NORMAS ISO 27000

INTRODUCCIÓN
La serie de normas ISO/IEC 27000 son estándares de seguridad publicados por la Organización
Internacional para la Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC), las
cuales contienen las mejores prácticas recomendadas en Seguridad de la información para
desarrollar, implementar y mantener especificaciones para los Sistemas de Gestión de la
Seguridad de la Información (SGSI), normas que proporcionan un modelo a seguir en el
establecimiento y funcionamiento un sistema de gestión. Este modelo incorpora las características
en la que expertos en la materia han llegado a un consenso como el estado internacional de la
técnica.

En el ámbito internacional ISO e IEC tienen por objeto favorecer el desarrollo de la normalización
en el mundo, con vistas a facilitar los intercambios comerciales y las prestaciones de servicios
entre los distintos países. Los trabajos desarrollados por ISO cubren prácticamente todos los
sectores de la técnica, con excepción del campo eléctrico y electrotécnico, cuya responsabilidad
recae en IEC.
Los miembros de ISO o IEC son los organismos que representan la normalización de un país. Tan
sólo un organismo de cada país puede ser miembro de estas organizaciones. La participación en
los comités técnicos de ISO/IEC puede ser como miembro bien “P” (participante) o bien “O”
(observador).

ISO / IEC mantiene un comité de expertos dedicados en la elaboración de normas internacionales

de sistemas de gestión de seguridad de la información, también conocido como el Sistema de
Gestión de Seguridad de la Información (SGSI) de la familia de normas. Mediante el uso de la
familia de normas de SGSI, las organizaciones pueden desarrollar e implementar un marco para la
gestión de la seguridad de sus activos de información incluyendo información financiera,
intelectual, de propiedad, y detalles de los empleados, o la información confiada a ellos por los
clientes o terceros. Estas normas también se pueden utilizar para prepararse para una evaluación
independiente aplicada a la protección de la información.

En conclusión la familia de normas de SGSI tiene por objeto ayudar a las organizaciones de todos
los tipos y tamaños para implementar y operar un SGSI y consta de las siguientes Normas
Internacionales:

ISO/IEC 27000: define el vocabulario estándar empleado en la familia 27000 (definición de

términos y conceptos).
ISO/IEC 27001: especifica los requisitos a cumplir para implantar un SGSI certificable conforme a
las normas 27000.
ISO/IEC 27002: código de buenas prácticas para la gestión de la seguridad.
ISO/IEC 27003: guía de implementación de SGSI e información acerca del uso del modelo PDCA
(Plan-Do-Check-Act) y de los requerimientos de sus diferentes fases.
ISO/IEC 27004: especifica las métricas y las técnicas de medida aplicables para determinar la
eficacia de un SGSI y de los controles relacionados.
ISO/IEC 27005: gestión de riesgos de seguridad de la información (recomendaciones, métodos y
técnicas para evaluación de riesgos de seguridad).
ISO/IEC 27006: requisitos a cumplir por las organizaciones encargadas de emitir certificaciones
ISO/IEC 27001.
ISO/IEC 27007: guía de actuación para auditar los SGSI conforme a las normas 27000.
ISO/IEC 27011: guía de gestión de seguridad de la información específica para telecomunicaciones.
ISO/IEC 27031: guía de continuidad de negocio en lo relativo a tecnologías de la información y
comunicaciones.
ISO/IEC 27032: guía relativa a la ciberseguridad.
ISO/IEC 27032: guía de seguridad en aplicaciones.
ISO/IEC 27799: guía para implantar ISO/IEC 27002 específica para entornos médicos.
http://es.slideshare.net/nestorjgp/norma-27000
http://standards.iso.org/ittf/licence.html
http://www.seap.minhap.gob.es/dms/es/publicaciones/centro_de_publicaciones_de_la_sgt/Mon
ografias0/parrafo/011111111111111111111115/text_es_files/Normalizacion-2007.pdf

http://archivo.ucr.ac.cr/docum/ISOEIC27000.pdf
http://ccia.ei.uvigo.es/docencia/SSI/normas-leyes.pdf