ISO 27000 - 2018 Español

ESTÁNDAR ISO / IEC
INTERNACIONAL 27000
Quinta edición
2018-02
Tecnología de la información - Técnicas de seguridad -

Sistemas de gestión de seguridad de la información -
Información general y vocabulario
Tecnologías de la información - Técnicas de sécurité - Systèmes de gestión de

la sécurité de l'information - Vue d'ensemble et vocabulaire
Número de referencia ISO

/ IEC 27000: 2018 (E)
© ISO / IEC 2018

ISO / IEC 27000: 2018 (E)
COPYRIGHT documento protegido
© ISO / IEC 2018

Todos los derechos reservados. A menos que se especifique lo contrario, o requerido en el contexto de su aplicación, ninguna parte de esta publicación puede ser reproducida
o utilizada de otro modo, en cualquier forma o por cualquier medio, electrónico o mecánico, incluyendo fotocopia, o publicación en Internet o en una intranet, sin previo permiso
escrito. El permiso puede ser solicitada de cualquiera de ISO en la dirección abajo o organismo miembro de ISO en el país del solicitante.
Oficina de Copyright de la norma ISO

CP 401 • Ch. de Blandonnet 8 CH-1214
Vernier, Ginebra, Suiza Tel. 41 22 749 01 11
Fax: +41 22 749 09 47 copyright@iso.org
www.iso.org
Publicado en Suiza
ii © ISO / IEC 2018 - Todos los derechos reservados

ISO / IEC 27000: 2018 (E)
Contenido Página
Prefacio .................................................. .................................................. .................................................. .................................................. ................................ iv
Introducción .................................................. .................................................. .................................................. .................................................. .......................... v 1
Alcance .................................................. .................................................. .................................................. .................................................. ......................... 1 2
Referencias normativas .................................................. .................................................. .................................................. ................................ 1 3
Términos y definiciones .................................................. .................................................. .................................................. ............................... 1 4
sistemas de gestión de seguridad de información .................................................. .................................................. ..................... 11

4.1 General .................................................. .................................................. .................................................. .................................................. 11
4.2 ¿Qué es un SGSI? .................................................. .................................................. .................................................. .......................... 11
4.2.1 Descripción y principios .................................................. .................................................. .................................... 11
4.2.2 Información .................................................. .................................................. .................................................. .................. 12
4.2.3 Seguridad de información .................................................. .................................................. .............................................. 12
4.2.4 Gestión .................................................. .................................................. .................................................. ............... 12
4.2.5 Sistema de gestión .................................................. .................................................. .............................................. 13
4.3 Enfoque basado en procesos .................................................. .................................................. .................................................. ......................... 13
4.4 ¿Por qué es importante un SGSI .................................................. .................................................. .................................................. .... 13
4.5 Establecer, monitorear, mantener y mejorar un SGSI .................................................. .............. 14
4.5.1 Información general .................................................. .................................................. .................................................. ........................ 14
4.5.2 La identificación de los requisitos de seguridad de la información .................................................. ............................... 14
4.5.3 La evaluación de los riesgos de seguridad de la información .................................................. .................................................. ...... 15
4.5.4 Tratamiento de los riesgos de seguridad de la información .................................................. .................................................. .......... 15
4.5.5 Selección y controles de ejecución .................................................. .................................................. ..... 15
4.5.6 monitor, mantener y mejorar la eficacia del SGSI .............................................. dieciséis
4.5.7 Mejora continua .................................................. .................................................. ...................................... dieciséis
4.6 Ismos factores críticos de éxito .................................................. .................................................. ................................................. 17
4.7 Beneficios de la familia de normas de SGSI .................................................. .................................................. ................... 17
5 la familia de normas de SGSI .................................................. .................................................. .................................................. ..................... 18

5.1 Información general .................................................. .................................................. .................................................. .................. 18
5.2 Estándar que describe una visión general y la terminología: ISO / IEC 27000 (este documento) ......... 19
5.3 Las normas que especifican los requisitos .................................................. .................................................. ............................... 19
5.3.1 ISO / IEC 27001 .................................................. .................................................. .................................................. .......... 19
5.3.2 ISO / IEC 27006 .................................................. .................................................. .................................................. .......... 20
5.3.3 ISO / IEC 27009 .................................................. .................................................. .................................................. .......... 20
5.4 Normas que describen directrices generales .................................................. .................................................. .................. 20
5.4.1 ISO / IEC 27002 .................................................. .................................................. .................................................. .......... 20
5.4.2 ISO / IEC 27003 .................................................. .................................................. .................................................. .......... 20
5.4.3 ISO / IEC 27004 .................................................. .................................................. .................................................. .......... 21
5.4.4 ISO / IEC 27005 .................................................. .................................................. .................................................. .......... 21
5.4.5 ISO / IEC 27007 .................................................. .................................................. .................................................. .......... 21
5.4.6 ISO / IEC TR 27008 .................................................. .................................................. .................................................. . 21
5.4.7 ISO / IEC 27013 .................................................. .................................................. .................................................. .......... 22
5.4.8 ISO / IEC 27014 .................................................. .................................................. .................................................. .......... 22
5.4.9 ISO / IEC TR 27016 .................................................. .................................................. .................................................. . 22
5.4.10 ISO / IEC 27021 .................................................. .................................................. .................................................. .......... 22
5.5 Normas que describen directrices específicas del sector .................................................. .................................................. 23
5.5.1 ISO / IEC 27010 .................................................. .................................................. .................................................. .......... 23
5.5.2 ISO / IEC 27011 .................................................. .................................................. .................................................. .......... 23
5.5.3 ISO / IEC 27017 .................................................. .................................................. .................................................. .......... 23
5.5.4 ISO / IEC 27018 .................................................. .................................................. .................................................. .......... 24
5.5.5 ISO / IEC 27019 .................................................. .................................................. .................................................. .......... 24
5.5.6 27799 ISO .................................................. .................................................. .................................................. ...................... 25
Bibliografía .................................................. .................................................. .................................................. .................................................. ..................... 26
© ISO / IEC 2018 - Todos los derechos reservados iii

ISO / IEC 27000: 2018 (E)
Prefacio
La ISO (Organización Internacional de Normalización) es una federación mundial de organismos nacionales de normalización (organismos
miembros de ISO). El trabajo de preparación de Normas Internacionales se lleva a cabo normalmente a través de comités técnicos de ISO.
Cada organismo miembro interesado en una materia para la cual se ha establecido un comité técnico, tiene el derecho a estar representado
en dicho comité. Las organizaciones internacionales, gubernamentales y no gubernamentales, en coordinación con ISO, también participan
en el trabajo. ISO colabora estrechamente con la Comisión Electrotécnica Internacional (IEC) en todas las materias de normalización
electrotécnica.
Los procedimientos utilizados para desarrollar este documento y los destinados a su posterior mantenimiento se describen en la norma ISO / IEC
Directivas, Parte 1. En particular, deben tenerse en cuenta los diferentes criterios de aprobación necesarios para los diferentes tipos de
documentos ISO. Este documento fue elaborado de acuerdo con las normas editoriales de la IEC Directivas ISO /, parte 2 (ver www .iso .org /
directivas ).
Se llama la atención a la posibilidad de que algunos de los elementos de este documento puede ser objeto de derechos de patente. ISO no se hace
responsable de la identificación de cualquiera o todos los derechos de patente. Los detalles de cualquier derecho de patente identificados durante el
desarrollo del documento estarán en la introducción y / o en la lista ISO de las declaraciones de patentes recibidas (véase www .iso .org / patentes ).
Cualquier nombre comercial utilizado en el presente documento se da información para la comodidad de los usuarios y no constituye un
endoso.
Para una explicación de la naturaleza voluntaria de las normas, el significado de los términos y expresiones específicas ISO relacionado con la
evaluación de la conformidad, así como información sobre el cumplimiento de ISO de la Organización Mundial del Comercio (OMC) principios
de los obstáculos técnicos al comercio (OTC) ver el siguiente URL: www .iso .org / iso / prólogo .html .
Este documento fue preparado por el Comité Técnico ISO / IEC JTC 1, Tecnologías de la información, SC 27, Técnicas de seguridad de TI.
Esta quinta edición anula y sustituye a la cuarta edición (ISO / IEC 27000: 2016), que ha sido revisada técnicamente. Los principales
cambios en comparación con la edición anterior son los siguientes:
- la Introducción se ha reformulado;
- algunos términos y definiciones se han eliminado;
- cláusula 3 se ha alineado sobre la estructura de alto nivel para MSS;
- cláusula 5 ha sido actualizado para reflejar los cambios en las normas aplicables;
- Anexos A y B se han eliminado.
iv © ISO / IEC 2018 - Todos los derechos reservados

ISO / IEC 27000: 2018 (E)
Introducción
0.1 Información general
Normas internacionales para la gestión de sistemas proporcionan un modelo a seguir en el establecimiento y funcionamiento de un sistema
de gestión. Este modelo incorpora las características sobre las que expertos en el campo han alcanzado un consenso como el estado
internacional de la técnica. ISO / IEC JTC 1 / SC 27 mantiene un comité de expertos dedicada a la elaboración de normas internacionales de
sistemas de gestión de seguridad de la información, también conocido como el Sistema de Información de Gestión de Seguridad (SGSI) de
la familia de normas.
A través del uso de la familia SGSI de las normas, las organizaciones pueden desarrollar e implementar un marco para la gestión de la
seguridad de sus activos de información, incluyendo información financiera, la propiedad intelectual, y detalles de los empleados, o la
información confiada a ellos por los clientes o terceros. Estas normas también se pueden utilizar para prepararse para una evaluación
independiente de su SGSI aplica a la protección de la información.
0.2 Propósito de este documento
La familia de normas de SGSI incluye estándares que:
a) definir los requisitos para un SGSI y para aquellos que certifican tales sistemas;
b) proporcionar apoyo directo, orientación y / o interpretación detallada para el proceso general para establecer, implementar, mantener
y mejorar un SGSI;
c) directrices dirección de sector-específicos para ISMS; y
d) Evaluación de la conformidad para la dirección de ISMS.
0.3 Contenido de este documento
En este documento, se utilizan las siguientes formas verbales:
- “Deberá” indica un requisito;
- “Debería” indica una recomendación;
- “Puede” indica un permiso;
- “Lata” indica una posibilidad o una capacidad.
La información marcada como "NOTA" se presenta orientación para la comprensión o clarificación del requisito correspondiente. “Notas a la entrada”
que se utiliza en la cláusula 3 proporcionan información adicional que complementa los datos terminológicas y pueden contener disposiciones relativas
a la utilización de un término.
© ISO / IEC 2018 - Todos los derechos reservados v

ESTÁNDAR INTERNACIONAL ISO / IEC 27000: 2018 (E)
Tecnología de la información - Técnicas de seguridad - Sistemas de gestión de

seguridad de la información - Información general y vocabulario
1 Alcance
Este documento proporciona una visión general de los sistemas de gestión de seguridad de la información (SGSI). También proporciona términos y
definiciones que se utilizan comúnmente en la familia de normas de SGSI. Este documento es aplicable a todo tipo y tamaño de la organización (por
ejemplo, empresas comerciales, agencias gubernamentales, organizaciones sin fines de lucro).
Los términos y definiciones proporcionadas en este documento
- cubrir los términos y definiciones de uso común en la familia de normas de SGSI;
- no cubren todos los términos y definiciones aplicadas dentro de la familia SGSI de las normas; y
- no se limite a la familia de normas de SGSI en la definición de nuevos términos de uso.
2 Referencias normativas
No hay referencias normativas en este documento.
3 Términos y definiciones
ISO e IEC mantienen bases de datos terminológicas para su uso en la normalización en las siguientes direcciones:
- plataforma de navegación ISO línea: disponible en https: // www .iso .org / OBP
- IEC Electropedia: disponible en https: // www .electropedia .org /
3.1
control de acceso
medios para asegurar que el acceso a los activos está autorizada y restringido sobre la base de los negocios y la seguridad
requisitos ( 3.56 )
3.2
ataque
tratar de destruir, exponer, alterar, inutilizar, robar o ganar acceso no autorizado o no autorizado hacer uso de un activo
3.3
auditoría
sistemático, independiente y documentado proceso ( 3.54 ) Para obtener evidencia de auditoría y evaluar objetivamente para determinar el
grado en que se cumplen los criterios de auditoría
Nota 1 a la entrada: Una auditoría puede ser una auditoría interna (primera parte) o una auditoría externa (segunda parte o tercero), y que puede ser una auditoría
combinada (la combinación de dos o más disciplinas).
Nota 2 a la entrada: Una auditoría interna se lleva a cabo por el mismo o por una parte externa en su nombre organización. Nota 3 a la entrada: “La evidencia de
auditoría” y “criterios de auditoría” se definen en la norma ISO 19011.
© ISO / IEC 2018 - Todos los derechos reservados 1

ISO / IEC 27000: 2018 (E)
3.4
alcance de auditoría
extensión y límites de una auditoría ( 3.3 )
[Fuente: ISO 19011: 2011, 3.14, modificado - Nota 1 a entrada ha sido eliminada.]
3.5
autenticación
prestación de garantía de que una característica alegada de una entidad es correcta
3.6
autenticidad
propiedad de que una entidad es lo que dice ser
3.7
disponibilidad
propiedad de ser accesible y utilizable en la demanda por una entidad autorizada
3.8
medida de la base
medida ( 3.42 ) Se define en términos de un atributo y el método para la cuantificación de que la nota 1 a la entrada: Una
medida base es funcionalmente independiente de otro medidas.
[Fuente: ISO / IEC / IEEE 15939: 2017, 3.3, modificado - Nota 2 de la entrada ha sido eliminada.]
3.9
competencia
capacidad de aplicar los conocimientos y habilidades para lograr los resultados deseados
3.10
confidencialidad
propiedad de que la información no esté disponible o revelada a individuos no autorizados, entidades o
procesos ( 3.54 )
3.11
conformidad
cumplimiento de una requisito ( 3.56 )
3.12
consecuencia
resultado de una evento ( 3.21 ) que afectan (objetivos 3.49 ) Nota 1 a la entrada: Un evento
puede dar lugar a una serie de consecuencias.
Nota 2 de entrada: Una consecuencia puede ser cierto o incierto y, en el contexto de seguridad de la información, suele ser negativa.
Nota 3 a la entrada: Las consecuencias pueden ser expresadas de forma cualitativa o cuantitativamente. Nota 4 de entrada:
consecuencias iniciales pueden escalar a través de efectos en cadena.
[Fuente: Guía ISO 73: 2009, 3.6.1.3, modificado - Nota 2 de la entrada se ha cambiado después de “y”.]
3.13
mejora continua
actividad recurrente para mejorar actuación ( 3.52 )
2 © ISO / IEC 2018 - Todos los derechos reservados

ISO / IEC 27000: 2018 (E)
3.14
Control
medida que es modificación riesgo ( 3.61 ) Nota 1 a la entrada: Los controles incluyen cualquier proceso ( 3.54 ), política ( 3.53 ), dispositivo, prácticas, u otras acciones
que modifican
riesgo ( 3.61 ).
Nota 2 a la entrada: Es posible que los controles no siempre ejercen el efecto deseado o asumido la modificación. [Fuente: Guía ISO
73: 2009, 3.8.1.1 - Nota 2 de la entrada ha sido cambiado.]
3.15
objetivo de control
declaración que describe lo que se quiere lograr como resultado de la implementación controles ( 3.14 )
3.16
corrección
acción para eliminar una detectado no conformidad ( 3.47 )
3.17
acción correctiva
acción para eliminar la causa de una no conformidad ( 3.47 ) Y para prevenir la recurrencia
3.18
medida derivada
medida ( 3.42 ) Que se define como una función de dos o más valores de medidas de bases ( 3.8 ) [SOURCE: ISO / IEC /
IEEE 15939: 2017, 3,8, modificado - Nota 1 a la entrada ha sido eliminado.]
3.19
información documentada
información requerida para ser controlada y mantenida por una organización ( 3.50 ) Y el medio en el que está contenido
Nota 1 de la entrada: documentada información puede estar en cualquier formato y los medios de comunicación y de cualquier fuente. Nota 2 de la
entrada: documentada información puede referirse a
- el sistema de gestión ( 3.41 ), Incluyendo relacionados procesos ( 3.54 );
- información que fue creado para que el organización ( 3.50 ) Para operar (documentación);
- evidencia de los resultados obtenidos (registros).
3.20
eficacia
medida en que prevén actividades se realizan y alcanzan los resultados planificados
3.21
evento
ocurrencia o cambio de un conjunto particular de circunstancias
Nota 1 de la entrada: Un evento puede ser una o más ocurrencias, y puede tener varias causas. Nota 2 a la entrada: Un
evento puede consistir en algo que no sucede. Nota 3 de entrada: Un evento a veces puede ser referido como un
“incidente” o “accidente”. [Fuente: Guía ISO 73: 2009, 3.5.1.3, modificado - Nota 4 de entrada ha sido eliminada.]

ISO / IEC 27000: 2018 (E)
3.22
contexto externo
ambiente externo en el que la organización trata de alcanzar su (objetivos 3.49 ) Nota 1 a la entrada: Contexto
externo puede incluir lo siguiente:
- el entorno cultural, social, político, jurídico, reglamentario, financiero, tecnológico, económico, natural y competitivo, ya sea
internacional, nacional, regional o local;
- factores clave y las tendencias que tienen impacto en el objetivos del organización ( 3.50 );
- relaciones con los y las percepciones y valores de externos, interesados ( 3.37 ).
[Fuente: Guía ISO 73: 2009, 3.3.1.1]
3.23
gobierno de seguridad de la información
sistema por el cual una de organización ( 3.50 ) seguridad de información ( 3.28 ) Actividades son dirigidas y controladas
3.24
Órgano rector
persona o grupo de personas que son responsables de la actuación ( 3.52 ) Y la conformidad de la
organización ( 3.50 )
Nota 1 de la entrada: El órgano de gobierno puede, en algunas jurisdicciones, ser un consejo de administración.
3.25
indicador
medida ( 3.42 ) Que proporciona una estimación o evaluación
3.26
necesidad de información
conocimiento necesario para gestionar (objetivos 3.49 ), Objetivos, riesgos y problemas [SOURCE: ISO /
IEC / IEEE 15939: 2017, 3.12]
3.27
instalaciones de procesamiento de información
cualquier sistema de procesamiento de información, servicio o infraestructura, o la ubicación física de vivienda se
3.28
seguridad de información
preservación de confidencialidad ( 3.10 ), integridad ( 3.36 ) y disponibilidad ( 3.7 ) de información de la Nota 1 de entrada: Además, otras propiedades,
tales como autenticidad ( 3.6 ), La rendición de cuentas, no repudio ( 3.48 ), Y fiabilidad ( 3.55 ) También pueden estar implicados.
3.29
la continuidad seguridad de la información
procesos ( 3.54 ) Y los procedimientos para garantizar el mantenimiento seguridad de información ( 3.28 operaciones)
3.30
evento de seguridad de la información
ocurrencia identificado de un sistema, el servicio o estado de la red que indica una posible violación de información
seguridad ( 3.28 ) política ( 3.53 ) O el fracaso de controles ( 3.14 ), O una situación previamente desconocido que puede ser relevante para la seguridad
3.31
incidente de seguridad de la información
solo o una serie de no deseado o inesperado los eventos de seguridad de la información ( 3.30 ) Que tienen una probabilidad significativa de poner en
peligro las operaciones de negocio y amenazando seguridad de información ( 3.28 )

ISO / IEC 27000: 2018 (E)
3.32
información de gestión de incidentes de seguridad
un conjunto de procesos ( 3.54 ) Para detectar, informar, evaluar, responder a, tratar con, y aprender de incidentes de seguridad de la
información ( 3.31 )
3.33
sistema de gestión de seguridad de la información (SGSI) profesional
persona que establece, implementa, mantiene y mejora continuamente uno o más información sobre el sistema de gestión de
seguridad procesos ( 3.54 )
3.34
comunidad de intercambio de información
grupo de (organizaciones 3.50 ) Que de acuerdo a la información cuota de la Nota 1 de entrada:
Una organización puede ser un individuo.
3.35
sistema de informacion
un conjunto de aplicaciones, servicios activos de tecnología de información, u otros componentes de manejo de información
3,36
integridad
propiedad de exactitud e integridad
3.37
parte interesada ( término preferido)
los grupos de interés ( plazo admitido) persona o organización ( 3.50 ) Que pueden afectar, verse afectadas por, o percibirse a sí mismo a ser afectados por una
decisión o actividad
3.38
contexto interno
entorno interno en el que la organización ( 3.50 ) Permitirán alcanzar sus objetivos de la Nota 1 de la entrada: contexto
interno puede incluir:
- gobierno, estructura organizativa, funciones y responsabilidades;
- (políticas 3.53 ), (objetivos 3.49 ), Y las estrategias que están en marcha para alcanzarlos;
- las capacidades, entendidas en términos de recursos y conocimientos de capital (por ejemplo, tiempo, personas, procesos ( 3.54 ), sistemas y tecnologías);
- sistemas de información ( 3.35 ), Los flujos de información y toma de decisiones procesos ( tanto formales como informales);
- relaciones con los y las percepciones y valores de los internos, interesados ( 3.37 );
- cultura de la organización;
- normas, directrices y modelos adoptados por la organización;
- forma y el alcance de las relaciones contractuales.
[Fuente: Guía ISO 73: 2009, 3.3.1.2]
3.39
nivel de riesgo
magnitud de una riesgo ( 3.61 ) Expresado en términos de la combinación de Consecuencias ( 3.12 ) y ellos
verosimilitud ( 3.40 )
[Fuente: Guía ISO 73: 2009, 3.6.1.8, modificada - “o combinación de riesgos” ha sido eliminado en la definición.]

ISO / IEC 27000: 2018 (E)
3.40
probabilidad
posibilidad de que ocurra algo
[Fuente: Guía ISO 73: 2009, 3.6.1.1, modificado - Notas 1 y 2 a la entrada se han suprimido.]
3.41
sistema de gestión
conjunto de elementos interrelacionados o que interactúan de una organización ( 3.50 ) Para establecer (políticas 3.53 ) y
(objetivos 3.49 ) y procesos ( 3.54 ) Para alcanzar dichos objetivos
Nota 1 de la entrada: Un sistema de gestión puede hacer frente a una sola disciplina o varias disciplinas. Nota 2 a la entrada: Los elementos del sistema incluyen la
estructura, las funciones de la organización y responsabilidades, la planificación y operación.
Nota 3 a la entrada: El alcance de un sistema de gestión puede incluir el conjunto de la organización, y las funciones específicas identificados de la
organización, específico y secciones identificados de la organización, o una o más funciones a través de un grupo de organizaciones.
3.42
medida
variable a la que se asigna un valor como resultado de medición ( 3.43 ) [SOURCE: ISO / IEC / IEEE 15939: 2017,
3,15, modificado - Nota 2 a la entrada ha sido eliminado.]
3.43
medición
proceso ( 3.54 ) Para determinar un valor
3.44
función de medición
algoritmo o cálculo realizado para combinar dos o más medidas de bases ( 3.8 ) [SOURCE: ISO / IEC /
IEEE 15939: 2017, 3.20]
3.45
método de medida
secuencia lógica de operaciones, que se describe de forma genérica, que se utiliza en la cuantificación de un atributo con respecto a una escala especificada
Nota 1 a la entrada: El tipo de método de medición depende de la naturaleza de las operaciones utilizadas para cuantificar una
atributo ( 3.4 ). Dos tipos se pueden distinguir:
- subjetiva: cuantificación implica juicio humano; y
- objetivo: la cuantificación basado en reglas numéricas.
[Fuente: ISO / IEC / IEEE 15939: 2017, 3.21, modificado - Nota 2 de la entrada ha sido eliminada.]
3.46
vigilancia
determinar el estado de un sistema, una proceso ( 3.54 ) O una actividad
Nota 1 de la entrada: Para determinar la situación, puede haber una necesidad de comprobar, supervisar o críticamente observar.
3.47
disconformidad
no se ha cumplido una requisito ( 3.56 )
3.48
no repudio
capacidad de probar la ocurrencia de un reivindicado evento ( 3.21 ) O acción y sus entidades originarios

ISO / IEC 27000: 2018 (E)
3.49
objetivo
resultado que debe conseguirse
Nota 1 de la entrada: Un objetivo puede ser estratégico, táctico, u operacional.
Nota 2 a la entrada: Los objetivos se refieren a diferentes disciplinas (tales como metas ambientales financiera, la salud y la seguridad, y) y pueden
aplicarse a distintos niveles [como estratégica, en toda la organización, proyecto, producto y
proceso ( 3.54 )].
Nota 3 de entrada: Un objetivo puede expresarse de otras maneras, por ejemplo como un resultado previsto, un propósito, un criterio operativo, como seguridad
de la información objetiva o por el uso de otras palabras de significado similar (por ejemplo, el objetivo, meta o destino ).
Nota 4 a la entrada: En el contexto de la información sistemas de gestión de seguridad, objetivos de seguridad de información son establecidos por la organización, en
consonancia con la política de seguridad de la información, para lograr resultados específicos.
3.50
organización
persona o grupo de personas que tiene sus propias funciones con responsabilidades, autoridades y relaciones para lograr su (objetivos 3.49
)
Nota 1 de la entrada: El concepto de organización incluye pero no se limita a la única comerciante, empresa, corporación, firma, empresa, autoridad,
asociación, la caridad o institución, o parte o combinación de los mismos, ya sea incorporada o no, pública o privada.
3.51
externalizar
hacer un arreglo donde un externa organización ( 3.50 ) Realiza parte de la función de una organización o proceso ( 3.54 )
Nota 1 a la entrada: una organización externa está fuera del alcance de la sistema de gestión ( 3.41 ), Aunque la función o proceso de contratación externa
está dentro del alcance.
3.52
actuación
resultado medible
Nota 1 de la entrada: Rendimiento puede corresponder a cuantitativos o cualitativos hallazgos. Nota 2 a la entrada: Rendimiento puede relacionarse con la
gestión de las actividades, procesos ( 3.54 ), Los productos (incluidos los servicios), sistemas o (organizaciones 3.50 ).
3,53
política
intenciones y dirección de una organización ( 3.50 ), Expresado como formalmente por su la alta dirección ( 3.75 )
3.54 proceso
de
conjunto de actividades interrelacionadas o que interactúan, que transforma entradas en salidas
3.55
confiabilidad
propiedad del comportamiento previsto consistente y resultados
3.56
requisito
necesidad o expectativa establecida, generalmente implícita u obligatoria
Nota 1 a la entrada: “Generalmente implícita” significa que es habitual o una práctica común para la organización y las partes interesadas que la necesidad o
expectativa bajo consideración es implícita. Nota 2 a la entrada: Un requisito especificado es el que se declara, por ejemplo en la información documentada. ©
ISO / IEC 2018 - Todos los derechos reservados
7
ISO / IEC 27000: 2018 (E)
3.57
riesgo residual
riesgo ( 3.61 ) Que queda después de el tratamiento del riesgo ( 3.72 ) Nota 1 a la entrada: El riesgo residual
puede contener el riesgo identificado. Nota 2 de la entrada: El riesgo residual también puede ser referido como
“retenido riesgo”.
3.58
opinión
la actividad emprendida para asegurar la conveniencia, adecuación y efectividad ( 3.20 ) De la materia objeto de lograr establecieron (objetivos
3.49 )
[Fuente: Guía ISO 73: 2009, 3.8.2.2, modificado - Nota 1 a entrada ha sido eliminada.]
3.59
opinión de objetos
artículo específico en proceso de revisión
3.60
revisión objetiva
declaración que describe lo que se quiere lograr como resultado de una revisión ( 3.59 )
3,61
riesgos
efecto de la incertidumbre en (objetivos 3.49 )
Nota 1 de la entrada: Un efecto es una desviación de lo esperado - positiva o negativa.
Nota 2 a la entrada: La incertidumbre es el estado, incluso parcial, de la deficiencia de información relacionada con, la comprensión o conocimiento de, un evento, su
consecuencia, o la probabilidad.
Nota 3 a la entrada: Riesgo se caracteriza a menudo por referencia a los posibles “eventos” (como se define en la Guía ISO 73: 2009,
3.5.1.3) y “consecuencias” (tal como se definen en la Guía ISO 73: 2009, 3.6.1.3), o una combinación de éstos. Nota 4 a la entrada: El riesgo se expresa a menudo en
términos de una combinación de las consecuencias de un evento (incluyendo cambios en las circunstancias) y el correspondiente “probabilidad” (como se define en la Guía
ISO 73: 2009, 3.6.1.1) de ocurrencia. Nota 5 de entrada: En el contexto de los sistemas de gestión de seguridad de la información, los riesgos de seguridad de la
información se pueden expresar como efecto de la incertidumbre en los objetivos de seguridad de la información.
Nota 6 de entrada: riesgo de seguridad de la información se asocia con el potencial de que las amenazas van a explotar las vulnerabilidades de un activo de
información o grupo de activos de información y por lo tanto causa daño a una organización.
3.62
aceptación del riesgo
decisión informada para tomar una determinada riesgo ( 3.61 ) Nota 1 a la entrada: la aceptación del riesgo puede ocurrir sin el tratamiento del riesgo ( 3.72 ) O durante la
proceso ( 3.54 ) De tratamiento del riesgo.
Nota 2 a la entrada: riesgos aceptados son objeto de vigilancia ( 3.46 ) y revisión ( 3.58 ). [Fuente: Guía ISO
73: 2009, 3.7.1.6]
3.63
análisis de riesgo
proceso ( 3.54 ) Para comprender la naturaleza de riesgo ( 3.61 ) Y para determinar la nivel de riesgo ( 3.39 ) Nota 1 a la entrada: El análisis de riesgos proporciona
la base para evaluación de riesgo ( 3.67 ) Y las decisiones acerca el tratamiento del riesgo ( 3.72 ). Nota 2 a la entrada: El análisis de riesgos incluye la estimación del riesgo.
[Fuente: Guía ISO 73: 2009, 3.6.1]

ISO / IEC 27000: 2018 (E)
3.64
Evaluación de riesgos
en general proceso ( 3.54 ) de identificación de riesgo ( 3.68 ), análisis de riesgo ( 3.63 ) y evaluación de riesgo ( 3.67 ) [Fuente: Guía ISO 73:
2009, 3.4.1]
3.65
la comunicación y la consulta de riesgo
conjunto de continuo e iterativo procesos ( 3.54 ) Que una organización conductas para proporcionar, compartir u obtener información, y para
dialogar con interesados ( 3.37 ) Con respecto a la gestión de riesgo ( 3.61 ) Nota 1 a la entrada: La información puede relacionarse con la
existencia, naturaleza, forma, verosimilitud ( 3.41 ), La importancia, la evaluación, la aceptabilidad y tratamiento del riesgo.
Nota 2 de la entrada: La consulta es un proceso bidireccional de comunicación entre un informada organización ( 3.50 ) Y sus grupos de interés sobre un tema
antes de tomar una decisión o determinación de una dirección en ese tema. La consulta es
- una proceso lo que repercute en una decisión a través de la influencia en lugar de poder; y
- una entrada a la toma de decisiones, no la toma de decisiones conjunta.
3.66
criterios de riesgo
términos de referencia contra el cual el significado de riesgo ( 3.61 ) Se evalúa la Nota 1 de entrada: Los criterios de riesgo se basan en objetivos
de la organización, y contexto externo ( 3.22 ) y contexto interno ( 3.38 ).
Nota 2 a la entrada: Los criterios de riesgo se pueden derivar de las normas, leyes, (políticas 3.53 ) y otra requisitos ( 3.56 ). [Fuente: Guía ISO 73:
2009, 3.3.1.3]
3.67
evaluación de riesgo
proceso ( 3.54 ) De la comparación de los resultados de análisis de riesgo ( 3.63 ) con (criterios de riesgo 3.66 ) Para determinar si el riesgo ( 3.61 ) Y / o su
magnitud es aceptable o tolerable Nota 1 a la entrada: asistencias de evaluación de riesgos en la decisión acerca el tratamiento del riesgo ( 3.72 ). [Fuente:
Guía ISO 73: 2009, 3.7.1]
3.68
identificación de riesgo
proceso ( 3.54 ) De encontrar, reconociendo y describiendo (riesgos 3.61 ) Nota 1 a la entrada: Riesgo de identificación implica la identificación de las
fuentes de riesgo, eventos ( 3.21 ), Sus causas y su potencial Consecuencias ( 3.12 ).
Nota 2 de la entrada: La identificación de riesgos puede implicar datos históricos, análisis teórico, informada y opiniones de expertos, y las partes interesadas ( 3.37 )
Necesita. [Fuente: Guía ISO 73: 2009, 3.5.1]
3.69
gestión de riesgos
actividades coordinadas a una directa y control organización ( 3.50 ) con respecto a riesgo ( 3.61 ) [Fuente: Guía ISO 73:
2009, 2.1]

ISO / IEC 27000: 2018 (E)
3.70
proceso de gestión de riesgos
aplicación sistemática de gestión (políticas 3.53 ), Procedimientos y prácticas a las actividades de comunicación, consultoría,
estableciendo el contexto e identificar, analizar, evaluar, tratar, monitorear y revisar riesgo ( 3.61 ) Nota 1 a la entrada: ISO / IEC
27005 utiliza el término “ proceso ”( 3.54 ) Para describir la gestión del riesgo global. Los elementos dentro de la gestión de riesgos ( 3.69 )
Proceso se conoce como “actividades”. [Fuente: Guía ISO 73: 2009, 3.1, modificado - Nota 1 a la entrada se ha añadido.]
3.71
propietario del riesgo
persona o entidad que tiene la responsabilidad y la autoridad para gestionar una riesgo ( 3.61 ) [Fuente: Guía
ISO 73: 2009, 3.5.1.5]
3.72
tratamiento del riesgo
proceso ( 3.54 ) Modificar riesgo ( 3.61 ) Nota 1 a la entrada: El
tratamiento del riesgo puede implicar:
- evitando el riesgo al decidir no iniciar o continuar con la actividad que da lugar al riesgo;
- teniendo o el aumento de riesgo con el fin de perseguir una oportunidad;
- eliminación de la fuente de riesgos;
- cambiando el verosimilitud ( 3.40 );
- cambiando el Consecuencias ( 3.12 );
- compartir el riesgo con la otra parte o partes (incluyendo los contratos y la financiación del riesgo);
- retener el riesgo por la elección informada.
Nota 2 de la entrada: tratamientos de riesgo que tienen que ver con las consecuencias negativas se refieren a veces como “mitigación de riesgos”, “eliminación de riesgos”,
“prevención de riesgos” y “reducción del riesgo”. Nota 3 a la entrada: El tratamiento del riesgo puede crear nuevos riesgos o modificar los riesgos existentes.
[Fuente: Guía ISO 73:. 2009, 3.8.1, modificada - “decisión” ha sido sustituida por la “elección” en la Nota 1 a la entrada]
3.73
estándar de implementación de seguridad
documento que especifica formas autorizadas para la ejecución de garantías
3,74
amenaza
potencial causa de un incidente no deseado, que puede resultar en daño a un sistema o organización ( 3.50 )
3.75
la alta dirección
persona o grupo de personas que dirige y controla una organización ( 3.50 ) Al más alto nivel la Nota 1 de la entrada: La alta dirección
tiene la facultad de delegar autoridad y proporcionar recursos dentro de la organización.
Nota 2 a la entrada: Si el alcance de la sistema de gestión ( 3.41 ) Cubre sólo una parte de una organización, a continuación, la alta dirección se refiere a
aquellos que dirigen y controlan esa parte de la organización.

ISO / IEC 27000: 2018 (E)
Nota 3 a la entrada: La alta dirección se llama a veces la dirección ejecutiva y puede incluir directores generales, directores financieros,
directores de información, y funciones similares.
3.76
información fiable entidad de comunicación
autónomo organización ( 3.50 ) Que soporta el intercambio de información dentro de una comunidad de intercambio de información ( 3.34 )
3.77
vulnerabilidad
debilidad de un activo o de control ( 3.14 ) Que puede ser explotada por uno o más (amenazas 3.74 )
4 sistemas de gestión de seguridad de la información
4.1 Generalidades
Organizaciones de todos los tipos y tamaños:
a), procesar, almacenar, y la información de transmisión a cobro revertido;
b) reconocer que la información y procesos relacionados, sistemas, redes y personas son activos importantes para el logro de objetivos
de la organización;
do) enfrentarse a una serie de riesgos que pueden afectar el funcionamiento de los activos; y
d) frente a su exposición al riesgo percibido por la implementación de controles de seguridad de la información. Toda la información en poder y
procesada por una organización está sujeta a amenazas de ataque, el error, la naturaleza (por ejemplo, inundaciones o incendios), etc., y está sujeta
a las vulnerabilidades inherentes a su uso. La seguridad de la información término generalmente se basa en la información que se considera como un
activo que tiene un valor que requiere protección apropiado, por ejemplo, contra la pérdida de disponibilidad, confidencialidad e integridad. Activación
de información precisa y completa que esté disponible de manera oportuna a las personas con una necesidad autorizado es un catalizador para la
eficiencia del negocio.
La protección de los activos de información a través de la definición, lograr, mantener y mejorar la seguridad de la información es efectivamente
esencial para permitir a una organización para lograr sus objetivos, y mantener y mejorar su cumplimiento legal y la imagen. Estas actividades
coordinadas que dirigen la implementación de controles adecuados y tratamiento de los riesgos de seguridad de información inaceptable se
conocen generalmente como elementos de gestión de seguridad de la información.
A medida que corre el riesgo de seguridad de la información y la eficacia de los controles de cambio en función de las circunstancias cambiantes, las
organizaciones necesitan:
a) supervisar y evaluar la eficacia de los controles y procedimientos implementados;
b) identificar los riesgos a ser tratados emergentes; y
c) seleccionar, implementar y mejorar los controles apropiados según sea necesario.
Interrelacionar y coordinar dichas actividades de seguridad de la información, cada organización debe establecer su política y objetivos de
seguridad de la información y alcanzar estos objetivos de manera efectiva mediante el uso de un sistema de gestión.
4.2 ¿Qué es un SGSI?
4.2.1 Descripción y principios
Un SGSI se compone de las políticas, procedimientos, pautas y recursos y actividades asociadas, gestionadas colectivamente por
una organización, en la búsqueda de la protección de sus activos de información. Un SGSI es un enfoque sistemático para
establecer, implementar, operar, monitorear, revisar, mantener

ISO / IEC 27000: 2018 (E)
y mejorar la seguridad de la información de una organización para alcanzar los objetivos de negocio. Se basa en una evaluación del riesgo y los
niveles de aceptación del riesgo de la organización diseñada para riesgos efectivamente tratar y manejar. El análisis de los requisitos para la
protección de los activos de información y la aplicación de controles adecuados para garantizar la protección de estos activos de información,
según sea necesario, contribuye a la implementación exitosa de un SGSI. Los siguientes principios fundamentales también contribuyen a la
implementación exitosa de un SGSI:
a) la conciencia de la necesidad de seguridad de la información;
b) la asignación de responsabilidades para la seguridad de la información;
do) la incorporación de compromiso de la dirección y de los intereses de las partes interesadas;
d) el aumento de los valores sociales;
e) evaluaciones de riesgo que determinan los controles apropiados para alcanzar niveles aceptables de riesgo;
f) la seguridad incorporado como un elemento esencial de las redes y sistemas de información;
g) la prevención activa y detección de incidentes de seguridad de la información;
h) garantizar un enfoque integral de la gestión de seguridad de la información;
i) una reevaluación continua de la seguridad de la información y haciendo de las modificaciones apropiadas.
4.2.2 Información
La información es un activo que, al igual que otros activos comerciales importantes, es esencial para el negocio de una organización y, por lo
tanto, necesita ser protegido de forma adecuada. La información puede ser almacenada en muchas formas, incluyendo: forma digital (por
ejemplo, archivos de datos almacenados en medios electrónicos u ópticos), forma de material (por ejemplo en el papel), así como la
información no representados en la forma de conocimiento de los empleados. La información puede ser transmitida por varios medios,
incluyendo: mensajería, comunicación electrónica o verbal. Cualquier información que toma forma o el medio por el cual se transmite, que
siempre necesita una protección adecuada. En muchas organizaciones, la información depende de la tecnología de la información y las
comunicaciones. Esta tecnología es a menudo un elemento esencial en la organización y ayuda a facilitar la creación, procesamiento,
almacenamiento, transmisión,
4.2.3 Seguridad de la información
seguridad de la información asegura la confidencialidad, disponibilidad e integridad de la información. seguridad de la información consiste en la
aplicación y gestión de los controles apropiados que implica la consideración de una amplia gama de amenazas, con el objetivo de garantizar el
éxito comercial sostenido y continuidad, y reducir al mínimo las consecuencias de los incidentes de seguridad de la información.
seguridad de la información se logra mediante la aplicación de un conjunto de aplicación de los controles, seleccionados a través del proceso de
gestión del riesgo elegida y gestionarse a través de un SGSI, incluidas las políticas, procesos, procedimientos, estructuras organizativas,
software y hardware para proteger los activos de información identificados. Estos controles deben especificarse, aplicación, seguimiento, revisar
y mejorar, cuando sea necesario, para asegurar que se cumplen los objetivos de seguridad y de negocios de información específica de la
organización. Se espera que los controles de seguridad de la información de interés para integrarse a la perfección con los procesos de negocio
de una organización.
4.2.4 Gestión
El tratamiento incluye actividades para dirigir, controlar y mejorar continuamente la organización dentro de las estructuras apropiadas. Las
actividades de manejo incluyen el acto, forma, o la práctica de la organización, manejo, dirigir, supervisar y controlar los recursos. Las
estructuras de gestión se extienden de una persona en una organización pequeña a las jerarquías de administración compuesto por
muchas personas en las grandes organizaciones.

ISO / IEC 27000: 2018 (E)
En términos de un SGSI, la gestión implica la supervisión y toma de decisiones necesarias para alcanzar los objetivos de negocio a
través de la protección de los activos de información de la organización. Gestión de seguridad de la información se expresa a través de
la formulación y aplicación de políticas de seguridad de información, procedimientos y directrices, que luego se aplican en toda la
organización por todas las personas asociadas con la organización.
4.2.5 Sistema de gestión
Un sistema de gestión utiliza un marco de recursos para lograr los objetivos de una organización. El sistema de gestión incluye la
estructura organizativa, las políticas, la planificación de actividades, responsabilidades, prácticas, procedimientos, procesos y recursos.
En cuanto a la seguridad de la información, un sistema de gestión permite a una organización:
a) cumplir los requisitos de seguridad de la información de los clientes y otras partes interesadas;
b) mejorar los planes y actividades de una organización;
c) cumplir con los objetivos de seguridad de la información de la organización;
d) cumplir con las regulaciones, leyes y mandatos de la industria; y
e) Gestión de los activos de información de una manera organizada que facilita la mejora continua y el ajuste a los objetivos actuales
de la organización.
4.3 Proceso de enfoque
Las organizaciones tienen que identificar y gestionar numerosas actividades con el fin de funcionar de manera efectiva y eficiente. Cualquier
actividad que utiliza recursos debe ser gestionado para permitir la transformación de insumos en productos que utilizan un conjunto de
actividades mutuamente relacionadas o que interactúan; esto también se conoce como un proceso. La salida de un proceso puede formar
directamente la entrada a otro proceso y, en general esta transformación se lleva a cabo bajo condiciones programadas y controladas. La
aplicación de un sistema de procesos dentro de una organización, junto con la identificación e interacciones de estos procesos, y su gestión,
puede ser denominado como un “enfoque de proceso”.
4.4 ¿Por qué es importante un SGSI
Los riesgos asociados con los activos de información de una organización deben ser abordados. El logro de la seguridad de la información
requiere la gestión del riesgo, y engloba los riesgos de las amenazas relacionadas con la tecnología asociados a todas las formas de
información dentro o utilizados por la organización física, humana y. Se espera que la adopción de un SGSI a ser una decisión estratégica
para una organización y es necesario que esta decisión se integran a la perfección, escala y se actualiza de acuerdo con las necesidades de
la organización.
El diseño e implementación de SGSI de una organización están influenciados por las necesidades y objetivos de la organización, los
requisitos de seguridad, los procesos de negocio empleados y el tamaño y estructura de la organización. El diseño y operación de un
SGSI necesita reflejar los intereses y las necesidades de seguridad de la información de todas las partes interesadas de la organización,
incluidos los clientes, proveedores, socios comerciales, accionistas y otros terceros pertinentes.
En un mundo interconectado, la información y los procesos relacionados, sistemas y redes constituyen activos críticos de negocio. Las
organizaciones y sus sistemas de información y las redes se enfrentan a amenazas a la seguridad de una amplia gama de fuentes, incluyendo
asistida por ordenador fraude, espionaje, sabotaje, vandalismo, incendios e inundaciones. El daño a los sistemas de información y redes
causados por código malicioso, la piratería informática, y ataques de denegación de servicio se han vuelto más común, más ambicioso, y cada
vez más sofisticados. Un SGSI es importante tanto para las empresas del sector público y privado. En cualquier industria, un SGSI es un
facilitador que apoya el comercio electrónico y es esencial para las actividades de gestión de riesgos. La interconexión de redes públicas y
privadas y el reparto de los activos de información aumentan la dificultad de controlar

ISO / IEC 27000: 2018 (E)
el acceso y la manipulación de la información. Además, la distribución de los dispositivos de almacenamiento móviles que contienen activos de
información puede debilitar la efectividad de los controles tradicionales. Cuando las organizaciones adoptan la familia SGSI de las normas, la
capacidad de aplicar los principios de seguridad de la información coherentes y mutuamente reconocibles se puede demostrar a los socios
comerciales y otras partes interesadas. seguridad de la información no siempre se tiene en cuenta en el diseño y desarrollo de sistemas de
información. Además, seguridad de la información es a menudo considerado como una solución técnica. Sin embargo, la seguridad de la
información que se puede lograr a través de medios técnicos está limitada, y puede ser ineficaz sin ser apoyado por la administración y
procedimientos apropiados en el contexto de un ISMS. La integración de la seguridad en un sistema de información funcionalmente completa
puede ser difícil y costoso. Un SGSI implica la identificación de los controles están en su lugar y requiere una cuidadosa planificación y atención
al detalle. Como un ejemplo, los controles de acceso, que puede ser técnica (lógico), físico, administrativa (gestión) o una combinación,
proporcionar un medio para asegurar que el acceso a los recursos de información está autorizada y restringidas en base a los requisitos de
seguridad de negocios y de información.
La adopción exitosa de un SGSI es importante que proteja los activos de información que permiten a una organización:
a) lograr una mayor seguridad de que sus activos de información están adecuadamente protegidos contra las amenazas de forma continua;
b) mantener un marco estructurado y global para identificar y evaluar los riesgos de seguridad de la información, seleccionar
y aplicar los controles aplicables, y medir y mejorar su eficacia;
c) mejorar continuamente su entorno de control; y
d) lograr efectivamente el cumplimiento legal y normativo.
4.5 El establecimiento, la supervisión, el mantenimiento y la mejora de un SGSI
4.5.1 Información general
Una organización necesita para llevar a cabo los siguientes pasos en el establecimiento, la supervisión, el mantenimiento y la mejora de su SGSI:
una) identificar los activos de información y sus requisitos de seguridad de la información asociadas (véase 4.5.2 );
b) evaluar los riesgos de seguridad de información (véase 4.5.3 ) Y los riesgos de seguridad de la información a tratar (ver 4.5.4 );
c) seleccionar y aplicar los controles pertinentes para gestionar los riesgos inaceptables (ver 4.5.5 );
d) vigilar, mantener y mejorar la eficacia de los controles asociados a los activos de información de la organización (véase 4.5.6
).
Para asegurar el SGSI es proteger eficazmente los activos de información de la organización de manera continua, es necesario que las etapas a)
hasta d) se repiten continuamente para identificar cambios en los riesgos o en las estrategias de la organización o los objetivos de negocio.
4.5.2 Identificación de los requisitos de seguridad de la información
Dentro de los objetivos de la estrategia y de negocios generales de la organización, su tamaño y su distribución geográfica, los requisitos de seguridad de
la información pueden ser identificados a través de una comprensión de lo siguiente:
una) identificados activos de información y su valor;
b) negocio necesita para procesamiento de la información, almacenamiento y comunicaciones;
do) requisitos legales, reglamentarios y contractuales.
La realización de una evaluación metódica de los riesgos asociados a los activos de información de la organización implica analizar las amenazas a
los activos de información, factores de vulnerabilidad ante la probabilidad de una amenaza

ISO / IEC 27000: 2018 (E)
materialización de los activos de información, y el impacto potencial de cualquier incidente de seguridad de la información sobre los activos de
información. Se espera que el gasto en los controles pertinentes a ser proporcional al impacto en el negocio percibido del riesgo se materialice.
4.5.3 La evaluación de los riesgos de seguridad de la información
La gestión de riesgos de seguridad de la información requiere un método de evaluación y tratamiento de riesgos adecuada que puede
incluir una estimación de los costes y beneficios, requisitos legales, las preocupaciones de los interesados, y otros insumos y variables
según el caso.
La evaluación de riesgos debe identificar, cuantificar y priorizar los riesgos contra los criterios de aceptación del riesgo y los objetivos relevantes
para la organización. Los resultados deberían guiar y determinar la acción adecuada gestión y las prioridades para la gestión de riesgos de
seguridad de la información y para la implementación de controles seleccionados para proteger contra estos riesgos. La evaluación de riesgos
debe incluir:
- el enfoque sistemático para estimar la magnitud de los riesgos (análisis de riesgo); y
- el proceso de comparar los riesgos estimados en función de criterios de riesgo para determinar la importancia de los riesgos (evaluación del
riesgo).
La evaluación de riesgos se debe realizar periódicamente para los cambios de dirección en los requisitos de seguridad de la información y de la
situación de riesgo, por ejemplo, en los activos, amenazas, vulnerabilidades, impactos, la evaluación de riesgos, y cuando se producen cambios
significativos. Estas evaluaciones de riesgo deben llevarse a cabo de una manera metódica capaz de producir resultados comparables y
reproducibles.
La evaluación de los riesgos de seguridad de información debe tener un ámbito claramente definido con el fin de ser eficaz y debe incluir las relaciones con
las evaluaciones de riesgo en otras áreas, en su caso. ISO / IEC 27005 proporciona información de guía de gestión de riesgos de seguridad, incluido el
asesoramiento sobre la evaluación de riesgos, el tratamiento del riesgo, aceptación de riesgos, informes de riesgo, el monitoreo de riesgos y revisión de
riesgo. Ejemplos de metodologías de evaluación de riesgo se incluyen también.
4.5.4 Tratamiento de los riesgos de seguridad de la información
Antes de considerar el tratamiento de un riesgo, la organización debería definir criterios para determinar si o no los riesgos pueden ser
aceptadas. Los riesgos pueden ser aceptados si, por ejemplo, se considera que el riesgo es bajo o que el costo del tratamiento no es
rentable para la organización. Tales decisiones deben ser registradas.
Para cada uno de los riesgos identificados a raíz de la evaluación de riesgos, una decisión de tratamiento de riesgos necesita ser hecho. Las posibles opciones para el
tratamiento del riesgo se incluyen los siguientes:
a) aplicar controles apropiados para reducir los riesgos;
b) aceptar a sabiendas y objetivamente los riesgos, siempre que satisfagan claramente la política y los criterios de aceptación del riesgo de la
organización;
c) evitar riesgos al no permitir acciones que causarían los riesgos de que se produzca;
d) el intercambio de los riesgos asociados a otras partes, por ejemplo, los aseguradores o proveedores. En los riesgos en que la decisión del tratamiento
del riesgo ha sido aplicar los controles adecuados, estos controles deben ser seleccionados e implementados.
4.5.5 Selección y controles de ejecución
Una vez se han identificado los requisitos de seguridad de la información (véase 4.5.2 ), Seguridad de la información corre el riesgo de que los
activos de información al que se han determinado y evaluado (ver 4.5.3 ) Y las decisiones de la

ISO / IEC 27000: 2018 (E)
el tratamiento de los riesgos de seguridad de la información se han hecho (ver 4.5.4 ), Entonces la selección e implementación de controles para la reducción del riesgo
se aplican.
Los controles deben asegurar que los riesgos se reducen a un nivel aceptable teniendo en cuenta lo siguiente:
a) los requisitos y las limitaciones de la legislación y la normativa nacional e internacional;
b) objetivos de la organización;
c) requisitos y restricciones operacionales;
d) su costo de implementación y funcionamiento en relación con los riesgos que se reduce y queda proporcional a los
requisitos y limitaciones de la organización;
e) sus objetivos para monitorear, evaluar y mejorar la eficiencia y eficacia de los controles de seguridad de la información para apoyar los
objetivos de la organización. La selección y la implementación de los controles deben ser documentados dentro de una declaración de
aplicabilidad para ayudar con los requisitos de cumplimiento;
f) la necesidad de equilibrar la inversión en la implementación y operación de los controles contra la pérdida probable que el resultado de los incidentes
de seguridad de la información.
Los controles especificados en la norma ISO / IEC 27002 son reconocidas como las mejores prácticas aplicables a la mayoría de las organizaciones y
fácilmente adaptadas para dar cabida a las organizaciones de diversos tamaños y complejidades. Otras normas en la familia SGSI de las normas
proporcionan orientación sobre la selección y aplicación de la norma ISO / IEC 27002 controles para el SGSI.
controles de seguridad de la información deben ser considerados en la especificación de sistemas y requisitos del proyecto y la etapa de diseño. El no
hacerlo puede resultar en costes adicionales y las soluciones menos eficaces, y, en el peor de los casos, la incapacidad para lograr una seguridad
adecuada. Los controles pueden ser seleccionados de ISO / IEC 27002 o de otros conjuntos de control. Por otra parte, los nuevos controles pueden ser
diseñados para satisfacer las necesidades específicas de la organización. Es necesario reconocer la posibilidad de que algunos controles no ser
aplicables a todos los sistemas de información o el medio ambiente, y no ser factible para todas las organizaciones. A veces, la implementación de un
conjunto seleccionado de los controles de toma tiempo y, durante ese tiempo, el nivel de riesgo puede ser más alto que puede ser tolerado en una base a
largo plazo. Los criterios de riesgo deben cubrir la tolerabilidad de los riesgos sobre una base a corto plazo, mientras que los controles están siendo
implementados. Los interesados deben ser informados de los niveles de riesgo que están proyectados o anticipados en diferentes puntos en el tiempo
como controles se implementan progresivamente.
Se debe tener en cuenta que ningún conjunto de controles de seguridad de la información puede alcanzar completa. medidas de gestión
adicionales deben ser implementados para monitorear, evaluar y mejorar la eficiencia y efectividad de los controles de seguridad de la información
para apoyar los objetivos de la organización.
La selección y la implementación de los controles deben ser documentados dentro de una declaración de aplicabilidad para ayudar con los requisitos
de cumplimiento.
4.5.6 monitor, mantener y mejorar la eficacia del SGSI
Una organización necesita para mantener y mejorar el SGSI a través del seguimiento y la evaluación de desempeño contra las políticas y
objetivos de la organización, e informando de los resultados a la gerencia para su revisión. Este ISMS crítica comprueba que el ISMS
incluye controles especificados que son adecuados para tratar los riesgos dentro del alcance ISMS. Por otra parte, con base en los
registros de estas zonas vigiladas, proporciona pruebas de verificación y trazabilidad de las acciones correctivas, preventivas y de mejora.
4.5.7 Mejora continua
El objetivo de la mejora continua de un SGSI es aumentar la probabilidad de alcanzar los objetivos relativos a la preservación de la
confidencialidad, disponibilidad e integridad de la información. El enfoque de mejora continua está buscando oportunidades de mejora
y no el supuesto de que las actividades de gestión existentes son lo suficientemente buenos o tan bueno como sea posible.
dieciséis © ISO / IEC 2018 - Todos los derechos reservados

ISO / IEC 27000: 2018 (E)
Acciones de mejora incluyen los siguientes:
a) análisis y evaluación de la situación existente para identificar áreas de mejora;
b) el establecimiento de los objetivos de mejora;
c) en busca de posibles soluciones para lograr los objetivos;
d) la evaluación de estas soluciones y hacer una selección;
mi) la aplicación de la solución seleccionada;
f) la medición, verificación, análisis y evaluación de resultados de la aplicación para determinar que se han cumplido los objetivos;
g) los cambios de formalización.
Los resultados se revisan, cuando es necesario, para determinar oportunidades adicionales de mejora. De esta manera, la mejora es una actividad
continua, es decir, las acciones se repiten con frecuencia. La retroalimentación de los clientes y otras partes interesadas, las auditorías y revisión del
sistema de gestión de seguridad de la información también se puede utilizar para identificar oportunidades de mejora.
4.6 ismos factores críticos de éxito
Un gran número de factores que son críticos para la implementación exitosa de un SGSI para permitir que una organización para cumplir con
sus objetivos de negocio. Ejemplos de factores críticos de éxito incluyen lo siguiente:
una) seguridad de la información de política, objetivos y actividades alineadas con los objetivos;
b) un enfoque y un marco para el diseño, implementación, monitoreo, mantenimiento y mejora de seguridad de la información
consistente con la cultura de la organización;
c) el apoyo visible y el compromiso de todos los niveles de gestión, especialmente la alta dirección;
d) una comprensión de los requisitos de protección de activos de información logra a través de la aplicación de gestión de riesgos de seguridad de la
información (véase la norma ISO / IEC 27005);
e) una conciencia efectiva seguridad de la información, el programa de educación y formación, informar a todos los empleados y otras partes
pertinentes de sus obligaciones de información de seguridad establecidos en las políticas de seguridad de la información, normas, etc.,
y motivarlos a actuar en consecuencia;
f) un proceso eficaz de información de seguridad de gestión de incidencias;
g) un enfoque eficaz de gestión de la continuidad del negocio;
h) un sistema de medición utilizado para evaluar el desempeño en la gestión y seguridad de la información de retroalimentación
sugerencias de mejora.
Un SGSI aumenta la probabilidad de lograr una organización coherente de los factores de éxito críticos necesarios para proteger sus
activos de información.
4.7 Ventajas de la familia de normas de SGSI
Los beneficios de la aplicación de un ISMS resultan principalmente de una reducción de los riesgos de seguridad de la información (es decir, reducir
la probabilidad de y / o el impacto causado por incidentes seguridad de la información). En concreto, los beneficios realizados por una organización
para lograr el éxito sostenible a partir de la adopción de la familia SGSI de las normas incluyen los siguientes:
a) un marco estructurado apoyar el proceso de especificación, implementación, operación y mantenimiento de una amplia y
rentable, la creación de valor, integrado y alineado ISMS que satisfaga las necesidades de la organización a través de
diferentes operaciones y lugares;

ISO / IEC 27000: 2018 (E)
b) asistencia para la gestión en el manejo consistente y operar de manera responsable su enfoque hacia la gestión de seguridad
de la información, en el contexto de la gestión de riesgos y gobierno corporativo, incluyendo la educación y los propietarios
de negocios y sistemas de formación sobre la gestión integral de la seguridad de la información;
c) promoción de la aceptados a nivel mundial, las buenas prácticas de seguridad de la información de una manera no prescriptiva, que dan a las
organizaciones la flexibilidad para adoptar y mejorar los controles pertinentes que se adapten a sus circunstancias específicas y para mantenerlos
en la cara de los cambios internos y externos;
d) la provisión de un lenguaje común y base conceptual para la seguridad de la información, lo que facilita la confianza lugar en socios de
negocios con un ISMS compatibles, especialmente si requieren certificación según la norma ISO / IEC 27001 por un organismo de
certificación acreditado;
mi) aumento de la confianza de las partes interesadas en la organización;
f) que satisface las necesidades y expectativas de la sociedad;
g) La gestión económica más eficaz de las inversiones en seguridad de la información.
familia 5 SGSI de las normas
5.1 Información general
La familia de normas de SGSI se compone de normas relacionadas entre sí, ya publicados o en desarrollo, y contiene una
serie de componentes estructurales importantes. Estos componentes se centran en:
- requisitos de las normas que describen ISMS (ISO / IEC 27001);
- requisitos organismo de certificación (ISO / IEC 27006) para aquellos conformidad de certificación con la norma ISO / IEC 27001; y
- marco adicional exigencia para las implementaciones específicas de sector de los ISMS (ISO / IEC 27009). Otros documentos proporcionan una
guía para los diversos aspectos de una implementación de SGSI, dirigiéndose a un proceso genérico, así como orientación específica del sector.
Las relaciones entre la familia de normas de SGSI se ilustran en Figura 1 .

ISO / IEC 27000: 2018 (E)
Vocabulario -
27000
cláusula 5.2
parámetros de
requerimientos
27001 27006 27009
Cláusula 5.3
la familia de normas de SGSI
27002 27003 27004 27005 27007 TR 27008

normas directrices
-
Cláusula 5.4 estándar
27013 27014 TR 27016 27021
normas directrices ic
sector especí - 27010 27011 27017 27018 27019
cláusula 5.5
normas directrices de control ic-específica 2703x 2704x

(Fuera del alcance de este documento)
Figura 1 - la familia SGSI de las relaciones de normalización
Cada una de las normas de la familia ISMS se describe a continuación por su tipo (o papel) dentro de la familia de normas ISMS y su número de
referencia.
5.2 Estándar que describe una visión general y la terminología: ISO / IEC 27000 (este documento)
Tecnología de la información - Técnicas de seguridad - Sistemas de gestión de seguridad de la información - Información general y vocabulario
Alcance: Este documento proporciona a las organizaciones e individuos:
a) una descripción general de la familia SGSI de las normas;
b) una introducción a los sistemas de gestión de seguridad de la información; y
c) los términos y definiciones utilizados en toda la familia de normas de SGSI.
Propósito: Este documento describe los fundamentos de los sistemas de gestión de seguridad de la información, que forman el tema de la
familia SGSI de las normas y define los términos relacionados.
5.3 Requisitos Las normas que especifican
5.3.1 ISO / IEC 27001
Tecnología de la información - Técnicas de seguridad - Sistemas de gestión de seguridad de la información - Requisitos
Alcance: Este documento especifica los requisitos para establecer, implementar, operar, monitorear, revisar, mantener y mejorar los sistemas
de gestión de seguridad de la información (SGSI) formalizado en el contexto de los riesgos de negocio globales de la organización. Especifica
los requisitos para la aplicación de los controles de seguridad de la información a medida de las necesidades de las organizaciones individuales
o partes de los mismos. Este documento puede ser utilizado por todas las organizaciones, independientemente del tipo, tamaño y naturaleza.

ISO / IEC 27000: 2018 (E)
Propósito: ISO / IEC 27001 proporciona requisitos normativos para el desarrollo y el funcionamiento de un SGSI, incluyendo un conjunto
de controles para el control y mitigación de los riesgos asociados a los activos de información que la organización trata de proteger al
operar su SGSI. Las organizaciones que operan un SGSI pueden tener su conformidad auditado y certificado. Los objetivos de control y
controles de ISO / IEC 27001: 2013, Anexo A se seleccionarán como parte de este proceso ISMS como adecuado para cubrir los
requisitos identificados. Los objetivos de control y controles listados en la norma ISO / IEC 27001: 2013, Tabla A.1 se derivan
directamente de y alineados con los enumerados en ISO / IEC 27002: 2013, cláusulas 5 a 18.
5.3.2 ISO / IEC 27006
Tecnología de la información - Técnicas de seguridad - Requisitos para los organismos que realizan la auditoría y certificación de sistemas de gestión de
seguridad de la información
Alcance: Este documento especifica los requerimientos y proporciona una guía para los organismos que realizan la auditoría y la certificación ISMS
de acuerdo con ISO / IEC 27001, además de los requisitos de contenido dentro de la norma ISO / IEC 17021. Se pretende principalmente para
apoyar la acreditación de organismos de certificación que proporcionan certificación ISMS según ISO / IEC 27001.
Los requisitos contenidos en este documento es necesario demostrar en términos de competencia y fiabilidad por cualquier persona que
proporcionan la certificación de SGSI, y las directrices contenidas en este documento proporciona la interpretación adicional de estos
requisitos para cualquiera que proporciona certificación del SGSI.
Propósito: ISO / IEC 27006 suplementos ISO / IEC 17021 en la prestación de los requisitos por los cuales están acreditados organizaciones de certificación,
por lo tanto permitiendo que estas organizaciones para proporcionar los certificados de cumplimiento sistemáticamente en contra de los requisitos
establecidos en la norma ISO / IEC 27001.
5.3.3 ISO / IEC 27009
Tecnología de la información - Técnicas de seguridad - Sector de la específica de la norma ISO / IEC 27001 - Requisitos
Alcance: Este documento define los requisitos para el uso de la norma ISO / IEC 27001 en cualquier sector específico (campo, área de aplicación o
sector de mercado). En él se explica cómo incluir requisitos adicionales a los de la norma ISO / IEC 27001, la forma de perfeccionar cualquiera de los
requisitos 27001 ISO / IEC, y cómo incluir controles o conjuntos de control, además de la norma ISO / IEC 27001: 2013, Anexo A.
Propósito: ISO / IEC 27009 garantiza que los requisitos adicionales o refinados no están en conflicto con los requisitos de la norma ISO / IEC
27001.
5.4 Normas describe directrices generales
5.4.1 ISO / IEC 27002
Tecnología de la información - Técnicas de seguridad - Código de prácticas para los controles de seguridad de la información
Alcance: En este documento se ofrece una lista de objetivos de control comúnmente aceptados y las mejores controles de prácticas para ser utilizado como
una guía de implementación en la selección e implementación de controles para lograr la seguridad de la información.
Propósito: ISO / IEC 27002 proporciona orientación sobre la aplicación de los controles de seguridad de la información. En concreto, las cláusulas de 5 a 18
proporcionan asesoramiento aplicación específica y orientación sobre las mejores prácticas en apoyo de los controles especificados en la norma ISO / IEC
27001: 2013, A.5 a A.18.
5.4.2 ISO / IEC 27003
Tecnología de la información - Técnicas de seguridad - gestión de seguridad de la información -Orientación
Alcance: Este documento proporciona una explicación y orientación en la norma ISO / IEC 27001: 2013.

ISO / IEC 27000: 2018 (E)
Propósito: ISO / IEC 27003 proporciona un fondo para la implementación exitosa del SGSI según ISO / IEC 27001.
5.4.3 ISO / IEC 27004
Tecnología de la información - Técnicas de seguridad - gestión de la seguridad de la información - de seguimiento, medición, análisis y
evaluación
Alcance: Este documento proporciona directrices destinadas a ayudar a las organizaciones a evaluar el rendimiento de la seguridad de la
información y la efectividad del SGSI con el fin de cumplir con los requisitos de la norma ISO / IEC 27001: 2013, 9.1. Se dirige a:
a) el seguimiento y la medición del rendimiento de la seguridad de la información;
b) el seguimiento y medición de la eficacia de un sistema de gestión de seguridad de la información (ISMS) incluyendo sus
procesos y controles;
c) el análisis y la evaluación de los resultados de la supervisión y la medición.
Propósito: ISO / IEC 27004 proporciona un marco que permite una evaluación de ISMS eficacia que se mide y se evalúa de
acuerdo con ISO / IEC 27001.
5.4.4 ISO / IEC 27005
Tecnología de la información - Técnicas de seguridad - la gestión de riesgos de seguridad de información
Alcance: Este documento proporciona directrices para la gestión de riesgos de seguridad de la información. El enfoque descrito en este documento es
compatible con los conceptos generales especificados en la norma ISO / IEC 27001.
Propósito: ISO / IEC 27005 proporciona orientación sobre la aplicación de un enfoque de gestión de riesgos orientado a los procesos para ayudar en la
implementación y el cumplimiento de los requisitos de gestión de riesgos de seguridad de información de la norma ISO / IEC 27001 satisfactoria.
5.4.5 ISO / IEC 27007
Tecnología de la información - Técnicas de seguridad - Directrices para los sistemas de gestión de seguridad de la información de auditoría
Alcance: Este documento proporciona orientación sobre la realización de auditorías de SGSI, así como orientación sobre la competencia de los auditores
de sistemas de gestión de seguridad de la información, además de la orientación contenida en la norma ISO 19011, que es aplicable a los sistemas de
gestión en general.
Propósito: ISO / IEC 27007 proporcionará orientación a las organizaciones que tienen que realizar auditorías internas o externas de un SGSI o para
gestionar un programa de auditoría ISMS en contra de los requisitos especificados en la norma ISO / IEC 27001.
5.4.6 ISO / IEC TR 27008
Tecnología de la información - Técnicas de seguridad - Directrices para los auditores sobre los controles de seguridad de la información
Alcance: Este documento proporciona una guía sobre la revisión de la implementación y operación de los controles, incluyendo la comprobación de la
conformidad técnica de los controles del sistema de información, de conformidad con las normas establecidas de seguridad de información de una
organización.
Propósito: Este documento proporciona un enfoque en la revisión de los controles de seguridad de la información, incluido el control de la conformidad técnica,
frente a un patrón de implementación de seguridad de la información, que es establecido por la organización. No tiene la intención de proporcionar una orientación
específica sobre la comprobación del cumplimiento de medición, evaluación de riesgos en relación con la auditoría o de un SGSI según lo especificado en la
norma ISO / IEC 27004, ISO / IEC 27005 o ISO / IEC 27007, respectivamente. Esto no pretende documentis para las auditorías de sistemas de gestión.

ISO / IEC 27000: 2018 (E)
5.4.7 ISO / IEC 27013
Tecnología de la información - Técnicas de seguridad - Guía para la aplicación integrada de la norma ISO / IEC 27001 y ISO / IEC
20000-1
Alcance: Este documento proporciona una guía sobre la aplicación integrada de la norma ISO / IEC 27001 e ISO / IEC 20000-1 para las
organizaciones que tienen la intención de cualquiera:
una) implementar ISO / IEC 27001 cuando ISO / IEC 20000-1 ya está implementado, o viceversa;
b) aplicar tanto ISO / IEC 27001 y ISO / IEC 20000-1 juntos;
do) integrar los sistemas de gestión existentes basados en la norma ISO / IEC 27001 e ISO / IEC 20000-1. Este documento se centra exclusivamente
en la aplicación integrada de un sistema de gestión de seguridad de la información (SGSI) según se especifica en la norma ISO / IEC 27001 y un sistema
de gestión de servicios (SMS) como se especifica en la norma ISO / IEC 20000-1.
En la práctica, la norma ISO / IEC 27001 e ISO / IEC 20000-1 también se puede integrar con otras normas de sistemas de gestión, tales como ISO
9001 e ISO 14001.
Propósito: Para proporcionar a las organizaciones una mejor comprensión de las características, similitudes y diferencias de la norma ISO / IEC
27001 e ISO / IEC 20000-1 para ayudar en la planificación de un sistema de gestión integrado que se ajusta a las Normas Internacionales de
ambos.
5.4.8 ISO / IEC 27014
Tecnología de la información - Técnicas de seguridad - Gobierno de seguridad de la información
Alcance: En este documento se proporcionará orientación sobre los principios y procesos para la gestión de la seguridad de la información,
mediante el cual las organizaciones pueden evaluar, dirigir y supervisar la gestión de la seguridad de la información.
Propósito: seguridad de la información se ha convertido en una cuestión clave para las organizaciones. No sólo hay aumento de los requisitos
normativos, sino también a la falta de medidas de seguridad de la información de una organización puede tener un impacto directo en la reputación
de una organización. Por lo tanto, los órganos de gobierno, como parte de sus responsabilidades de gobierno, se necesitan cada vez más tener la
supervisión de seguridad de la información para asegurar el logro de los objetivos de la organización.
5.4.9 ISO / IEC TR 27016
Tecnología de la información - Técnicas de seguridad - gestión de la seguridad de la información - Economía de las Organizaciones
Alcance: Este documento proporciona una metodología permite a las organizaciones a comprender mejor económicamente cómo valorar con
mayor precisión sus activos de información identificadas, el valor de los posibles riesgos para los activos de información, apreciar el valor que
los controles de protección de la información ofrecen a estos activos de información, y determinar el nivel óptimo de los recursos para ser
aplicado en la obtención de estos activos de información.
Propósito: Este documento complementa la familia SGSI de las normas por la superposición de una perspectiva económica en la protección
de los activos de información de una organización en el contexto del entorno social más amplio en el que opera una organización y
proporcionar orientación sobre cómo aplicar economía de las organizaciones de seguridad de la información mediante el uso de modelos y
ejemplos.
5.4.10 ISO / IEC 27021
Tecnología de la información - Técnicas de seguridad - gestión de la seguridad de la información - Requisitos de competencia para los profesionales
de sistemas de gestión de seguridad de la información

ISO / IEC 27000: 2018 (E)
Alcance: Este documento especifica los requisitos de competencia para los profesionales de ISMS principales o involucrados en establecer,
implementar, mantener y mejorar continuamente uno o más procesos del sistema de información de gestión de la seguridad que se ajusta a la
norma ISO / IEC 27001: 2013.
Propósito: Este documento es para uso por:
una) las personas que desean demostrar su competencia como sistema de información de gestión de la seguridad (ISMS)
profesionales, o que desean comprender y llevar a cabo las competencias necesarias para trabajar en esta área, así como el
deseo de ampliar sus conocimientos,
b) las organizaciones que buscan potenciales ISMS candidatos profesionales para definir las competencias necesarias para las posiciones en papeles
relacionados ISMS,
c) los organismos que desarrollan certificación para los profesionales del SGSI que necesitan un cuerpo de conocimiento (BOK) para fuentes de examen, y
d) las organizaciones de educación y formación, como las universidades y las instituciones de formación profesional, para alinear sus programas y
cursos a los requisitos de competencia para los profesionales del SGSI.
5.5 Normas que describen directrices específicas del sector
5.5.1 ISO / IEC 27010
Tecnología de la información - Técnicas de seguridad - gestión de seguridad de la información para las comunicaciones inter-sectoriales e
inter-organizacionales
Alcance: Este documento proporciona directrices, además de la orientación dada en la norma ISO / IEC 27000 familia de estándares para la
implementación de la gestión de seguridad de la información dentro de las comunidades de intercambio de información.
Este documento proporciona controles y orientaciones relativas específicamente a iniciar, implementar, mantener y mejorar la
seguridad de la información en las comunicaciones inter-organizacionales e inter-sectoriales.
Propósito: Este documento es aplicable a todas las formas de intercambio y difusión de información sensible, tanto públicas como privadas, a
nivel nacional e internacional, dentro del mismo sector de la industria o mercado o entre sectores. En particular, puede ser aplicable a los
intercambios de información y compartir en relación con el suministro, mantenimiento y protección de la infraestructura crítica del estado de
una organización o.
5.5.2 ISO / IEC 27011
Tecnología de la información - Técnicas de seguridad - Código de prácticas para los controles de seguridad de la información basada en ISO / IEC 27002 los
organismos de telecomunicaciones
Alcance: Este documento proporciona directrices que fomenten la aplicación de los controles de seguridad de la información en las organizaciones
de telecomunicaciones.
Propósito: ISO / IEC 27011 permite a las empresas de telecomunicaciones a las necesidades de gestión de seguridad de la información se encuentran la
línea de base de la confidencialidad, integridad, disponibilidad y cualquier otra propiedad de seguridad pertinentes.
5.5.3 ISO / IEC 27017
Tecnología de la información - Técnicas de seguridad - Código de prácticas para los controles de seguridad de la información basada en ISO / IEC 27002 para servicios
en la nube
Alcance: ISO / IEC 27017 proporciona directrices para los controles de seguridad de información aplicables a la prestación y utilización de servicios en la nube,
proporcionando:
- una guía de implementación adicional para los controles pertinentes especificados en la norma ISO / IEC 27002;

ISO / IEC 27000: 2018 (E)
- controles adicionales con una guía de implementación que se refieren específicamente a servicios en la nube.
Propósito: Este documento proporciona controles y orientaciones para la aplicación tanto para los proveedores de servicios en la nube y los clientes de
servicios de nube.
5.5.4 ISO / IEC 27018
Tecnología de la información - Técnicas de seguridad - Código de prácticas para la protección de información de identificación personal (PII) en nubes
públicas actúan como procesadores PII
Alcance: ISO / IEC 27018 establece comúnmente aceptados objetivos de control, controles y directrices para la implementación de medidas para
proteger la información de identificación personal (PII) personalmente de acuerdo con los principios de privacidad en la norma ISO / IEC 29100 para el
entorno informático de nube pública.
Propósito: Este documento es aplicable a las organizaciones, incluyendo públicos y empresas privadas, entidades gubernamentales y organizaciones
sin fines de lucro, que proporcionan servicios de procesamiento de información como procesadores PII a través de la nube de computación bajo
contrato con otras organizaciones. Las directrices de este documento también pueden ser relevantes para las organizaciones que actúan como
controladores de PII. Sin embargo, es posible que los controladores PII estar sujetos a la legislación de protección adicional PII, regulaciones y
obligaciones, no se aplica a los procesadores PII, y estos no están cubiertos en este documento.
5.5.5 ISO / IEC 27019
Tecnología de la información - Técnicas de seguridad - controles de seguridad de la información para la industria de servicios de energía
Alcance: Este documento proporciona orientación basado en ISO / IEC 27002: 2013 aplicada a los sistemas de control de procesos utilizados
por la industria de servicios de energía para controlar y supervisar la producción o generación, transmisión, almacenamiento y distribución de
energía eléctrica, gas, aceite y al calor, y para el control de los procesos de soporte asociadas. Esto incluye, en particular, las siguientes:
- control de proceso central y distribuido, el seguimiento y la tecnología de automatización, así como sistemas de información utilizados para
su funcionamiento, tales como dispositivos de programación y de parametrización;
- controladores digitales y componentes de automatización tales como dispositivos de control y de campo o los controladores lógicos programables
(PLCs), incluyendo sensor digital y de accionadores elementos;
- todo más el apoyo a sistemas de información utilizados en el dominio de control de procesos, por ejemplo para tareas de visualización de datos
suplementarios y para controlar, el seguimiento, el archivado de datos, el registro de historiador, informes y documentación fines;
- tecnología de comunicación utilizado en el dominio de control de procesos, por ejemplo, redes, telemetría, aplicaciones de telecontrol y
tecnología de control remoto;
- infraestructura de medición avanzada (AMI) componentes, por ejemplo, contadores inteligentes;
- dispositivos de medición, por ejemplo, para valores de emisión;
- sistemas digitales de protección y seguridad, por ejemplo, los relés de protección, los PLC de seguridad, mecanismos de gobernador de emergencia;
- sistemas de gestión de energía, por ejemplo, de los recursos energéticos distribuidos (DER), infraestructuras de recarga eléctrica, en
las casas privadas, edificios de viviendas o instalaciones de clientes industriales;
- componentes distribuidos de entornos de redes inteligentes, por ejemplo, en las redes de energía, en las casas privadas, edificios de viviendas o
instalaciones de clientes industriales;
- Todo el software, firmware y aplicaciones instaladas en los sistemas anteriormente -mentioned, por ejemplo DMS (sistema de gestión de la distribución) o
aplicaciones de OMS (sistema de gestión de interrupciones);
- cualquier local que alojan los equipos y sistemas anteriormente mencionado;

ISO / IEC 27000: 2018 (E)
- sistemas de mantenimiento a distancia para sistemas mencionados anteriormente.
Este documento no se aplica al dominio de control de procesos de las instalaciones nucleares. Este dominio está cubierto por la norma IEC 62645.
Este documento también incluye un requisito para adaptar los procesos de evaluación y tratamiento de riesgos descritos en la norma ISO / IEC 27001: 2013
para la orientación específica al sector industria de servicios públicos de energía proporcionada en este documento.
Propósito: Además de los objetivos y medidas de seguridad que se establecen en la norma ISO / IEC 27002, este documento proporciona directrices para los
sistemas utilizados por los servicios públicos de energía y proveedores de energía en los controles de seguridad de la información que analizar con más detalle,
requisitos especiales.
5.5.6 ISO 27799
informática de la salud - gestión de seguridad de la información en materia de salud que utilizan la norma ISO / IEC 27002
Alcance: Este documento da directrices para las normas de seguridad de la información de la organización y las prácticas de gestión de
seguridad de la información, incluida la selección, implementación y gestión de los controles, teniendo en cuenta el medio ambiente riesgo
seguridad de la información de la organización (s). Este documento proporciona una guía para la aplicación de los controles que se describen
en la norma ISO / IEC 27002 y suplementos cuando sea necesario, para que puedan ser utilizados eficazmente para la gestión de seguridad
de la información de salud.
Propósito: ISO 27799 proporciona a las organizaciones de salud con una adaptación de la norma ISO / IEC 27002 pautas únicas para su sector de la
industria que son adicionales a la orientación proporcionada en el cumplimiento de los requisitos de la norma ISO / IEC 27001: 2013, Anexo A.

ISO / IEC 27000: 2018 (E)
Bibliografía
[1] ISO 9000: 2015, sistemas de gestión de la calidad - Fundamentos y vocabulario
[2] ISO / IEC / IEEE 15939: 2017, Sistemas e ingeniería de software - Proceso de medición
[3] ISO / IEC 17021, evaluación de la conformidad - Requisitos para los organismos que realizan la auditoría y certificación de sistemas de gestión
[4] ISO 19011: 2011, Directrices para la auditoría de sistemas de gestión
[5] ISO / IEC 20000-1: 2011, Tecnología de la información - Gestión de servicios - Parte 1: Requisitos del sistema de gestión de
servicios
[6] ISO / IEC 27001, Tecnología de la información - Técnicas de seguridad - Sistemas de gestión de seguridad de la información - Requisitos
[7] ISO / IEC 27002, Tecnología de la información - Técnicas de seguridad - Código de prácticas para los controles de seguridad de la información
[8] ISO / IEC 27003, Tecnología de la información - Técnicas de seguridad - gestión de seguridad de la información
- Guia
[9] ISO / IEC 27004, Tecnología de la información - Técnicas de seguridad - gestión de la seguridad de la información - de
seguimiento, medición, análisis y evaluación
[10] ISO / IEC 27005, Tecnología de la información - Técnicas de seguridad - la gestión de riesgos de seguridad de información
[11] ISO / IEC 27006, Tecnología de la información - Técnicas de seguridad - Requisitos para los organismos que realizan la auditoría y
certificación de sistemas de gestión de seguridad de la información
[12] ISO / IEC 27007, Tecnología de la información - Técnicas de seguridad - Directrices para los sistemas de gestión de seguridad de la
información de auditoría
[13] ISO / IEC TR 27008, Tecnología de la información - Técnicas de seguridad - Directrices para los auditores sobre los controles de seguridad de la
información
[14] ISO / IEC 27009, Tecnología de la información - Técnicas de seguridad - Sector de la específica de la norma ISO / IEC 27001 -
Requisitos
[15] ISO / IEC 27010, Tecnología de la información - Técnicas de seguridad - gestión de seguridad de la información para las comunicaciones
inter-sectoriales e inter-organizacionales
[dieciséis] ISO / IEC 27011, Tecnología de la información - Técnicas de seguridad - Código de prácticas para los controles de seguridad de la información en base a la
norma ISO / IEC 27002 para las organizaciones de telecomunicaciones
[17] ISO / IEC 27013, Tecnología de la información - Técnicas de seguridad - Guía para la aplicación integrada de la norma ISO /
IEC 27001 e ISO / IEC 20000-1
[18] ISO / IEC 27014, Tecnología de la información - Técnicas de seguridad - Gobierno de seguridad de la información
[19] ISO / IEC TR 27016, Tecnología de la información - Técnicas de seguridad - gestión de la seguridad de la información - Economía de
las Organizaciones
[20] ISO / IEC 27017, Tecnología de la información - Técnicas de seguridad - Código de prácticas para los controles de seguridad de la información en base a la
norma ISO / IEC 27002 para los servicios en la nube
[21] ISO / IEC 27018, Tecnología de la información - Técnicas de seguridad - Código de prácticas para la protección de información de identificación
personal (PII) en nubes públicas actúan como procesadores PII

ISO / IEC 27000: 2018 (E)
[22] ISO / IEC 27019, Tecnología de la información - Técnicas de seguridad - controles de seguridad de información para la industria de servicios de
energía
[23] ISO / IEC 27021, Tecnología de la información - Técnicas de seguridad - Requisitos de competencia para los profesionales de sistemas de
gestión de seguridad de la información
[24] ISO 27799, informática de la salud - gestión de seguridad de la información en materia de salud que utilizan la norma ISO / IEC 27002
[25] Guía ISO 73: 2009, La gestión de riesgos - Vocabulario

ISO / IEC 27000: 2018 (E)
ICS 01.040.35; 03.100.70; 35.030

Precio basado en 27 páginas
© ISO / IEC 2018 - Todos los derechos reservados

ISO 27000 - 2018 Español

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

ISO 27000 - 2018 Español

Cargado por

Copyright:

Formatos disponibles

ESTÁNDAR ISO / IEC

Tecnología de la información - Técnicas de seguridad -

Tecnologías de la información - Técnicas de sécurité - Systèmes de gestión de

Número de referencia ISO

© ISO / IEC 2018

COPYRIGHT documento protegido

© ISO / IEC 2018

Oficina de Copyright de la norma ISO

ii © ISO / IEC 2018 - Todos los derechos reservados

Prefacio .................................................. .................................................. .................................................. .................................................. ................................ iv

Introducción .................................................. .................................................. .................................................. .................................................. .......................... v 1

Alcance .................................................. .................................................. .................................................. .................................................. ......................... 1 2

Referencias normativas .................................................. .................................................. .................................................. ................................ 1 3

Términos y definiciones .................................................. .................................................. .................................................. ............................... 1 4

sistemas de gestión de seguridad de información .................................................. .................................................. ..................... 11

5 la familia de normas de SGSI .................................................. .................................................. .................................................. ..................... 18

Bibliografía .................................................. .................................................. .................................................. .................................................. ..................... 26

© ISO / IEC 2018 - Todos los derechos reservados iii

- algunos términos y definiciones se han eliminado;

- cláusula 3 se ha alineado sobre la estructura de alto nivel para MSS;

- Anexos A y B se han eliminado.

iv © ISO / IEC 2018 - Todos los derechos reservados

0.1 Información general

0.2 Propósito de este documento

La familia de normas de SGSI incluye estándares que:

c) directrices dirección de sector-específicos para ISMS; y

d) Evaluación de la conformidad para la dirección de ISMS.

0.3 Contenido de este documento

En este documento, se utilizan las siguientes formas verbales:

- “Deberá” indica un requisito;

- “Debería” indica una recomendación;

- “Puede” indica un permiso;

- “Lata” indica una posibilidad o una capacidad.

© ISO / IEC 2018 - Todos los derechos reservados v

Tecnología de la información - Técnicas de seguridad - Sistemas de gestión de

Los términos y definiciones proporcionadas en este documento

- cubrir los términos y definiciones de uso común en la familia de normas de SGSI;

- no se limite a la familia de normas de SGSI en la definición de nuevos términos de uso.

No hay referencias normativas en este documento.

- IEC Electropedia: disponible en https: // www .electropedia .org /

auditoría” y “criterios de auditoría” se definen en la norma ISO 19011.

© ISO / IEC 2018 - Todos los derechos reservados 1

medida base es funcionalmente independiente de otro medidas.

puede dar lugar a una serie de consecuencias.

consecuencias iniciales pueden escalar a través de efectos en cadena.

2 © ISO / IEC 2018 - Todos los derechos reservados

73: 2009, 3.8.1.1 - Nota 2 de la entrada ha sido cambiado.]

IEEE 15939: 2017, 3,8, modificado - Nota 1 a la entrada ha sido eliminado.]

entrada: documentada información puede referirse a

- el sistema de gestión ( 3.41 ), Incluyendo relacionados procesos ( 3.54 );

- evidencia de los resultados obtenidos (registros).

© ISO / IEC 2018 - Todos los derechos reservados 3

externo puede incluir lo siguiente:

- relaciones con los y las percepciones y valores de externos, interesados ​( 3.37 ).

[Fuente: Guía ISO 73: 2009, 3.3.1.1]

IEC / IEEE 15939: 2017, 3.12]

4 © ISO / IEC 2018 - Todos los derechos reservados

Una organización puede ser un individuo.

interno puede incluir:

- gobierno, estructura organizativa, funciones y responsabilidades;

- normas, directrices y modelos adoptados por la organización;

- forma y el alcance de las relaciones contractuales.

[Fuente: Guía ISO 73: 2009, 3.3.1.2]

- relaciones con los y las percepciones y valores de externos, interesados ( 3.37 ).