Norma Definición Objetivo Requisitos para su implementación Propósito Similitud Diferencias Beneficios

Con la NTC-EN-ISO 9001:2008

Esta norma específica los requisitos para
planificar, establecer, implementar, operar,
supervisar, mantener, y mejorar
continuamente un sistema de gestión
NTC 5722
documentado para protegerse, reducir la
probabilidad de ocurrencia, prepararse,
responder y recuperarse de los incidentes
perjudiciales que puedan surgir.
Evaluar la capacidad de una
organización para cumplir con sus
necesidades en cuanto a la continuidad
del negocio, así como las necesidades
de cualquier cliente, o las legales o
regulatoria
(Sistemas de Gestión de Calidad),
- Una política La NCT 5722 es mucho más - Evalua la capacidad de una organización para cumplir con sus necesidades en cuanto a la continuidad del
Mediante el ciclo PHVA poder mejorar la efectividad del SGCN la NTC-ISO 14001:2004 (Sistemas
- Personas con responsabilidades definidas específica que las normas negocio
de una organización y tener un grado de consistencia con otras de Gestión Medioambiental), la
- Procesos de gestión mencionadas en el apartado de - Logra identificar impactos potenciales que pueden amenazar la continuidad del negocio
normas de sistemas de gestión como ISO 9001, ISO 14001 e NTC-ISO/IEC 27001:2006
- Documentación que proporcione evidencia auditable similitud, ya que esta abarca de -Provee un marco de referencia para establecer y desarrollar estrategias proactivas, eficientes y eficaces
ISO 27001 con el fin de soportar la implementación y operación (Sistemas de Gestión de Seguridad
- Procesos de aspectos específicos que se relacionen con la continuidad de negocio manera detallada todo el
consiente e integrada de dichos sistemas en las organizaciones. de la Información; la norma NTC
proceso de SGCN
5722 asegura un grado de
consistencia con dichas normas

- Alcance del SGCN La ISO 22301 tiene mayor

Ayuda a determinar las amenazas potenciales Determinar las amenazas potenciales
- Política de continuidad del negocio reconocimiento que la 25999-2
de una organización; desde los impactos que de una organización, los impactos que
- Objetivos de la continuidad del negocio Implantar la continuidad del negocio dentro de la política de ya que ha sido aceptada -Garantía de continuar la actividad delante de una crisis. -Portege y mejora el prestigio, la reputación y
podrían afectar la operación del negocio podrían afectar las operaciones del La ISO22301 reemplazó a la 25999-
- Evidencias de las competencias del recurso humano gestión de una organización; ayuda a evitar consecuencias mundialmente por institutos de marca. -Ventaja competitiva comercial frente a la competencia.
ISO 22301 hasta la consolidación de un marco laboral en negocio y proporciona un marco de 2, es una versión de dicha norma
- Análisis del impacto en el negocio adversas de posibles responsabilidades derivadas de los riesgos normas nacionales en 163 -Reduce los costes y gastos asociados a la interrupción y mejora la eficiencia del negocio.
el que se enriquezcan la capacidad de trabajo para construir la capacidad de pero actualizada
- Evaluación de riesgos de la actividad empresarial países, mientras que la 25999-2 -Sistema integrado de Gestión
reacción frente a cualquier eventualidad, de reacción organizacional de forma eficaz
- Resultados de supervición y medición -Resultados de auditoría interna únicamente fue aceptada en el
forma eficaz ante una eventualidad.
-Resultados de acciones correctivas Reino Unido
Ofrecer por parte de las empresas la
confianza necesaria a los inversores, Con la norma 22301 ayudan a
Es una norma estandarizada que proporciona identificando las amenazas y riesgos a las empresas a mejorar su
Orientar a las organizaciones para poder aplicar los requisitos - Hace frente a las posibles interrupciones del negocio ante circunstancias previstas debido a causas naturales
un sistema dentro de las organizaciones para los que pueden estar sometidos los capacidad de reponerse frente
necesarios con el fin de establecer estrategias de continuidad y Sirve para complementar la ISO o sociales
ISO 22313 implementar la continuidad del negocio. La productos y servicios de una Seguir las recomendaciones de la norma ISO 22301 a circunstancias imprevistas, y
crear un SGCN efectivo. Se adapta a las necesidades de cada 22301
orientación y las recomendaciones se basan organización implementando además así afrontar los imprevistos, ya
empresa.
en las buenas prácticas internacionales. los procedimientos y medidas de sea a causas naturales o
recuperación del mismo ante las sociales.
posibles circunstancias imprevistas.

especifica los requisitos para un

Es una norma sobre la gestion de riesgo, son
pricipios y directrices para la gestion del
ISO 31000
riesgo. y le yuda a mejorar continuamente sl
sistema de gestion del riesgo
- Definicion del objetivo sistema de gestión encargado
- Mejorar su eficiencia productiva
- Definir responsables del SGR de proteger a su empresa de
Es plicable a cuanquier tipo de -Mejora la calidad
- Identificar los riesgos Conocer las posibles consecuencias para poder evitar el riesgo, incidentes que provoquen una
Analisis y evaluacion de riesgos organización, grande o pequeña, - Reducir costos
- Analizar los riesgos y poder actuar de manera eficaz interrupción en la actividad,
pública o privada. - disminucion de incidente o accidentes inesperados
- Definir la respuesta a cada riesgo reducir la probabilidad de que
- Planificar el tratamiento del riesgo se produzcan y garantizar la
recuperación de su empresa.

Es la norma que por medio de planes
estrategicos asegura la continuidad del
negocio a cualquier tipo de organizacion.
ISO 27031 mediante la evaluacion de las TIC. sirve para
identificar las posibles mejoras de las
tecnologias de la comunicacion e
informaccion
utiliza para asegurar la - Claridad en la determinación de la tecnología crítica y la información a proteger.
- Tener hecho un organigrama empresarial.
continuidad en duraciones y - Procedimientos documentados y ordenados.
- Descripciones de los puestos de dirección y gestión con sus respectivas funciones.
Es proporcionar la contuinuidad de los ayuda a las empresas a medir los parámetros de rendimiento de No sólo se refiere a riesgos TIC sino niveles especificados que se - Conocer los riesgos a los que está sujeta la tecnología, así como los impactos de sus interrupciones.
- Listado de los contactos de los clientes clave Mapas y descripciones detalladas de las
negocios prestados por el deparatment forma consciente, logrando tomar mejores decisiones que se contemplan todo tipo de definen por el análisis del - Alinear la disponibilidad de la tecnología con las necesidades del negocio.
instalaciones.
de TI para las otras unidades de negocio estratégicas y gestionar los riesgos eficazmente. riesgos: impacto en el negocio de los - Asegurar la disponibilidad de los proveedores críticos.
- Ubicaciones e inventarios de equipos informáticos, redes, software.
servicios de tecnología de la - Dar a conocer las mejores soluciones para una implementación exitosa.
- Listado de recursos críticos necesarios en caso de situación de emergencia.
información y la comunicación.

es una guía técnica para ayudar a

implementar un sistema de continuidad de
negocio en el suministro de productos y
ISO 22318
servicios. No es certificable y su aplicación es
totalmente voluntaria en cualquier
organización.
asegurar que se toman las medidas -Mejora la satisfacción de los clientes y proveedores.
Es una guía técnica para ayudar a implementar un sistema de
adecuadas para proteger a las No sólo se refiere a riesgos TIC sino 22318 vs 22301 Se centra en la -Minimización de riesgos operacionales.
continuidad de negocio en el suministro de productos y
organizaciones de las interrupciónes del Se recomienda seguir los requisitos de la norma 22301 que se contemplan todo tipo de continuidad de suministros de -Mejora de la gestión en caso de impactos que obliguen a interrumpir la cadena de suministro.
servicios. No es certificable y su aplicación es totalmente
negocio provocadas por la ruptura de la riesgos: productos y servicios -Optimización de los recursos de la empresa.
voluntaria en cualquier organización.
cadena de suministro.

Busca ser especifica y detallada

· Ayudar a las personas o grupo de
personas que se encargan de la toma
de decisiones estrategias a:
Es una guía que le permite a las empresas
o Planificar
mejorar la gestión que tienen frente a las
ISO 22361 o Implementar
crisis que puedan presentarse dentro de la
o Ejecutar
misma.
o Mantener
constantemente la capacidad ante las
crisis que puedan presentarse.
por ende busca ser desarrollada
Las empresas al momento de crisis presentan desafíos que Junto con la ISO 22317 hacen
por personas que operan bajo
pueden afectar de manera abrupta y más cuando estas no parte de la seguridad y resiliencia
Está destinada a la gerencia que tiene la responsabilidad de realizar estrategias, es decir la dirección y con base a las
están preparadas para estos retos que puedan afectar la para continuar con base a la · Provisionar una respuesta optima, eficaz y rápida ante cualquier crisis que se pueda presentar, brindando
aquellas personas especializadas y con los conocimientos necesarios y óptimos, que se políticas de implementación de
reputación y destino de la compañía; por ende, las directrices realidad actual de las estrategias para mejorar los diseños y la mejora continua, con base a la forma cómo se gestiona la crisis de
encarguen de implementar los planes y asegurar los procedimientos adecuados para la planes y estructura de crisis,
descritas en la ISO 22361:2021 busca evitar ese colapso organizaciones sobre los impactos una empresa sin importar su tamaño o actividad económica.
capacidad que posee la empresa. mientras que la ISO 31000 se
tratando de evitar o en su defecto minimizar los impactos que se puedan presentar y
basa en el apoyo de toda la
negativos que pueden derivarse de una crisis. prevenirlos oportunamente
organización por medio de la
rendición de cuentas.

· Analizar las consecuencias de un

incidente que pueda interrumpir los
Busca brindar orientación para establecer,
procesos de la organización.
implementar y mantener en seguimiento de
· Adaptarse a las necesidades reales
los procesos para el análisis de impacto de
que puedan presentarse en la
ISO 22317 negocio (BIA) por medio de diseños que
organización.
satisfagan los requisitos sobre los impactos
· Priorizar los procesos y actividades
reales que puedan ser de preocupación para
con el fin de que sean analizadas y
la empresa.
consolidadas para la aprobación de la
alta gerencia.
Analizar y gestionar los riesgos basados ISO-27001.
en los procesos. Resulta muy útil el
Normativa internacional que permite
análisis y la gestión de riesgos basados asociados.
asegurar y proteger tu información física y
en los procesos ya que evalúa y
ISO 27001 digital. Para ello, te brinda una serie de
controla a la organización en relación a -Desarrollar objetivos orientados a la mejora continua del sistema.
requisitos a cumplir para gestionar la
los diferentes riesgos a los que se
seguridad de la información de tu empresa.
encuentra sometido el sistema de
información
Es un complemento de la ISO
22313 ya que esta incluye no solo La ISO 22317 busca no solo
· Busca proporcionar una base de entendimiento, · La organización tendrá conocimientos sobre como identificar tanto los procesos y actividades que realiza y
Conocer el contexto de los resultados a los que se pretende llegar por medio del análisis de ayuda sobre el sistema de gestión priorizar los productos y
implementación, revisión, y mejora continua al analizar el sobre cómo actuar sobre ellos y el mercado.
impacto en el negocio, establecer el alcance, los roles, recursos necesarios que puedan de la continuidad del negocio servicios sino también los
impacto de negocio. · Adquirir las habilidades necesarias para ajustarse al programa de continuidad del negocio.
ayudar a priorizar las actividades eficazmente y el compromiso que cada colaborador (BCMS) sino también sobre el plan procesos y actividades que
· Orientar hacia la buena planificación y ejecución del BIA. · Entender las necesidades de los clientes externos, socios u otras partes interesadas.
implementara para que se obtengan los resultados esperados para evitar incidentes graves. de continuidad del negocio o de un derivan a la ejecución eficaz del
· Ayudar a realizar un BIA coherente. · Ofrecer una propuesta de valor para aumentar la credibilidad sobre la competencia.
Plan de recuperación en un producto y/o servicio.
desastre (DRP)
- ISO 20000, especifica los
requisitos para que una empresa
pueda establecer, implementar,
-Desarrollar un Sistema de Gestión de la Seguridad de la Información de acuerdo a la norma
mantener y mejorar de manera
-ISO 31000 no suministra -Prevenir o minimizar el riesgo de que produzca la pérdida o sustracción de información.
continua, un sistema de gestión de
-Recoger evidencias documentales de los procedimientos desarrollados, así como los registros ninguna recomendación -Prevenir a la organización ante posibles sanciones legales derivadas de pérdida o mala gestión de la
servicios de TI.
específica sobre el tratamiento información.
-Definir y comunicar una política de seguridad de la información. de la Seguridad de la -Establecer una política de seguridad de la información.
Asegurar y proteger la información fisica y digital
información y la Gestión de -Establecer controles que mejoren la gestión de la seguridad de la información.
- Reglamento General de
-Asegurar el compromiso de la dirección. tales riesgos. -Proporciona un valor añadido a la empresa, diferenciándola respecto a la competencia.
Protección de Datos (RGPD). El BS
-Designar un responsable del Sistema de Gestión De la Seguridad de la Información. -Aumentar la confianza de cara a clientes y proveedores, asegurando que su información será tratada con
7799-2 (RGPD) su primera
-Realizar una evaluación de riesgos de seguridad de la información. total confidencialidad.
publicacion se realizo en el 2005 y
-Llevar a cabo un proceso de tratamiento de los riesgos.
se combirtio en la base de la ISO
27001

marco de trabajo (framework) para el - ITIL.

gobierno y la gestión de las tecnologías de la
información (TI) empresariales y dirigido a
COBIT 2019 toda la empresa. Ha sido promovido por
ISACA desde su primera versión en 1996 y
actualmente se encuentra disponible la
versión COBIT 2019
Es una guía de buenas prácticas para la
gestión de servicios de tecnologías de la
información (TI). La guía ITIL ha sido
ITIL elaborada para abarcar toda la
infraestructura, desarrollo y operaciones de
TI y gestionarla hacia la mejora de la calidad
del servicio.
- Alinear, Planificar y Organizar (APO).
- Realizando el caso de negocio. - basada en el estudio por - Alinea la TI con los objetivos de la empresa.
Define los componentes y los factores - Construir, Adquirir e Implementar (BAI) .
- Prever la solución. - ISO 38500 es proporcionar un procesos, COBIT establece una - Mejora la gestión del desempeño.
de diseño para construir y mantener un - Entregar, Dar Servicio y Soporte (DSS) aborda la ejecución
- Planificar la solución. marco de principios para la clasificación de los mismos, - Incrementa el valor y la confianza en los sistemas de información de la empresa.
sistema de gobierno que se ajuste operativa y el soporte de los servicios de TI.
- Implementar la solución. correcta gestión de las TIC. En el cosa que no ocurre en ISO - Proporciona un modelo de código abierto.
mejor - Monitorizar, Evaluar y Valorar (MEA) aborda la monitorización
- Mantenimiento y construir sostenibilidad. caso de COBIT se definen los 38500.
y la conformidad de TI con los objetivos de desempeño interno
objetivos del control de las TIC.
COBIT e ITIL han sido utilizados
durante muchos años por
Mientras ITIL es una colección
profesionales de la gestión de - Es flexible.
de libros que proporcionan una
servicios de tecnología de la - Pone en orden las prioridades.
- Preparación del proyecto. guía de las mejores prácticas
Diseminar las mejores prácticas en la gestión de servicios de información (ITSM). Juntos, COBIT - Mejor calidad del servicio.
Asegurar una gestión eficaz de sus - Definición de la estructura de servicios. para la entrega y el soporte de
Tecnologías de Información de forma sistemática y e ITIL son una base sólida para el - Reducción de costos.
procesos y garantizar una buena - Selección de roles ITIL y propietarios de roles. los servicios tecnológicos de
coherentemente. El planteo principal se basa en la calidad de gobierno y la gestión de los - Evita el estancamiento.
experiencia a los clientes - Análisis de procesos existentes (Evaluación de ITIL) buenas prácticas, ISO 20000 se
servicio y el desarrollo eficaz y eficiente de los procesos. servicios de TI, - Mayor satisfacción del cliente.
- Definición de la estructura de procesos. limita a la recolección de
independientemente de si se trata - Fomenta el trabajo en equipo.
requerimientos para una
de servicios internos, - Es gradual.
gestión de servicios de calidad.
subcontratados o socios
comerciales.
 Norm Definition Objective Requirements for its implementation Purpose similarity differences Benefits

With the NTC-EN-ISO 9001:2008

This standard specifies the requirements to (Quality Management Systems),
- A politic Through the PHVA cycle, it is possible to improve the
plan, establish, implement, operate, monitor, the NTC-ISO 14001:2004 NCT 5722 is much more specific
Assess an organization's ability to meet - People with defined responsibilities effectiveness of the SGCN of an organization and have a degree
maintain, and continuously improve a (Environmental Management than the standards mentioned - Assesses an organization's ability to meet its business continuity needs
its business continuity needs, as well as - Management process of consistency with other management system standards such
NTC 5722 documented management system to protect Systems), the NTC-ISO/IEC in the similarity section, since it - It manages to identify potential impacts that can threaten the continuity of the business - It provides a
the needs of any customer, or legal or - Documentation that provides auditable evidence as ISO 9001, ISO 14001 and ISO 27001 in order to support the
against, reduce the probability of occurrence 27001:2006 (Information Security covers the entire SGCN process reference framework to establish and develop proactive, efficient and effective strategies
regulatory needs - Processes of specific aspects related to business continuity implementation and conscious and integrated operation of said
of, prepare for, respond to, and recover from Management Systems ; the NTC in detail.
systems. in organizations.
damaging incidents that may arise. 5722 standard ensures a degree of
consistency with those standards

- Scope of the SGCN

Helps determine potential threats to an
organization; from the impacts that could
ISO 22301 affect the operation of the business to the
consolidation of a labor framework in which
the ability to react effectively to any
eventuality is enriched
Determining the potential threats to an
organization, the impacts that could
affect business operations, and
provides a framework to build the
organization's ability to react effectively
to an eventuality.
- Business continuity policy ISO 22301 is more widely
- Business continuity objectives recognized than 25999-2 as it
Implement business continuity within the management policy ISO22301 replaced 25999-2, it is a -Guarantee of continuing the activity in the event of a crisis. -Protect and improve prestige, reputation and
- Evidence of human resource competencies
of an organization; helps avoid adverse consequences of version of said standard but
has been accepted globally by
brand. -Commercial competitive advantage over the competition. -Reduce costs and expenses associated with
- Business impact analysis national standards institutes in
possible liabilities arising from the risks of business activity updated interruption and improve business efficiency. -Integrated Management System
- Risks evaluation 163 countries, while 25999-2
- Results of supervision and measurement - Results of internal audit - Results of corrective was only accepted in the UK
actions

Provide companies with the necessary

confidence to investors, identifying the
It is a standardized norm that provides a
threats and risks to which the products
system within organizations to implement
and services of an organization may be
ISO 22313 business continuity. Guidance and
subject, also implementing the
recommendations are based on international
procedures and recovery measures
good practice.
thereof in the face of possible
unforeseen circumstances.
With the 22301 standard, they
help companies improve their
Guide organizations to be able to apply the necessary
ability to recover from
requirements in order to establish continuity strategies and - Cope with potential business interruptions in the face of unforeseen circumstances due to natural or social
Follow the recommendations of the ISO 22301 standard Serves to complement ISO 22301 unforeseen circumstances, and
create an effective BCMS. It adapts to the needs of each causes
thus deal with unforeseen
company.
events, whether due to natural
or social causes.

- Definition of the objective specifies the requirements for a

It is a standard on risk management, they are
principles and guidelines for risk
ISO 31000
management. and helps you continuously
improve your risk management system
- Define responsible for SGR management system to protect
It is applicable to any type of
- Identify risks Know the possible consequences in order to avoid the risk, and your business from business - Improve your production efficiency
Analisis y evaluacion de riesgos organization, large or small, public
- Analyze the risks be able to act effectively interruption incidents, reduce -Improve quality
or private.
- Define the response to each risk the likelihood of their - Reduce costs- Decrease incident or unexpected accidents
- Plan risk treatment occurrence, and ensure your
business recovers.

used to ensure continuity at

It is the rule that through strategic plans
- Have a business organization chart. specified durations and levels .-Improves customer and supplier satisfaction
ensures business continuity to any type of It is to provide the continuity of the
- Descriptions of leadership and management positions with their respective functions. helps companies measure performance metrics consciously, Not only does it refer to ICT risks, that are defined by business -Minimization of operational risks
ISO 27031 organization. through the evaluation of ICT. business provided by the IT department
- List of key customer contacts. Maps and detailed descriptions of the facilities. making better strategic decisions and managing risks but all kinds of risks are impact analysis of information -Improved management in the event of impacts that force the supply chain to be interrupted.
serves to identify possible improvements in for the other business units.
- Locations and inventories of computer equipment, networks, software effectively. considered: and communication technology -Optimization of company resources.
communication and information technologies
.- List of critical resources needed in case of an emergency situation. services.
.- Clarity in determining the critical technology and information to be protected.
is a technical guide to help implement a
- Documented and ordered procedures.
business continuity system in the supply of ensure that adequate measures are It is a technical guide to help implement a business continuity Not only does it refer to ICT risks,
22318 vs 22301 Focuses on - Know the risks to which the technology is subject, as well as the impacts of its interruptions.
ISO 22318 products and services. It is not certifiable and taken to protect organizations from It is recommended to follow the requirements of standard 22301 system in the supply of products and services. It is not but all kinds of risks are
continuity of supply of products - Align technology availability with business needs
its application is completely voluntary in any business interruptions caused by supply certifiable and its application is completely voluntary in any considered:
and services .- Ensure the availability of critical suppliers.-H23 Make known the best solutions for a successful
organization. chain breakdown. organization.
implementation.
It seeks to be specific and
· Help people or groups of people who
detailed therefore seeks to be
are responsible for making strategic Companies at the time of crisis present challenges that can
Together with ISO 22317 they are developed by people who
decisions to: affect abruptly and more when they are not prepared for these
It is intended for management that has the responsibility of carrying out strategies, that is, part of the security and resilience orperan under the direction
It is a guide that allows companies to improve o Plan challenges that may affect the reputation and destiny of the · Provide an optimal, effective and rapid response to any crisis that may arise, providing strategies to improve
those specialized people with the necessary and optimal knowledge, who are responsible for to continue based on the current and based on the policies of
ISO 22361 the management they have in the face of the o Implement company; therefore, the guidelines described in ISO designs and continuous improvement, based on the way in which the crisis of a company is managed
implementing the plans and ensuring the appropriate procedures for the capacity that the reality of organizations on the implementation of plans and
crises that may arise within it. o Execute 22361:2021 seek to avoid that collapse by trying to avoid or, regardless of its size or economic activity.
company has. impacts that may arise and crisis structure, while ISO
o Maintain failing that, minimize the negative impacts that can arise from a
prevent them in a timely manner. 31000 is based on the support
constantly the capacity in the face of crisis.
of the entire organization
crises that may arise.
through accountability.

· Analyze the consequences of an

It seeks to provide guidance to establish,
implement and keep track of the processes
for business impact analysis (BIA) through
ISO 22317
designs that meet the requirements on the
real impacts that may be of concern to the
company.
incident that may interrupt the It is a complement to ISO 22313 as ISO 22317 seeks not only to
· It seeks to provide a foundation of understanding, · The organization will have knowledge on how to identify both the processes and activities it carries out and
processes of the organization. Know the context of the results that are intended to be reached through the analysis of it includes not only help on the prioritize products and services
implementation, review, and continuous improvement when how to act on them and the market.
· Adapt to the real needs that may arise impact on the business, establish the scope, the roles, necessary resources that can help business continuity management but also the processes and
analyzing business impact. · Acquire the necessary skills to adjust to the business continuity program.
in the organization. prioritize the activities effectively and the commitment that each collaborator will implement system (BCMS) but also on the activities that lead to the
· Orient towards the good planning and execution of the BIA. · Understand the needs of external customers, partners or other stakeholders.
· Prioritize processes and activities in so that the expected results are obtained to avoid serious incidents. business continuity plan or a effective execution of the
· Help perform a consistent BIA. · Offer a value proposition to increase credibility about the competition.
order to be analyzed and consolidated Disaster Recovery Plan (DRP) product and/or service.
for the approval of senior management.

- ISO 20000, specifies the

International standard that allows you to
secure and protect your physical and digital
ISO 27001 information. To do so, it provides you with a
series of requirements to be met to manage
the security of your company's information.
framework for enterprise-wide governance
and management of enterprise information
COBIT 2019 technology (IT). It has been promoted by
ISACA since its first version in 1996 and the
COBIT 2019 version is currently available.
Analyze and manage process-based
risks. The analysis and management of
risks based on processes is very useful
because it evaluates and controls the
organization in relation to the different
risks to which the information system is
subjected.
Define the components and design
factors for building and maintaining a
best-fit governance system by
-Developing an Information Security Management System in accordance with ISO-27001. requirements for a company to
-Prevent or minimize the risk of loss or theft of information.
-Collect documentary evidence of the procedures developed, as well as the associated establish, implement, maintain
-To prevent the organization from possible legal sanctions derived from loss or mismanagement of
registers. and continuously improve an IT -ISO 31000 does not provide
information.
-Defining and communicating an information security policy. service management system. any specific recommendation
-To establish an information security policy.
-Develop objectives aimed at continuous improvement of the system. Securing and Protecting Physical and Digital Information on the treatment of
-Establish controls that improve the management of information security.
-To ensure the commitment of the management. - General Data Protection information security and the
-It provides an added value to the company, differentiating it from the competition.
-To designate a person responsible for the Information Security Management System. Regulation (GDPR). BS 7799-2 management of such risks.
-Increase confidence in the face of customers and suppliers, ensuring that their information will be treated
-Conduct an information security risk assessment. (GDPR) was first published in 2005
with total confidentiality.
-To carry out a process of treatment of the risks. and became the basis for ISO
27001.
- ITIL.
- Align, Plan and Organize (APO).
- Making the business case. - Based on the study by
- Build, Acquire and Implement (BAI). - Aligns IT with business objectives.
- Envisioning the solution. - ISO 38500 is to provide a processes, COBIT establishes a
- Deliver, Service and Support (DSS) addresses the operational - Improves performance management.
- Planning the solution. framework of principles for the classification of processes,
execution and support of IT services. - Increases value and confidence in enterprise information systems.
- Implementing the solution. proper management of ICT. In the which is not the case in ISO
- Monitor, Evaluate and Assess (MEA) addresses IT monitoring - Provides an open source model.
- Maintaining and building sustainability. case of COBIT, the objectives of 38500.
and conformance to internal performance objectives
ICT control are defined.

COBIT and ITIL have been used for

It is a best practice guide for information
technology (IT) service management. The ITIL
guide has been developed to cover the entire
ITIL
IT infrastructure, development and
operations and manage it towards improving
service quality.
Ensure effective management of your
processes and guarantee a good
customer experience.
While ITIL is a collection of - It is flexible.
many years by IT Service
books that provide best - It puts priorities in order.
- Project preparation. Management (ITSM) professionals.
Disseminate best practices in IT service management in a practice guidance for the - Better service quality.
- Definition of the service structure. Together, COBIT and ITIL are a
systematic and coherent way. The main approach is based on delivery and support of best - Cost reduction.
- Selection of ITIL roles and role owners. solid foundation for the
the quality of service and the effective and efficient practice technology services, - Avoids stagnation.
- Analysis of existing processes (ITIL Assessment). governance and management of IT
development of processes. ISO 20000 is limited to the - Increased customer satisfaction.
- Process structure definition. services, regardless of whether
collection of requirements for - Encourages teamwork.
they are in-house, outsourced or
quality service management. - It is gradual.
business partner services.