Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ISO 27000 proporciona una visión general de las normas que la componen la serie 27000,
indicando para cada una de ellas su alcance de actuación y el propósito de su publicación.
Recoge todas las definiciones de la norma 27000 y aporta las bases de por qué es importante la
implantación de un SGSI, una introducción a los SGSI, una breve descripción de los pasos para el
establecimiento mantenimiento y mejora de un SGSI
ISO/IEC 27002 proporciona directrices para la implementación de los controles indicados en
ISO 27001. ISO 27001 especifica 114 controles que pueden ser utilizados para disminuir los
riesgos de seguridad, y la norma ISO 27002 puede ser bastante útil ya que proporciona más
información sobre cómo implementar esos controles. A la ISO 27002 anteriormente se la
conocía como ISO/IEC 17799 y surgió de la norma británica BS 7799-1.
ISO/IEC 27004 proporciona directrices para la medición de la seguridad de la información; se
acopla bien con ISO 27001 ya que explica cómo determinar si el SGSI ha alcanzado los
objetivos.
ISO/IEC 27005 proporciona directrices para la gestión de riesgos de seguridad de información.
Es un muy buen complemento para ISO 27001 ya que brinda más información sobre cómo
llevar a cabo la evaluación y el tratamiento de riesgos, probablemente la etapa más difícil de la
implementación.
ISO 27006 Especifica los requisitos para la acreditación de entidades de auditoría y
certificación de sistemas de gestión de seguridad de la información.
ISO 27007 Es una guía de auditoría de un SGSI, como complemento a lo especificado en ISO 19011.
ISO 27008 Es una guía de auditoria de los controles seleccionados en el marco de implantación de
un SGSI
ISO 27010 Es una guía para los SGSI cuando se comparten entre organizaciones o sectores,
ISO 27013 Es una guía de implementación integrada de ISO 27001 y de ISO 20000(gestión de
servicios de TI)
ISO 27015 Es una guía de SGSI orientada a organizaciones del sector financiero y de seguros
ISO 27016 Es una guía de valoración de los aspectos financieros de la seguridad de la información
Los Sistemas de Gestión de Seguridad de la Información o SGSI, son un recurso que permiten a
las organizaciones garantizar que todos los activos de la empresa están siendo manipulados
adecuadamente y que no hay riesgos de fugas de información.
ALCANCE
El alcance de un SGSI puede incluir, en función de dónde se identifiquen y ubiquen
los activos de información esenciales, total con sólo un parte de la organización,
funciones específicas e identificadas de la organización, secciones específicas e
identificadas de la organización, o una o más funciones en un grupo de organizaciones.
Cada organización debe determinar el proceso más apropiado para evaluar los riesgos que se
pueden presentar en los activos de la información, aquí es donde se usa la guía de la ISO 27005 el
cual nos permite cómo llevar a cabo la evaluación y el tratamiento de riesgos.
Para poder hacer este proceso se debe explicar en un documento como se identifican, analizan,
evalúan y priorizan los riesgos relacionados con los activos de información más relevantes del
alcance.
Tratamiento de riesgos
Una vez que se recopila la evidencia necesaria esta debe tener una política por escrito para decidir
e implementar un plan de tratamiento de riesgos adecuado.
SOA (Declaracion de aplicabilidad): Establece los riesgos de información y los controles que son
relevantes y aplicables al SGSI
Los informes de auditoría interna del SGSI son la evidencia más directa que documenta los
principales hallazgos, conclusiones y recomendaciones de la auditoria con la posibilidad de
comunicar no conformidades y acciones correctivas.