1.

SERIE NTP-ISO/IEC 17799

La norma t´ecnica peruana NTP-ISO/IEC 17799 ofrece todas las recomendaciones
necesarias para poder gestionar un Sistema de Seguridad de la Informaci´on (SSI), al
igual que la norma internacional ISO 27001, ofreciendo los requisitos necesarios para
que los responsables del a´rea en concreto puedan iniciar, implantar, mantener y
mejorar la seguridad en las organizaciones.

La norma ISO/IEC 17799 persigue que se proporcione una base comu´n con la que poder
llevar a cabo normas de seguridad dentro de las empresas y convertirse en una pr´actica
eficaz de gestio´n de la seguridad.

La norma t´ecnica peruana ISO/IEC 17799 es una gu´ıa pra´ctica que desarrolla los est
´andares organizacionales de la seguridad y genera pr´acticas efectivas durante la gestio
´n de la Seguridad de la Informaci´on. Adema´s, incrementa la confianza a la hora de
establecer relaciones entre diferentes organizaciones. Todas las recomendaciones que
genera esta norma tienen que ser utilizadas de acuerdo con la legislaci´on aplicable a
esta materia.

2. SERIE ISO 27000

Serie ISO/IEC 27000 es un conjunto de esta´ndares sobre gesti´on de la seguridad de la
informacio´n derivados de la norma BS 7799 desarrollados en fase de desarrollo por ISO
(International Organization for Standardization) e IEC (International Electrotechnical
Commission), que proporcionan un marco de gestio´n de la seguridad de la informaci´on
utilizable por cualquier tipo de organizacio´n, pu´blica o privada, grande o pequen˜a.

2.1. ISO/IEC 27000

Publicado el 1 de mayo de 2009, revisio´n en el an˜o 2012, 2014 y 2016
Proporciona como un conjunto de t´ecnicas estandarizadas para la gestio´n de
la seguridad de la informacio´n para su uso en distintas organizaciones.
Aporta las bases de porque la importancia de una SGSI(sistemas de gesti´on de
seguridad de la informacion) asi como los pasos para el establecimiento
monitorizaci´on, mantenimiento y mejora de un SGSI.
Posee todas las definiciones para la serie de normas 27000.

2.2. ISO/IEC 27001

Publicada el 15 de Octubre de 2005.
Brinda un modelo para el establecimiento, implementaci´on,operacio
´n,seguimiento ,revisio´n ,mantenimiento y mejora de un sistema de la gesti´on de la
seguridad de la informacio´n.
REVISION NORMAS NTP-ISO/IEC 17799, SERIE 27000

Sus elementos claves son:

Integridad .- Asegurar que la informaci´on sea original.
Disponibilidad.- Tener la informaci´on de forma veraz y oportuna.
Confidencialidad.- No se pueden permitir que los datos sean pu´blicos si no
clasificados.

2.3. ISO/IEC 27002

Publicada el 1 de Julio de 2007.
Es una gu´ıa de buenas pra´cticas que describe los objetivos de seguridad y
control ,para iniciar,implementar o mantener sistemas de seguridad de la
informacio´n.
El contenido de sus pol´ıticas se basa en el contexto de como opera una empresa.

2.4. ISO/IEC 27003

Publicada el 01 de Febrero de 2010.
Se centra en los aspectos requeridos para el disen˜o e implementacio´n exitosa
de un SGSCI,segu´n el esta´ndar ISO 27001.
Contiene un descripci´on del proceso de especificaci´on y disen˜o desde la creaci´on
hasta la implementaci´on.

2.5. ISO/IEC 27004

Publicada el 15 de Diciembre de 2009.
Nos ayuda a tener datos medibles en la implementacio´n de un SGSI.
Utiliza m´etricas y t´ecnicas de medida aplicables para determinar la eficacia de
un SGSI.

2.6. ISO/IEC 27005 o ISO 17799

La primera edicio´n fue publicada el 15 de Junio del 2008, la segunda edicio´n el 1
de Junio del 2011 y la tercera edicio´n en Julio de 2018.
Tiene actualizaciones respecto a requisitos definidos en la norma ISO/IEC
27001.
Apoya los conceptos generales de la norma ISO/IEC 27001.
Esta´ disen˜ada para ayudar a la aplicacio´n satisfactoria de la seguridad de la
informacio´n basada en un enfoque de gesti´on de riesgos.
Aplica los siguientes niveles:
1
REVISION NORMAS NTP-ISO/IEC 17799, SERIE 27000

Aseguramiento y control (Nivel f´ısico)

Sistemas de informaci´on (Nivel l´ogico)
Medidas organizacionales (Factor humano) desde la perspectiva tecnolo´gica.

2.7. ISO/IEC 27006

La primera edicio´n del 1 de Marzo de 2007 y la segunda edici´on el 1 de Diciembre
de 2011.
Se encarga de especificar los requisitos para la acreditaci´on de entidades de
auditor´ıa y certificaci´on de SGSI(sistemas de gestio´n de seguridad de la
informacio´n).
Los requisitos generales a los que hace referencia son:
Orientacio´n espec´ıfica del SGSI en relacio´n con la imparcialidad.
Listado del trabajo que pudiera estar en conflicto.
Inclusio´n de una lista de todas las actividades que se pueden realizar fuera.
Se encarga de especificar los requisitos y suministrar una gu´ıa para la auditor´ıa y
la certificacio´n del sistema.

2.8. ISO/IEC 27799

Gestio´n de la seguridad de la informaci´on sanitaria utilizando la Norma
ISO/IEC27002. Vigente en nuestro pa´ıs ya que ha sido ratificada por AENOR, siendo
una gu´ıa sectorial que da cabida a los requisitos espec´ıficos de entorno sanitario.
Esta norma es una contribuci´on importante a la hora de implantar los sistemas de
gestio´n de la informacio´n (SGSI) en los centros sanitarios, y organizaciones del
sector de la salud, y con ello asegurar la proteccio´n de la informacio´n de los
pacientes gestionada por las diferentes entidades sanitarias.
Especifica los controles concretos que se han de implementar para gestionar la
seguridad de la informacio´n sanitaria, aportando recomendaciones relativas a las
buenas pra´cticas que hay que seguir al respecto para garantizar los niveles m
´ınimos de seguridad. Para eso se basa en otra norma, la ISO/IEC 27002: Tecnolog
´ıa de la Informacio´n, c´odigo de buenas pr´acticas para la Gesti´on de la Seguridad
de la Informacio´n. Esta gu´ıa de buenas pra´cticas describe los objetivos de control
y controles recomendables en cuanto a seguridad de la informacio´n de forma
general.

2
REVISION NORMAS NTP-ISO/IEC 17799, SERIE 27000

3. Anexo
3.1. ISO/IEC 27007
El esta´ndar se public´o por primera vez en 2011 y en el 2017 se publico´ una
segunda edicio´n. En enero de 2020 se publico´ una tercera edicio´n que rea-linea
el esta´ndar con ISO 19011: 2018 .
Proporciona una gu´ıa para los organismos de certificaci´on acreditados, auditores
internos, auditores externos / terceros y otros que auditan los SGSI segu´n ISO /
IEC 27001 ( es decir, auditan el sistema de gesti´on para verificar el cumplimiento
de la norma). ISO / IEC 27007 se basa en gran medida en ISO 19011 , el esta´ndar
para auditar sistemas de gestio´n, que proporciona orientaci´on adicional espec
´ıfica del SGSI.

3.2. ISO/IEC 27008

La primera edici´on se publico´ en 2011 como ISO/IEC TR 27008: 2011,y una
segunda edicio´n se publico´ en 2019 como ISO/IEC TS 27008: 2019, una
’Especificacio´n t´ecnica’ que refleja las versiones de 2013 de ISO/IEC 27001 y
27002 .
Esta norma proporciona orientacio´n para todos los auditores con respecto a los
“controles de sistemas de gestio´n de seguridad de la informaci´on” seleccionados a
trav´es de un enfoque basado en riesgos ( por ejemplo, como se presenta en una
declaracio´n de aplicabilidad) para la gesti´on de seguridad de la informaci´on.
Apoya el proceso de gesti´on de riesgos de la informaci´on y las auditor´ıas
internas, externas y de terceros de un SGSI al explicar la relaci´on entre el SGSI y
sus controles de apoyo. Proporciona orientaci´on sobre c´omo verificar el grado en
que se implementan los “controles del SGSI” requeridos. Adem´as, es compatible
con cualquier organizacio´n que utilice ISO/IEC 27001 e ISO / IEC 27002 para
satisfacer los requisitos de aseguramiento y como plataforma estrat´egica para el
gobierno de la seguridad de la informacio´n.

3.3. ISO/IEC 27010

Se publico´ por primera vez en 2012, luego se realizaron cambios editoriales
menores para alinear el esta´ndar con las ediciones de 2013 de ISO / IEC 27001 y
27002 . La 2a edicio´n se publico´ en diciembre de 2015 .

Esta norma proporciona orientacio´n sobre el ´ınter-funcionamiento de la seguridad

de la informaci´on y las comunicaciones entre industrias en los mismos sectores,
en diferentes sectores industriales y con gobiernos, ya sea en tiempos de crisis y
para proteger la infraestructura cr´ıtica o para el reconocimiento mutuo en
circunstancias comerciales normales para cumplir con los requisitos legales y
reglamentarios. y obligaciones contractuales.
3
REVISION NORMAS NTP-ISO/IEC 17799, SERIE 27000

3.4. ISO/IEC 270013

El esta´ndar se publico´ por primera vez en 2012. Se reviso´ de acuerdo con la
publicacio´n de 2013 de ISO / IEC 27001 : la segunda edicio´n se publico´ en 2015 .
Esta norma proporciona orientacio´n sobre la implementaci´on de un sistema
integrado de gestio´n de servicios de TI y seguridad de la informacio´n , basado
tanto en ISO/IEC 27001: 2005 (ISMS) como en ISO / IEC 20000-1: 2011
(especificaci´on de gestio´n de servicios de TI, derivada de ITIL).

4. Bibliografia
http://www.iso27000.es
International Organization for Standardization.
iso.org