyright In ternational Organization for © ISO 2022 – All rights reserved
Standardization
 ISO 28000:2022(E)

4.2.3.5 Inclusivo compromiso de gente

La organización debe involucrar a las partes interesadas de manera adecuada y oportuna. Debe
considerar sus conocimientos, opiniones y percepciones de manera adecuada para mejorar la
conciencia y facilitar una gestión de seguridad informada. La organización debe asegurarse de que
todos en todos los niveles estén respetado e involucrado.

4.2.3.6 Integrado acercarse

La gestión de la seguridad es parte integral de todas las actividades de la organización y debe estar
integrada con todos los demás sistemas de gestión de la misma.
La gestión de riesgos de la organización, ya sea formal, informal o intuitiva, debe integrarse en el
sistema de gestión de la seguridad.

4.2.3.7 Dinámica y continuamente mejorado

--`,`,,,``,```,,`,,,```,``,,,,,,-`-`,,`,,`,`,,`---

La organización debe tener un enfoque continuo en la mejora a través del aprendizaje y la experiencia
para mantener el nivel de desempeño, reaccionar a los cambios y crear nuevas oportunidades a medida
que cambia el contexto externo e interno de la organización.

4.2.3.8 En vista de humano y cultural factores

El comportamiento y la cultura humanos influyen significativamente en todos los aspectos de la gestión
de la seguridad y deben tenerse en cuenta. en cada nivel y escenario. Decisiones debería ser basado en
el análisis y evaluación de datos y la información para garantizar que generen mayor objetividad,
confianza en la toma de decisiones y tengan más probabilidades de producir los resultados deseados. Se
deben tener en cuenta las percepciones individuales.

4.2.3.9 Relación gestión

Para lograr un éxito sostenido, la organización debe gestionar sus relaciones con todas las partes
interesadas relevantes ya que podrían influir en el desempeño de la organización.

4.3 Determinando el alcance de el seguridad gestión sistema

La organización debe determinar los límites y la aplicabilidad del sistema de gestión de la seguridad
para establecer su alcance.
Cuando Determinante este alcance, el organización deber considerar:
— el externo y interno asuntos referido a en 4.1 ;
— el Requisitos referido a en 4.2 .
El alcance deber ser disponible como documentado información.
Cuando una organización opte por que cualquier proceso que afecte a la conformidad con su sistema de
gestión de la seguridad se proporcione externamente, la organización debe asegurarse de que tales
procesos estén controlados. Los controles necesarios y las responsabilidades de tales procesos
proporcionados externamente deben ser identificados dentro del sistema de gestión de seguridad.

4.4 Seguridad gestión sistema

La organización debe establecer, implementar, mantener y mejorar continuamente un sistema de
gestión de la seguridad, incluidos los procesos necesarios y sus interacciones, de acuerdo con los
requisitos de este documento.

Copyright International Or g ©ani zIaSti oOn fo2r S0t a2n 2d a r– 7

 ISO 28000:2022(E)

5 Liderazgo

5.1 Liderazgo y compromiso

Arriba gestión deber demostrar liderazgo y compromiso con respeto a el Sistema de gestión de
seguridad mediante:
— garantizar que la política de seguridad y los objetivos de seguridad estén establecidos y sean
compatibles con la dirección estratégica de la organización;
— garantizar que se identifiquen y supervisen los requisitos y expectativas de las partes interesadas
de la organización y que se tomen las medidas oportunas y adecuadas para gestionar estas
expectativas a fin de garantizar la integración de los requisitos del sistema de gestión de la
seguridad en los procesos de negocio de la organización;
— garantizar la integración de los requisitos del sistema de gestión de la seguridad en los procesos de
negocio de la organización;
— asegurando eso el recursos necesario para el seguridad gestión sistema son disponible;
— comunicar la importancia de una gestión eficaz de la seguridad y de cumplir los requisitos del
sistema de gestión de la seguridad;
— asegurando eso el seguridad gestión sistema logra es destinado resultados);
— asegurando el viabilidad de el seguridad gestión objetivos, objetivos y programas;
— garantizar que todos los programas de seguridad generados por otras partes de la organización
complementen el sistema de gestión de la seguridad;
— dirigir y apoyar a las personas para que contribuyan a la eficacia del sistema de gestión de la
seguridad;
— Promoviendo la continuidad mejora de el de la organización seguridad gestión sistema;
— apoyar otros roles relevantes para demostrar su liderazgo en lo que respecta a sus áreas de
responsabilidad.
NOTA: La referencia a “negocio” en este documento puede interpretarse de manera amplia para significar
aquellas actividades que son fundamentales para los propósitos de la existencia de la organización.

5.2 Seguridad política

5.2.1 Establecimiento La política de seguridad

Arriba gestión deber establecer a seguridad política eso:

a) es adecuado a el objetivo de el organización;
b) proporciona a estructura para configuración seguridad objetivos;
c) incluye a compromiso Para encontrarse requisitos aplicables ;
d) incluye un compromiso a continuo mejora de el seguridad gestión sistema;
e) considera el adverso impacto eso el seguridad política, objetivos, objetivos, programas, etc.
puede tener sobre otros aspectos de la organización.

--`,`,,,``,```,,`,,,```,``,,,,,-`-`,,`,,`,`,,`-- -

8
Copyright In ternational Organization for © ISO 2022 – All rights reserved
Standardization
 ISO 28000:2022(E)

5.2.2 Política de seguridad Requisitos

El seguridad política deber:

— ser coherente con otro organizativo políticas;
— ser coherente con el de la organización en general seguridad riesgo evaluación;
— prever su revisión en caso de adquisición o fusión con otras organizaciones, u otros cambios en el
ámbito de negocios de la organización que pudieran afectar la continuidad o relevancia del sistema
de gestión de la seguridad;
— describir y asignar primario responsabilidad y responsabilidad para resultados;
— ser disponible como documentado información;
— ser comunicado dentro el organización;
— ser disponible a interesado fiestas, como adecuado.
NOTA Organizaciones poder elegir a tener a detallado seguridad gestión política para interno usar cual
seria proporcionar suficiente información y dirección a conducir el seguridad gestión sistema (regiones de
que puede ser confidencial) y disponer de una versión resumida (no confidencial) que contenga los objetivos
generales para su difusión a sus partes interesadas.

5.3 Roles, Responsabilidades y autoridades

La alta dirección debe asegurarse de que las responsabilidades y autoridades para los roles relevantes
se asignen y comuniquen dentro de la organización.
Arriba gestión deber asignar el responsabilidad y autoridad para:
a) asegurando eso el seguridad gestión sistema se ajusta a el Requisitos de este documento;
b) reportando en el actuación de el seguridad gestión sistema a arriba gestión.

6 Planificación

6.1 Comportamiento a DIRECCIÓN riesgos y oportunidades

6.1.1 General
Al planificar el sistema de gestión de la seguridad, la organización debe considerar las cuestiones a las
que se refiere el apartado 4.1. y los requisitos a que se refiere el apartado 4.2 y determinar los riesgos y
oportunidades que deben abordarse para:
— dar garantía eso el seguridad gestión sistema poder lograr es destinado resultados);
— Prevenir o reducir no deseado efectos;
— lograr continuo Mejora. La
organización debe planificar:
a) comportamiento a DIRECCIÓN estos riesgos y oportunidades;
b) cómo a:
— integrar y implementar el comportamiento en es seguridad gestión sistema procesos;
— evaluar el eficacia de estos comportamiento.

--`,`,,,``,```,,`,,,```,``,,,,,-`-`,,`,,`,`,,`-- -

Copyright International Or g ©ani zIaSti oOn fo2r S0t a2n 2d a r– 9

 ISO 28000:2022(E)

El objetivo de la gestión de riesgos es la creación y protección de valor. La gestión de riesgos debe ser
integrado en el sistema de gestión de la seguridad. Riesgos relacionados con la seguridad de la
organización y Sus partes interesadas se encuentran contempladas en el apartado 8.3 .

6.1.2 Determinando relacionado con la seguridad riesgos y Identificando oportunidades

Determinar los riesgos relacionados con la seguridad e identificar y aprovechar las oportunidades
requiere una actitud proactiva. evaluación de riesgos que incluirá la consideración, aunque no se
limitará a ello, de lo siguiente:
a) físico o funcional fallas y malicioso o criminal hechos;
b) ambiental, humano y cultural factores y otro interno o externo contextos, incluidos factores
fuera del control de la organización que afecten la seguridad de la misma;
c) el diseño, instalación, mantenimiento y reemplazo de seguridad equipo;
d) el de la organización información, datos, conocimiento y comunicación gestión;
e) información relacionado a seguridad amenazas y vulnerabilidades;
f) el interdependencias entre Proveedores.

6.1.3 Direccionamiento relacionado con la seguridad riesgos y explotando oportunidades

El evaluación de el identificado relacionado con la seguridad riesgo deber proporcionar aporte a (pero
no ser limitado a):
a) el de la organización en general riesgo gestión;
b) riesgo tratamiento;
c) seguridad gestión objetivos;
d) seguridad gestión procesos;
e) el diseño, especificación y implementación de el seguridad gestión sistema;
f) el identificación de adecuado recursos incluido dotación de personal;
g) el identificación de capacitación necesidades y el requerido nivel de competencia.

6.2 Seguridad objetivos y planificación a lograr a ellos

6.2.1 Establecimiento objetivos de seguridad

La organización debe establecer objetivos de seguridad en las funciones y niveles

pertinentes. Los objetivos de seguridad deben:
a) ser coherente con el seguridad política;
b) ser mensurable (si practicable);
c) llevar en cuenta aplicable requisitos;
--`,`,,,``,```,,`,,,```,``,,,,,,-`-`,,`,,`,`,,`---

d) ser monitoreado;
e) ser comunicado;
f) ser actualizado como adecuado;
g) ser disponible como documentado información.

Copyright In 10ternational Organization for © ISO 2022 – All rights reserved

Standardization
 ISO 28000:2022(E)

6.2.2 Determinando seguridad objetivos

Cuando planificación cómo a lograr es seguridad objetivos, el organización deber determinar:

— qué voluntad ser hecho;
— qué recursos voluntad ser requerido;
— OMS voluntad ser responsable;
— cuando él voluntad ser terminado;
— cómo el resultados voluntad ser evaluado.
Cuando estableciendo y revisando es seguridad objetivos, un organización deber llevar en cuenta:
a) tecnológico, humano, administrativo y otro opciones;
b) vistas de y impactos en adecuado interesado fiestas.
El seguridad objetivos deber ser coherente con el de la organización compromiso a continuo

--`,`,,,``,```,,`,,,```,``,,,,,,-`-`,,`,,`,`,,`---
mejora.

6.3 Planificación de cambios

Cuando la organización determine la necesidad de realizar cambios en el sistema de gestión de la seguridad,
incluidos aquellos identificados en la Cláusula 10 , los cambios se deberán llevar a cabo de manera
planificada.
El organización deber considerar:
a) el objetivo de el cambios y su potencial consecuencias;
b) el integridad de el seguridad gestión sistema;
c) el disponibilidad de recursos;
d) el asignación o reasignación de Responsabilidades y autoridades.

7 Apoyo

7.1 Recursos
El organización deber determinar y proporcionar el recursos necesario para el establecimiento,
implementación, mantenimiento y mejora continua del sistema de gestión de la seguridad.

7.2 Competencia
El organización deber:
— determinar el necesario competencia de persona(s) haciendo trabajar bajo es control eso
Afecta su desempeño en materia de seguridad;
— asegurar eso estos personas son competente en el base de adecuado educación, capacitación,
o experiencia y cuentan con la autorización de seguridad correspondiente;
— cuando sea aplicable, adoptar medidas para adquirir la competencia necesaria y evaluar la eficacia
de las medidas adoptadas;
Adecuado documentado información deber ser disponible como evidencia de competencia.
NOTA Aplicable comportamiento poder incluir, para ejemplo: el disposición de capacitación a, el tutoría
de, o la reasignación de personas actualmente empleadas; o la contratación o contratación de personas
Copyright In
1ter0national Organization for © ISO 2022 – All rights reserved
 ISO 28000:2022(E)
competentes.

Copyright International Or g ©ani zIaSti oOn fo2r S0t a2n 2d a r– 11

 ISO 28000:2022(E)

7.3 Conciencia
Personas Haciendo trabajo bajo el de la organización El control deberá ser consciente de:
— el seguridad política;
— su contribución a la eficacia del sistema de gestión de la seguridad, incluidos los beneficios de un
mejor desempeño en materia de seguridad;
— el trascendencia de no conforme con el seguridad gestión sistema requisitos;
— sus funciones y responsabilidades para lograr el cumplimiento de la política y los procedimientos
de gestión de la seguridad y de los requisitos del sistema de gestión de la seguridad, incluidos los
requisitos de preparación y respuesta ante emergencias.

7.4 Comunicación
La organización debe determinar las comunicaciones internas y externas relevantes para el sistema de
gestión de la seguridad, incluyendo:
— en qué él voluntad comunicar;
— cuando Comunicar ;
— con a quien a comunicar;
— cómo a comunicar;
— el sensibilidad de información previo a diseminación.

7.5 Documentado información

7.5.1 General

El de la organización seguridad gestión sistema deber incluir:

a) documentado información requerido por este documento;
b) información documentada que la organización determina como necesaria para la eficacia del
sistema de gestión de la seguridad.
La información documentada debe describir las responsabilidades y autoridades para lograr los
objetivos y metas de gestión de la seguridad, incluidos los medios y plazos para lograr dichos objetivos
y metas.
--`,`,,,``,```,,`,,,```,``,,,,,,-`-`,,`,,`,`,,`---

NOTA El alcance de la información documentada para un sistema de gestión de seguridad puede variar de una
organización a otra debido a:

— el tamaño de organización y es tipo de actividades, procesos, productos y servicios;

— el complejidad de procesos y su interacciones;

— el competencia de personas.

La organización debe determinar el valor de la información y establecer el nivel de integridad requerido

y los controles de seguridad para evitar el acceso no autorizado.

7.5.2 Creando y Actualizando documentado información

Cuando creando y Actualizando documentado información, el organización deber asegurar adecuado:

— identificación y descripción (por ejemplo, un título, fecha, autor o referencia número);

Copyright In
1ter0national Organization for © ISO 2022 – All rights reserved
 ISO 28000:2022(E)

— formato (p.ej idioma, software versión, gráficos) y medios de comunicación (por ejemplo papel,
electrónico);
— revisar y aprobación para idoneidad y adecuación.

7.5.3 Control de documentado información

Documentado información requerido por el seguridad gestión sistema y por este documento deber ser
revisado a asegurar:
a) él es disponible y adecuado para uso, donde y Cuando es necesario;
b) él es adecuadamente protegido (por ejemplo, de pérdida de confidencialidad, incorrecto usar, o pérdida de
integridad);
c) él es Periódicamente Revisado y revisado como necesario, y aprobado para adecuación por
personal autorizado ;
d) obsoleto documentos, datos y información son inmediatamente remoto de todo agujas de asunto y
puntos de uso, o de otro modo asegurados contra un uso no deseado;
e) Documentos, datos e información de archivo conservados con fines legales o de conservación del
conocimiento. o ambos están adecuadamente identificados.
Para el control de la información documentada, la organización debe abordar las siguientes actividades,
según corresponda:
— distribución, acceso, recuperación y usar;
— almacenamiento y preservación, incluido preservación de legibilidad;
— control de cambios (por ejemplo control de versiones );
— retención y disposición.
La información documentada de origen externo que la organización determine que es necesaria para la
planificación y el funcionamiento del sistema de gestión de la seguridad deberá identificarse, según
corresponda, y controlarse.
NOTA Acceso poder implicar a decisión acerca de el permiso a vista el documentado información solo, o el
permiso y la autoridad para ver y cambiar la información documentada.

8 Operación

8.1 Operacional planificación y control

La organización debe planificar, implementar y controlar los procesos necesarios para cumplir los
requisitos y para implementar las acciones determinadas en la Cláusula 6 , mediante:
— estableciendo criterios para el procesos;
— Implementando el control de el procesos en conformidad con el criterios.
La información documentada deberá estar disponible en la medida necesaria para tener confianza en
que la Los procesos se han llevado a cabo según lo previsto.

8.2 Identificación de procesos y actividades

El organización deber identificar aquellos procesos y actividades eso son necesario para logrando:
a) cumplimiento con es seguridad política;
b) cumplimiento con legal, estatutario y regulador seguridad requisitos;
1 2
Copyright In ter national Organization for © ISO 2022 – All rights reserved
 ISO 28000:2022(E)
--`,`,,,``,```,,`,,,```,``,,,,,-`-`,,`,,`,`,,`-- -

Copyright International Or g ©ani zIaSti oOn fo2r S0t a2n 2d a r– 13

 ISO 28000:2022(E)

c) es seguridad gestión objetivos;

d) el entrega de es seguridad gestión sistema;
e) el requerido nivel de seguridad de el suministrar cadena.

8.3 Riesgo evaluación y tratamiento

El organización deber implementar y mantener a riesgo evaluación y tratamiento proceso.
NOTA La proceso para riesgo evaluación y tratamiento es dirigido en YO ASI 31000.

El organización debería:
a) identificar es relacionado con la seguridad riesgos, priorizando a ellos a el recursos requerido
para es seguridad gestión;
b) analizar y evaluar el identificado riesgos;
c) determinar cual riesgos requerir tratamiento;
d) Seleccione y implementar opciones a DIRECCIÓN aquellos riesgos;
e) preparar y implementar riesgo tratamiento planes.
NOTA Los riesgos de esta subcláusula se relacionan con la seguridad de la organización y sus partes
interesadas. Los riesgos y oportunidades relacionados con la eficacia del sistema de gestión se abordan en el
apartado 6.1 .

8.4 Controles
Los procesos enumerados en 8.2 incluirá controles para la gestión de los recursos humanos, así como la
diseño, instalación, operación, reacondicionamiento y modificación de elementos de equipo,
instrumentación y tecnología de la información relacionados con la seguridad, según corresponda.
Cuando se revisen los acuerdos existentes o se introduzcan nuevos acuerdos que puedan tener impacto
en la gestión de la seguridad, la organización Antes de su aplicación, se tendrán en cuenta los riesgos
asociados en materia de seguridad. Las disposiciones nuevas o revisadas que se consideren incluirán:
a) revisado organizativo estructura, roles o responsabilidades;
b) capacitación, conciencia y humano recurso gestión;
c) revisado seguridad gestión política, objetivos, objetivos o programas;
d) revisado procesos y procedimientos;
e) el introducción de nuevo infraestructura, seguridad equipo o tecnología, cual puede incluye
hardware y/o software;
f) el introducción de nuevo contratistas, proveedores o personal, como adecuado;
g) el Requisitos para seguridad garantía de externo Proveedores.
La organización debe controlar los cambios planificados y revisar las consecuencias de los cambios no
previstos, tomando medidas para mitigar cualquier efecto adverso, según sea necesario.
La organización debe asegurarse de que los procesos, productos o servicios proporcionados
externamente que sean relevantes para el sistema de gestión de la seguridad estén controlados.

1ter2national Organization for

Copyright In © ISO 2022 – All rights reserved
 ISO 28000:2022(E)
--`,`,,,``,```,,`,,,```,``,,,,,-`-`,,`,,`,`,,`-- -

Copyright International Or g ©ani zIaSti oOn fo2r S0t a2n 2d a r– 15

 ISO 28000:2022(E)

8.5 Seguridad estrategias, procedimientos, procesos y tratos

8.5.1 Identificación y selección de estrategias y tratamientos

La organización debe implementar y mantener procesos sistemáticos para analizar vulnerabilidades. y
amenazas relacionadas con la seguridad. Con base en este análisis de vulnerabilidades y amenazas y la
consiguiente evaluación de riesgos, la organización debe identificar y seleccionar una estrategia de
seguridad que comprenda una o más Más procedimientos, procesos y tratamientos.
Identificación debería ser basado en el medida a cual estrategias, procedimientos, procesos y tratos:
a) mantener el de la organización seguridad;
b) reducir el probabilidad de seguridad vulnerabilidad;
c) reducir el probabilidad de a amenaza ser actualizado;
d) acortar el período de cualquier seguridad tratamiento deficiencias y límite su impacto;
e) proporcionar para el disponibilidad de adecuado recursos.
Selección debería ser basado en el medida a cual estrategias, procesos y tratos:
— encontrarse el Requisitos a proteger el de la organización seguridad;
— considerar el cantidad y tipo de riesgo el organización puede o puede no llevar;
— considerar el asociado costos y beneficios.

8.5.2 Recurso Requisitos

La organización debe determinar los requisitos de recursos para implementar los procedimientos,
procesos y tratamientos de seguridad seleccionados.

8.5.3 Implementación de tratos

El organización deber implementar y mantener seleccionado seguridad tratos.

8.6 Seguridad planes

8.6.1 General
La organización debe establecer y documentar planes y procedimientos de seguridad basados en las
estrategias y tratamientos seleccionados. La organización debe implementar y mantener una estructura
de respuesta que Permitirá la alerta y comunicación oportuna y eficaz de vulnerabilidades
relacionadas con la seguridad y amenazas inminentes o violaciones de seguridad en curso a las partes
interesadas pertinentes. La estructura de respuesta deberá proporcionar planes y procedimientos para
gestionar la organización durante una amenaza inminente o una violación de seguridad en curso.

8.6.2 Respuesta estructura

La organización debe implementar y mantener una estructura que identifique a una persona designada
o a uno o más equipos responsables de responder a las vulnerabilidades y amenazas relacionadas con la
seguridad. Las funciones y responsabilidades de la persona designada o de cada equipo y la relación
entre la persona o los equipos deben estar claramente identificadas, comunicadas y documentadas.
En conjunto, el equipos debería ser competente a:
a) evaluar el naturaleza y medida de a seguridad amenaza y es potencial impacto;

--`,`,,,``,```,,`,,,```,``,,,,,-`-`,,`,,`,`,,`-- -

Derechos de autor En
1 t e 4 rnacional Organización para Normalización © YO ASI 2022 – Todo derechos
reservado
 ISO 28000:2022(E)

b) evaluar el impacto contra predefinido Umbrales eso justificar iniciación de a formal respuesta;
c) activar un adecuado seguridad respuesta;
d) plan comportamiento eso necesidad a ser emprendido;
e) establecer prioridades usando vida seguridad como el primero prioridad;
f) monitorear los efectos de cualquier variación en las vulnerabilidades relacionadas con la seguridad,
cambios en la intención y capacidad de los actores de amenazas o violaciones de seguridad y la
respuesta de la organización;
g) activar el seguridad tratos;
h) comunicar con importante interesado fiestas, autoridades y el medios de comunicación;
i) Contribuir a un plan de comunicación con la gestión de la
comunicación. Para cada persona o equipo designado debe haber:
— personal identificado, incluidos los suplentes, con la responsabilidad, autoridad y competencia
necesarias para desempeñar su función asignada;
— documentado procedimientos a guía su comportamiento incluido aquellos para el
activación, Operación, coordinación y comunicación de la respuesta.

8.6.3 Advertencia y comunicación

El organización debería documento y mantener procedimientos para:

--`,`,,,``,```,,`,,,```,``,,,,,,-`-`,,`,,`,`,,`---
a) comunicarse interna y externamente con las partes interesadas pertinentes, incluyendo qué,
cuándo, con quién y cómo comunicarse;
NOTA La organización puede documentar y mantener procedimientos sobre cómo y bajo qué
circunstancias la organización se comunica con los empleados y sus contactos de emergencia.

b) recibir, documentar y responder a las comunicaciones de las partes interesadas, incluido cualquier
sistema nacional o regional de asesoramiento sobre riesgos o equivalente;
c) garantizar la disponibilidad de los medios de comunicación durante una violación de seguridad,
vulnerabilidad o amenaza;
d) facilitando estructurado comunicación con respondedores a seguridad amenazas y/o violaciones;
e) siempre que detalles de el de la organización medios de comunicación respuesta siguiente a
seguridad violación, incluido una estrategia de comunicaciones;
f) Registrar los detalles de la violación de seguridad, las medidas adoptadas y las
decisiones adoptadas. Cuando corresponda, también se debe considerar e implementar lo
siguiente:
— alertando interesado fiestas potencialmente impactado por un actual o inminente seguridad
violación;
— asegurando adecuado coordinación y comunicación entre múltiple Respondiendo organizaciones.
Los procedimientos de advertencia y comunicación se deberán practicar como parte del programa de
pruebas y capacitación de la organización.

8.6.4 Contenido de el planes de seguridad

La organización debe documentar y mantener planes de seguridad. Esos planes deben proporcionar
orientación e información para ayudar a los equipos a responder a una vulnerabilidad, amenaza y/o
Copyright International Or g©ani zIaSti oOn fo2r S0t a2n 2d a r – 15
ISO 28000:2022(E)
violación de seguridad y para ayudar a la organización con la respuesta y la restauración de su
seguridad.
 ISO 28000:2022(E)

En conjunto, seguridad planes debería contener:

a) detalles de el comportamiento eso el equipos voluntad llevar a:
1) continuar o restaurar el acordado seguridad estado;
2) monitorear el impacto de las amenazas, vulnerabilidades o violaciones de seguridad reales o
inminentes y la respuesta de la organización a las mismas;
b) referencia a el predefinido umbral(es) y proceso para Activando el respuesta;
c) procedimientos a restaurar el seguridad de el organización;
d) detalles para gestionar las consecuencias inmediatas de una vulnerabilidad y amenaza de seguridad
o de una amenaza real o violación de seguridad inminente teniendo debidamente en cuenta:

--`,`,,,``,```,,`,,,```,``,,,,,,-`-`,,`,,`,`,,`---
1) el bienestar de individuos;
2) el valor de el activos, información y personal potencialmente comprometido;
3) La prevención de pérdidas o indisponibilidad (adicionales) de
actividades básicas. Cada plan debe incluir:
— es objetivo, alcance y objetivos;
— el roles y Responsabilidades de el equipo eso voluntad implementar el plan;
— el comportamiento a implementar el soluciones;
— el información necesario a activar (incluido activación criterios), funcionar, coordinar y
comunicar las acciones del equipo;
— interno y externo interdependencias;
— es recurso requisitos;
— es reportando requisitos;
— a proceso para de pie abajo.
Cada El plan debería ser usable y disponible al tiempo y lugar en el cual es requerido.

8.6.5 Recuperación
El organización deber tener documentado procesos a restaurar el de la organización seguridad de
cualquier medida temporal adoptada antes, durante o después de una violación de seguridad.

9 Actuación evaluación

9.1 Escucha, medición, análisis y evaluación

El organización deber determinar:
— qué necesidades a ser monitoreado y mesurado;
— los métodos de seguimiento, medición, análisis y evaluación, según corresponda, para garantizar la
validez resultados;
— cuando el escucha y medición deber ser realizado;
— cuando el resultados de escucha y medición deber ser analizado y evaluado.

Copyright In
1ter6national Organization for © ISO 2022 – All rights reserved
 ISO 28000:2022(E)

Documentado información deber ser disponible como evidencia de el resultados.

La organización deberá evaluar el desempeño y la eficacia del sistema de gestión de la seguridad.

--`,`,,,``,```,,`,,,```,``,,,,,,-`-`,,`,,`,`,,`---
9.2 Interno auditoría

9.2.1 General
La organización deberá realizar auditorías internas a intervalos planificados para proporcionar información
sobre si el sistema de gestión de la seguridad:
a) se ajusta a:
1) el de la organización propio Requisitos para es seguridad gestión sistema;
2) el Requisitos de este documento;
b) es eficazmente implementado y mantenido.

9.2.2 Interno auditoría programa

La organización debe planificar, establecer, implementar y mantener un programa o programas de
auditoría, incluyendo la frecuencia, los métodos, las responsabilidades, los requisitos de planificación y
los informes.
Al establecer el programa o los programas de auditoría interna, la organización debe considerar la
importancia de los procesos involucrados y los resultados de auditorías anteriores.
El organización deber:
a) definir el auditoría objetivos, criterios y alcance para cada auditoría;
b) seleccionar auditores y conducta auditorías a asegurar objetividad y el imparcialidad de el
auditoría proceso;
c) asegurar eso el resultados de el auditorías son reportado a importante gerentes.
d) verificar eso el seguridad equipo y personal son adecuadamente desplegado;
e) garantizar que se adopten sin demora indebida todas las acciones correctivas necesarias para
eliminar las no conformidades detectadas y sus causas;
f) garantizar que las acciones de auditoría de seguimiento incluyan la verificación de las medidas
adoptadas y la presentación de informes sobre los resultados de la verificación.
Documentado información deber ser disponible como evidencia de el implementación de el auditoría
programas y los resultados de la auditoría.
El auditoría programa, incluido cualquier cronograma, deber ser basado en el resultados de riesgo
Evaluaciones de las actividades de la organización y de los resultados de auditorías anteriores. Los
procedimientos de auditoría deben cubrir el alcance, la frecuencia, las metodologías y las competencias,
así como las responsabilidades y los requisitos para la realización de las auditorías y la presentación de
los resultados.

9.3 Gestión revisar

9.3.1 General
La alta dirección debe revisar el sistema de gestión de la seguridad de la organización, a intervalos
planificados, para garantizar su continua idoneidad, adecuación y eficacia.

Copyright International Or g ©ani zIaSti oOn fo2r S0t a2n 2d a r– 7

 ISO 28000:2022(E)

La organización debe considerar los resultados del análisis y la evaluación, y los resultados de la
revisión por la dirección, para determinar si existen necesidades u oportunidades relacionadas con el
negocio o con el sistema de gestión de la seguridad que deban abordarse como parte de la mejora
continua.
NOTA El organización poder usar el procesos de el seguridad gestión sistema, semejante como liderazgo,
planificación y evaluación del desempeño, para lograr la mejora.

9.3.2 Gestión revisar Entradas

El gestión revisar deber incluir:

a) el estado de comportamiento de anterior gestión Reseñas;
b) cambios en externo y interno asuntos eso son importante a el seguridad gestión sistema;
c) cambios en necesidades y esperanzas de heredar de interesado fiestas eso son importante
a el sistema de gestión de seguridad;
d) información en el seguridad actuación, incluido tendencias en:
1) no conformidades y correctivo comportamiento;
2) escucha y medición resultados;
3) auditoría resultados;
e) oportunidades para continuo mejora;
f) resultados de auditorías y evaluaciones del cumplimiento de los requisitos legales y otros
requisitos que la organización suscriba;
g) comunicación(es) de externo interesado fiestas, incluido quejas;
h) el seguridad actuación de el organización;
i) el medida a cual objetivos y objetivos tener estado se reunió;
j) estado de correctivo comportamiento;
k) hacer un seguimiento comportamiento de anterior gestión Reseñas;
l) circunstancias cambiantes, incluidas las modificaciones de los requisitos legales, reglamentarios y
de otro tipo (véase 4.2.2 ) relacionados con aspectos de seguridad;
m) Recomendaciones para mejora.

9.3.3 Gestión revisar resultados

Los resultados de la revisión por la dirección deberán incluir decisiones relacionadas con las
oportunidades de mejora continua y cualquier necesidad de cambios en el sistema de gestión de la
seguridad.
Documentado información deber ser disponible como evidencia de el resultados de gestión Reseñas.

10 Mejora
--`,`,,,``,```,,`,,,```,``,,,,,,-`-`,,`,,`,`,,`---

10.1 Continuo mejora

La organización debe mejorar continuamente la idoneidad, adecuación y eficacia de los sistemas de
gestión de la seguridad. sistema. El organización debería activamente buscar oportunidades para
mejora, incluso si no son provocados por vulnerabilidades relacionadas con la seguridad y amenazas
inminentes a la seguridad o violaciones de seguridad en curso a las partes interesadas relevantes.
1
Copyright In ter8national Organization for © ISO 2022 – All rights reserved
 ISO 28000:2022(E)

10.2 Disconformidad y correctivo acción

Cuando a disconformidad ocurre, el organización deber:
a) reaccionar a el disconformidad, y como aplicable:
1) llevar acción a control y correcto él;
2) trato con el consecuencias;
b) evaluar el necesidad para acción a eliminar el causa(s) de el disconformidad, en orden eso él hace
no repetirse ni ocurrir en otro lugar, por:
1) revisando el disconformidad;
2) Determinante el causas de el disconformidad;
3) Determinante si similar no conformidades existir, o poder potencialmente ocurrir;
c) implementar cualquier acción necesaria;
d) revisar el eficacia de cualquier correctivo acción tomado;
e) hacer cambios a el seguridad gestión sistema, si necesario.
Las acciones correctivas deberán ser adecuadas a los efectos de las no conformidades
detectadas. Se deberá disponer de información documentada como prueba de:
— el naturaleza de el no conformidades y cualquier posterior comportamiento tomado;
— el resultados de cualquier correctivo acción;
— el investigación de relacionado con la seguridad :
— fracasos, incluido cerca Señoritas y FALSO alarmas;
— incidentes y emergencia situaciones;
— no conformidades;
— tomando acción a mitigar cualquier consecuencias surgiendo de semejante fracasos, incidentes o no
conformidades.
Los procedimientos deberán requerir que todas las acciones correctivas propuestas se revisen a través
del proceso de evaluación de riesgos relacionados con la seguridad antes de su implementación, a
menos que la implementación inmediata evite exposiciones inminentes a la vida o la seguridad pública.
Cualquier acción correctiva adoptada para eliminar las causas de las no conformidades reales y
potenciales deberá ser apropiada a la magnitud de los problemas y proporcional a los riesgos
relacionados con la gestión de la seguridad que probablemente se encuentren.

Copyright International Organization for

Standardization
 ISO 28000:2022(E)
© YO ASI 2022 – Todo derechos reserva e d
-- `,` ,,,``,```,,`,,,```,``,,,,,-`-`,,`,,`,`,,`-- -
19

Copyright International Organization for

Standardization
 ISO 28000:2022(E)

Bibliografía

[1] YO ASI 9001, Calidad gestión sistemas — Requisitos

[2] YO ASI 14001, Ambiental gestión sistemas — Requisitos con guía para usar
[3] YO ASI 19011, Pautas para revisión de cuentas gestión sistemas
[4] YO ASI 22301, Seguridad y resiliencia — Negocio continuidad gestión sistemas — Requisitos
[5] ISO/IEC 27001, Tecnología de la información — Técnicas de seguridad — Sistemas de gestión de
seguridad de la información — Requisitos
[6] ISO 28001, Sistemas de gestión de la seguridad para la cadena de suministro — Mejores prácticas
para implementar la seguridad, evaluaciones y planes de la cadena de suministro — Requisitos y
orientación
[7] ISO 28002, Sistemas de gestión de la seguridad para la cadena de suministro — Desarrollo de la
resiliencia en la cadena de suministro — Requisitos con orientación para su uso
[8] YO ASI 28003, Seguridad gestión sistemas para el suministrar cadena — Requisitos para cuerpos
Proporcionar auditoría y certificación de sistemas de gestión de seguridad de la cadena de
suministro.
[9] YO ASI 28004-1, Seguridad gestión sistemas para el suministrar cadena — Pautas para el
Implementación de la norma ISO 28000 — Parte 1: Principios generales
[10] YO ASI 28004-3, Seguridad gestión sistemas para el suministrar cadena — Pautas para el
Implementación de la norma ISO 28000 — Parte 3: Orientación específica adicional para la
adopción de la norma ISO 28000 para su uso por parte de empresas medianas y pequeñas (excepto
puertos marítimos)
[11] ISO 28004-4, Sistemas de gestión de la seguridad para la cadena de suministro — Directrices para
la implementación de la norma ISO 28000 — Parte 4: Orientación específica adicional sobre la
implementación de la norma ISO 28000 si el cumplimiento de la norma ISO 28001 es un objetivo de
gestión
[12] YO ASI 31000, Riesgo gestión — Pautas
[13] ISO 45001, Sistemas de gestión de la seguridad y salud en el trabajo — Requisitos con orientación
para su uso
[14] YO ASI Guía 73, Riesgo gestión — Vocabulario

Copyright International Organization for

Standardization
 ISO 28000:2022(E)

20
--`,`,,,``,```,,`,,,```,``,,,,,-`-`,,`,,`,`,,`--
© YO ASI 2022 – Todo derechos
-
reservado

Copyright International Organization for

Standardization
 --`,`,,,``,```,,`,,,```,``,,,,,,-`-`,,`,,`,`,,`---

Copyright International Organization for

Standardization
 ISO 28000:2022(E)

--`,`,,,``,```,,`,,,```,``,,,,,,-`-`,,`,,`,`,,`---

ICS 03.100.01; 03.100.70

Precio Residencia en 20 páginas

© YO ASI 2022 – Todo derechos reservado

Copyright International Organization for
Standardization