Norma ISO 27000:

El pilar de la serie ISO 27000 es ISO 27001:2013, que establece todos los requisitos
contra los cuales se puede auditar y certificar el Sistema de Gestión de Seguridad de la
Información. Todos los otros estándares en la familia ISO 27000 son código de prácticas
no interactivos, que proporcionan pautas de mejores prácticas que las empresas pueden
seguir en todo o en parte y que admiten ISO 27001.

El año 2018 puede que haya comenzado hace muy poco tiempo, pero parece que será un
gran año para la seguridad de la información. Con preguntas sobre la seguridad de los
microprocesadores y sobre las principales iniciativas de ciberseguridad como el
Reglamento General de Protección de datos de la Unión Europea que entró en vigencia
este año, una nueva edición de ISO 27000 ha llegado en el momento justo.

La nueva ISO 27000 proporcionará una descripción general de los diferentes sistemas de
gestión de la seguridad de la información y los términos y definiciones comúnmente
utilizados en la familia de normas ISO 27001. Se ha diseñado para que se aplique en todos
los tipos y tamaños de empresas, desde organizaciones multinacionales hasta pequeñas y
medianas organizaciones, la nueva versión, será muy valiosa para agencias
gubernamentales y empresa sin ánimo de lucro.

Existe más de una docena de estándares en la familia ISO 27000. El recientemente

publicado ISO/IEC 27000 proporciona una comprensión de cómo se ajustan los
estándares:

❖ Sus alcances
❖ Roles
❖ Funciones
❖ Relación entre sí

Norma ISO 27001:

La ISO 27001:2013 es la norma internacional que proporciona un marco de trabajo para
los sistemas de gestión de seguridad de la información (SGSI) con el fin de proporcionar
confidencialidad, integridad y disponibilidad continuada de la información, así como
cumplimiento legal. La certificación ISO 27001 es esencial para proteger sus activos más
importantes, la información de sus clientes y empleados, la imagen corporativa y otra
información privada. La norma ISO incluye un enfoque basado en procesos para lanzar,
implantar, operar y mantener un SGSI.

La implantación de la ISO 27001 es la respuesta ideal a los requisitos legislativos y de

los clientes, incluyendo el RGPD y otras amenazas potenciales, incluyendo: Crimen
cibernético, violación de los datos personales, vandalismo / terrorismo, fuego / daños, uso
malintencionado, robo y ataque de virus.

En 2019, cerca del 32% de los negocios sufrieron una violación de datos personales o
recibieron ataques en los últimos 12 meses.

La norma ISO 27001 se estructura para ser compatible con otras normas de sistemas de
gestión, como la ISO 9001 y es neutral respecto a tecnología y proveedores, lo que
significa que es completamente independiente de la plataforma de IT. Por ello, todos los
miembros de la organización deben ser educados sobre el significado de la norma y cómo
se aplica en la organización.

Conseguir la certificación ISO 27001 acreditada demuestra que su empresa está

comprometida con seguir las mejores prácticas de seguridad de la información.
Adicionalmente, la certificación ISO 27001 proporciona una evaluación experte de si la
información de su empresa está adecuadamente protegida. Siga leyendo para conocer más
beneficios de la certificación ISO 27001.

Norma ISO 27002

La norma ISO 27002 (anteriormente denominada ISO 17799) es un estándar para la

seguridad de la información que ha publicado la organización internacional de
normalización y la comisión electrotécnica internacional. La versión más reciente de la
norma ISO 27002:2013.

La norma ISO 27002 proporciona diferentes recomendaciones de las mejores prácticas

en la gestión de la seguridad de la información a todos los interesados y responsables para
iniciar, implementar o mantener sistemas de gestión de la seguridad de la información.
La seguridad de la información se define en el estándar como “la preservación de la
confidencialidad, integridad y disponibilidad.
 Norma ISO 27003

Es parte de una familia en crecimiento de estándares sobre Sistemas de Gestión de la

Seguridad de la Información (SGSI) de ISO/IEC, el ISO 27000 series (para más
información consultar ISO/IEC 27000). Este estándar se centra en los aspectos críticos
necesarios para diseños e implementaciones exitosas de los Sistemas de Gestión de la
Seguridad de la Información (SGSI) según la norma ISO/IEC 27001:2015. Describe la
especificación y diseño de un SGSI desde el origen hasta la realización del mismo y el
proceso de obtención del visto bueno para la implementación de este. También define un
proyecto para implementar el SGSI y proporciona una guía a partir de la cual planear
dicho proyecto SGSI, lo que da lugar al plan de implementación del mismo.

La norma ISO/IEC 27003 fue publicada el 1 de febrero de 2010, aunque fue actualizada
el 12 de abril de 2017. Actualmente no es certificable.

Norma ISO 27004

La norma ISO/IEC 27004 proporciona pautas destinadas a ayudar a organizaciones a

evaluar el rendimiento de la seguridad de la información y la eficiencia de un sistema de
gestión con el fin de cumplir los requisitos de la norma ISO/IEC 27001. Esta norma
establece:

El monitoreo y medición del rendimiento de la seguridad de la información.

El monitoreo y medición de la efectividad de un Sistema de Gestión de la Seguridad de

la Información (SGSI), incluidos procesos y controles.

Análisis y evaluación de los resultados de monitorización y medición.

Esta norma es aplicable a todo tipo de organizaciones independientemente de su tamaño.

La norma ISO/IEC 27004 fue publicada el 7 de diciembre de 2009 y revisada en

diciembre de 2016. Actualmente no es certificable y no está traducida al castellano.

Existen una seria de etapas planteadas por ISO-27004 con el fin de medir y evaluar la
eficacia de la seguridad de la información:

❖ Elegir los objetivos y procesos de medición.

❖ Describir las líneas principales.
 ❖ Elegir los datos.
❖ Desarrollo del sistema de medición.
❖ Interpretar los valores medidos.
❖ Notificar dichos valores

Norma ISO 27005

Es el estándar internacional que se ocupa de la gestión de riesgos de seguridad de

información. La norma suministra las directrices para la gestión de riesgos de seguridad
de la información en una empresa, apoyando particularmente los requisitos del sistema
de gestión de seguridad de la información definidos en ISO 27001.

Es aplicable a todo tipo de organizaciones que tengan la intención de gestionar los riesgos
que puedan complicar la seguridad de la información de su organización. No recomienda
una metodología concreta, dependerá de una serie de factores, como el alcance real del
Sistema de Gestión de Seguridad de la Información (SGSI), o el sector comercial de la
propia industria.

Los usuarios elijen el método que mejor se adapte para, por ejemplo, una evaluación de
riesgos de alto nivel seguido de un análisis de riesgos en profundidad sobre las zonas de
alto riesgo.

Norma ISO 27006

Es un estándar de seguridad de la información publicado por la Organización

Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC).
Parte de la serie ISO / IEC 27000 de los estándares ISO / IEC de Sistema de Gestión de
Seguridad de la Información (SGSI), titulado Tecnología de la información - Técnicas de
seguridad - Requisitos para los organismos que proporcionan auditoría y certificación de
sistemas de gestión de seguridad de la información.

ISO / IEC 27006 establece requisitos formales para organizaciones acreditadas que
certifican otras organizaciones que cumplen con ISO / IEC 27001.

Sustituye efectivamente a EA 7/03 (Directrices para la acreditación de organismos que

operan la certificación / registro de. Sistemas de gestión de seguridad de la información).
El estándar ayuda a garantizar que los certificados ISO / IEC 27001 emitidos por
organizaciones acreditadas sean significativos y confiables, en otras palabras, es una
cuestión de seguridad.

Norma ISO 27007

La norma ISO 27007 proporciona una guía para organismos de certificación acreditados,
auditores internos, auditores externos y otros auditores contra la norma ISO 27001, es
decir, auditar el Sistema de Gestión para dar cumplimiento a la norma.

La norma ISO 27007 se basa en gran medida en ISO 19011, el estándar para auditar
sistemas de gestión, que ofrece orientación específica para el Sistema de Gestión de
Seguridad de la Información.

El estándar cubre todos los aspectos específicos del Sistema de Gestión de Seguridad de
la Información de la auditoría de cumplimiento:

❖ Administración del programa de auditoría del Sistema de Gestión de

Seguridad de la Información para determinar que se debe auditar, cuando y como,
además de asignar los auditores apropiados, administrar todos los riesgos,
mantener registros de auditoría, mejorar de forma continua el proceso, etc.
❖ Realización de una auditoría, con los que se debe realizar una
planificación, establecer una conducta, llevar a cabo las actividades clave de
auditoría, incluyendo el trabajo de campo, realizar el análisis, los informes y el
seguimiento.
❖ Gestión de auditores del Sistema de Gestión de Seguridad de la
Información, como puede ser competencias, habilidades, atributos y evaluación.