c073906 ISO IEC 27000 2018

Machine Translated by Google
INTERNACIONAL ISO/CEI
ESTÁNDAR 27000
Quinta edición
201802
Tecnología de la información — Técnicas

de seguridad — Sistemas de gestión de
seguridad de la información — Descripción
general y vocabulario
Tecnologías de la información — Técnicas de seguridad — Sistemas
de gestión de la seguridad de la información — Vista de conjunto y
vocabulario
Número de referencia
ISO/IEC 27000:2018(E)
© ISO/CEI 2018
ISO/IEC 27000:2018(E)
DOCUMENTO PROTEGIDO POR DERECHOS DE AUTOR
© ISO/CEI 2018
Reservados todos los derechos. A menos que se especifique lo contrario o se requiera en el contexto de su implementación, ninguna parte de
esta publicación puede reproducirse o utilizarse de otra manera de ninguna forma o por ningún medio, electrónico o mecánico, incluida la fotocopia,
o la publicación en Internet o una intranet, sin previa autorización. permiso escrito. El permiso se puede solicitar a ISO en la dirección que figura a
continuación o al organismo miembro de ISO en el país del solicitante.
Oficina de derechos de autor ISO
CP 401 • Cap. de Blandonnet 8
CH1214 Vernier, Ginebra, Suiza
Telf. +41 22 749 01 11
Fax +41 22 749 09 47
copyright@iso.org
www.iso.org
Publicado en Suiza
ii © ISO/IEC 2018 – Todos los derechos reservados

ISO/IEC 27000:2018(E)
Contenido Página
Prefacio................................................. ................................................. ................................................. ................................................. ................................iv
Introducción................................................. ................................................. ................................................. ................................................. ..........................v
1 Alcance................................................. ................................................. ................................................. ................................................. ..........................1
2 Referencias normativas ................................................ ................................................. ................................................. ................................1
3 Términos y definiciones............................................... ................................................. ................................................. ................................1
4 Sistemas de gestión de seguridad de la información ................................................ ................................................. ........................11

4.1 General................................................. ................................................. ................................................. ................................................. .11
4.2 ¿Qué es un SGSI? ................................................. ................................................. ................................................. ........................11
4.2.1 Descripción general y principios ................................................ ................................................. ........................................11
4.2.2 Información................................................ ................................................. ................................................. ........................12
4.2.3 Seguridad de la información................................................ ................................................. ................................................. .12

4.2.4 Gestión................................................ ................................................. ................................................. ...................12
4.2.5 Sistema de gestión................................................ ................................................. ................................................. .13

4.3 Enfoque de proceso................................................ ................................................. ................................................. ................................13
4.4 Por qué es importante un SGSI ................................................ ................................................. ................................................. ..........13

4.5 Establecer, monitorear, mantener y mejorar un SGSI.................................... ........................14
4.5.1 Descripción general................................. ................................................. ................................................. ................................14
4.5.2 Identificar los requisitos de seguridad de la información.................................... ................................14
4.5.3 Evaluación de los riesgos de seguridad de la información ......................... ................................................. .............15
4.5.4 Tratamiento de los riesgos de seguridad de la información................................. ................................................. .................15
4.5.5 Selección e implementación de controles ......................................... ................................................. ............15
4.5.6 Monitorear, mantener y mejorar la efectividad del SGSI.................................... .........dieciséis

4.5.7 Mejora continua................................................ ................................................. ...........................................dieciséis
4.6 Factores críticos de éxito del SGSI................................... ................................................. ................................................. ....17
4.7 Beneficios de la familia de estándares SGSI................................... ................................................. ..........................17
5 Familia de estándares SGSI ................................................ ................................................. ................................................. ........................18

5.1 Información general................................................ ................................................. ................................................. ................18
5.2 Estándar que describe una descripción general y terminología: ISO/IEC 27000 (este documento)...19
5.3 Normas que especifican los requisitos................................................ ................................................. ................................19
5.3.1 ISO/IEC 27001.................................... ................................................. ................................................. .................19

5.3.2 ISO/IEC 27006.................................... ................................................. ................................................. .................20
5.3.3 ISO/IEC 27009.................................... ................................................. ................................................. .................20
5.4 Normas que describen pautas generales ................................................ ................................................. ........................20
5.4.1 ISO/IEC 27002.................................... ................................................. ................................................. .................20
5.4.2 ISO/IEC 27003.................................... ................................................. ................................................. .................20
5.4.3 ISO/IEC 27004.................................... ................................................. ................................................. .................21
5.4.4 ISO/IEC 27005.................................... ................................................. ................................................. .................21
5.4.5 ISO/IEC 27007.................................... ................................................. ................................................. .................21
5.4.6 ISO/IEC TR 27008 ................................. ................................................. ................................................. .........21
5.4.7 ISO/IEC 27013.................................... ................................................. ................................................. .................22
5.4.8 ISO/IEC 27014.................................... ................................................. ................................................. .................22
5.4.9 ISO/IEC TR 27016 .......................................... ................................................. ................................................. .........22
5.4.10 ISO/IEC 27021................................. ................................................. ................................................. .................22
5.5 Normas que describen directrices sectoriales específicas ................................. ................................................. ......23
5.5.1 ISO/IEC 27010.................................... ................................................. ................................................. .................23
5.5.2 ISO/IEC 27011.................................... ................................................. ................................................. .................23
5.5.3 ISO/IEC 27017.................................... ................................................. ................................................. .................23
5.5.4 ISO/IEC 27018.................................... ................................................. ................................................. .................24
5.5.5 ISO/IEC 27019.................................... ................................................. ................................................. .................24
5.5.6 ISO 27799................................................ ................................................. ................................................. ........................25
Bibliografía................................................. ................................................. ................................................. ................................................. ........................26
© ISO/IEC 2018 – Todos los derechos reservados III

ISO/IEC 27000:2018(E)
Prefacio
ISO (la Organización Internacional de Normalización) es una federación mundial de organismos nacionales de
normalización (organismos miembros de ISO). El trabajo de preparación de Normas Internacionales normalmente se
lleva a cabo a través de comités técnicos de ISO. Cada organismo miembro interesado en un tema para el cual se ha
establecido un comité técnico tiene derecho a estar representado en ese comité. En el trabajo también participan
organizaciones internacionales, gubernamentales y no gubernamentales, en colaboración con ISO.
ISO colabora estrechamente con la Comisión Electrotécnica Internacional (IEC) en todos los asuntos de normalización
electrotécnica.
Los procedimientos utilizados para desarrollar este documento y aquellos destinados a su mantenimiento posterior
se describen en las Directivas ISO/IEC, Parte 1. En particular, deben tenerse en cuenta los diferentes criterios de
aprobación necesarios para los diferentes tipos de documentos ISO. Este documento fue redactado de acuerdo
con las reglas editoriales de las Directivas ISO/IEC, Parte 2 (ver www.iso.org/directives).
Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento puedan ser objeto
de derechos de patente. ISO no será responsable de identificar cualquiera o todos estos derechos de patente. Los
detalles de cualquier derecho de patente identificado durante el desarrollo del documento estarán en la Introducción
y/o en la lista ISO de declaraciones de patente recibidas (ver www.iso.org/patents).
Cualquier nombre comercial utilizado en este documento es información proporcionada para comodidad de los usuarios
y no constituye un respaldo.
Para obtener una explicación sobre la naturaleza voluntaria de las normas, el significado de los términos y expresiones
específicos de ISO relacionados con la evaluación de la conformidad, así como información sobre la adhesión de ISO a
los principios de la Organización Mundial del Comercio (OMC) en las Obstáculos Técnicos al Comercio (OTC), consulte
el siguiente URL: www.iso.org/iso/foreword.html.
Este documento fue preparado por el Comité Técnico ISO/IEC JTC 1, Tecnología de la información, SC 27, Técnicas de
seguridad de TI.
Esta quinta edición anula y reemplaza la cuarta edición (ISO/IEC 27000:2016), que ha sido revisada técnicamente. Los
principales cambios respecto a la edición anterior son los siguientes:
— se ha reformulado la Introducción;
— se han eliminado algunos términos y definiciones;
— se ha armonizado la cláusula 3 con respecto a la estructura de alto nivel para los SMS;
— se ha actualizado la cláusula 5 para reflejar los cambios en las normas en cuestión;
— Se suprimen los anexos A y B.
IV © ISO/IEC 2018 – Todos los derechos reservados

ISO/IEC 27000:2018(E)
Introducción
0.1 Descripción general
Las Normas Internacionales para sistemas de gestión proporcionan un modelo a seguir para establecer y operar un sistema de
gestión. Este modelo incorpora las características sobre las que los expertos en la materia han llegado a un consenso como el
estado del arte internacional. ISO/IEC JTC 1/SC 27 mantiene un comité de expertos dedicado al desarrollo de estándares
internacionales de sistemas de gestión para la seguridad de la información, también conocidos como familia de estándares del
sistema de gestión de seguridad de la información (SGSI).
Mediante el uso de la familia de estándares ISMS, las organizaciones pueden desarrollar e implementar un marco para gestionar
la seguridad de sus activos de información, incluida la información financiera, la propiedad intelectual y los detalles de los
empleados, o la información que les confían los clientes o terceros. Estos estándares también se pueden utilizar para prepararse
para una evaluación independiente de su SGSI aplicado a la protección de la información.
0.2 Propósito de este documento
La familia de estándares ISMS incluye estándares que:
a) definir los requisitos para un SGSI y para aquellos que certifican dichos sistemas;
b) proporcionar apoyo directo, orientación detallada y/o interpretación para el proceso general de establecimiento, implementación,
mantenimiento y mejora de un SGSI;
c) abordar directrices sectoriales específicas para el SGSI; y
d) abordar la evaluación de la conformidad para el SGSI.
0.3 Contenido de este documento
En este documento se utilizan las siguientes formas verbales:
— “deberá” indica un requisito;
— “debería” indica una recomendación;
— “podrá” indica un permiso;
— “puede” indica una posibilidad o una capacidad.
La información marcada como "NOTA" es una guía para comprender o aclarar el requisito asociado. Las “Notas a la entrada”
utilizadas en la Cláusula 3 proporcionan información adicional que complementa los datos terminológicos y pueden contener
disposiciones relacionadas con el uso de un término.
© ISO/IEC 2018 – Todos los derechos reservados v

ESTÁNDAR INTERNACIONAL ISO/IEC 27000:2018(E)
Tecnología de la información — Técnicas de seguridad —

Sistemas de gestión de seguridad de la información: descripción general
y vocabulario
1 Alcance
Este documento proporciona una descripción general de los sistemas de gestión de seguridad de la información (SGSI). También
proporciona términos y definiciones comúnmente utilizados en la familia de estándares ISMS. Este documento es aplicable a
todos los tipos y tamaños de organizaciones (por ejemplo, empresas comerciales, agencias gubernamentales, organizaciones
sin fines de lucro).
Los términos y definiciones proporcionados en este documento.
— abarcar términos y definiciones comúnmente utilizados en la familia de normas SGSI;
— no cubren todos los términos y definiciones aplicados dentro de la familia de normas SGSI; y
— no limitar la familia de normas SGSI al definir nuevos términos de uso.
2 Referencias normativas
No hay referencias normativas en este documento.
3Términos y definiciones
ISO e IEC mantienen bases de datos terminológicas para su uso en normalización en las siguientes direcciones:
— Plataforma de navegación ISO Online: disponible en https://www.iso.org/obp
— Electropedia IEC: disponible en https://www.electropedia.org/
3.1
control de acceso
Medios para garantizar que el acceso a los activos esté autorizado y restringido en función de los requisitos comerciales y de
seguridad (3.56).
3.2
ataque
intentar destruir, exponer, alterar, deshabilitar, robar u obtener acceso no autorizado o hacer uso no autorizado de un activo
3.3
auditoría
Proceso sistemático, independiente y documentado (3.54) para obtener evidencia de auditoría y evaluarla objetivamente para
determinar en qué medida se cumplen los criterios de auditoría.
Nota 1 a la entrada: Una auditoría puede ser una auditoría interna (de primera parte) o una auditoría externa (de segunda o de terceros),
y puede ser una auditoría combinada (que combina dos o más disciplinas).
Nota 2 a la entrada: Una auditoría interna la realiza la propia organización o una parte externa en su nombre.
Nota 3 a la entrada: “Evidencia de auditoría” y “criterios de auditoría” se definen en ISO 19011.
© ISO/IEC 2018 – Todos los derechos reservados 1

ISO/IEC 27000:2018(E)
3.4
alcance del
alcance de la auditoría y límites de una auditoría (3.3)
[FUENTE: ISO 19011:2011, 3.14, modificada. Se ha eliminado la nota 1 de la entrada.]
3.5
autenticación:
provisión de seguridad de que una característica reivindicada de una entidad es correcta
3.6
autenticidad
propiedad de que una entidad es lo que dice ser
3.7
disponibilidad
propiedad de ser accesible y utilizable bajo demanda por una entidad autorizada
3.8
medida base
medida (3.42) definida en términos de un atributo y el método para cuantificarlo
Nota 1 a la entrada: Una medida base es funcionalmente independiente de otras medidas.
[FUENTE: ISO/IEC/IEEE 15939:2017, 3.3, modificada. Se ha eliminado la nota 2 de la entrada.]
3.9
competencia
capacidad para aplicar conocimientos y habilidades para lograr los resultados previstos
3.10
propiedad de
confidencialidad según la cual la información no se pone a disposición ni se divulga a personas, entidades o procesos no autorizados
(3.54)
3.11
cumplimiento
conforme de un requisito (3.56)
3.12
consecuencia
resultado de un evento (3.21) que afecta los objetivos (3.49)
Nota 1 a la entrada: Un evento puede tener una variedad de consecuencias.
Nota 2 a la entrada: Una consecuencia puede ser cierta o incierta y, en el contexto de la seguridad de la información, suele ser negativa.
Nota 3 a la entrada: Las consecuencias pueden expresarse cualitativa o cuantitativamente.
Nota 4 a la entrada: Las consecuencias iniciales pueden intensificarse a través de efectos en cadena.
[FUENTE: Guía ISO 73:2009, 3.6.1.3, modificada: la nota 2 de la entrada se cambió después de “y”.]
3.13
actividad recurrente de mejora
continua para mejorar el desempeño (3.52)
2 © ISO/IEC 2018 – Todos los derechos reservados

ISO/IEC 27000:2018(E)
3.14
medida
de control que modifica el riesgo (3.61)
Nota 1 a la entrada: Los controles incluyen cualquier proceso (3.54), política (3.53), dispositivo, práctica u otras acciones que modifiquen el
riesgo (3.61).
Nota 2 a la entrada: Es posible que los controles no siempre ejerzan el efecto modificador previsto o supuesto.
[FUENTE: Guía ISO 73:2009, 3.8.1.1 — La nota 2 de la entrada ha sido modificada.]
3.15
Declaración del
objetivo de control que describe lo que se debe lograr como resultado de la implementación de controles (3.14).
3.16
acción
correctiva para eliminar una no conformidad detectada (3.47)
3.17
acción correctiva
acción para eliminar la causa de una no conformidad (3.47) y prevenir su recurrencia
3.18
medida derivada
medida (3.42) que se define como una función de dos o más valores de las medidas base (3.8)
3.19
información documentada
información que una organización debe controlar y mantener (3.50) y el medio en el que está contenida
Nota 1 a la entrada: La información documentada puede estar en cualquier formato y medio y de cualquier fuente.
Nota 2 a la entrada: La información documentada puede referirse a
— el sistema de gestión (3.41), incluidos los procesos relacionados (3.54);
— información creada para que la organización (3.50) funcione (documentación);
— evidencia de los resultados obtenidos (registros).
3.20
eficacia Grado
en que se realizan las actividades planificadas y se logran los resultados planificados
3.21
ocurrencia de un evento o cambio de un conjunto particular de circunstancias
Nota 1 a la entrada: Un evento puede ser una o más ocurrencias y puede tener varias causas.
Nota 2 a la entrada: Un evento puede consistir en que algo no suceda.
Nota 3 a la entrada: En ocasiones, un evento puede denominarse “incidente” o “accidente”.
[FUENTE: Guía ISO 73:2009, 3.5.1.3, modificada; se eliminó la nota 4 a la entrada.]

ISO/IEC 27000:2018(E)
3.22
contexto externo
entorno externo en el que la organización busca alcanzar sus objetivos (3.49)
Nota 1 a la entrada: El contexto externo puede incluir lo siguiente:
— los aspectos culturales, sociales, políticos, legales, regulatorios, financieros, tecnológicos, económicos, naturales y competitivos
medio ambiente, ya sea internacional, nacional, regional o local;
— impulsores y tendencias clave que tienen impacto en los objetivos de la organización (3.50);
— relaciones, percepciones y valores de las partes interesadas externas (3.37).
[FUENTE: Guía ISO 73:2009, 3.3.1.1]
3.23
gobernanza del sistema de seguridad de la
información mediante el cual se dirigen y controlan las actividades de seguridad de la información (3.28) de una organización
(3.50 )
3.24
órgano de gobierno
persona o grupo de personas que son responsables del desempeño (3.52) y la conformidad de la organización (3.50)
Nota 1 a la entrada: El órgano rector puede, en algunas jurisdicciones, ser una junta directiva.
3.25
medida
indicadora (3.42) que proporciona una estimación o evaluación
3.26
información necesaria
para gestionar objetivos (3.49), metas, riesgos y problemas
[FUENTE: ISO/IEC/IEEE 15939:2017, 3.12]
3.27
instalaciones de procesamiento de
información cualquier sistema, servicio o infraestructura de procesamiento de información, o la ubicación física que lo alberga
3.28
seguridad de la información
preservación de la confidencialidad (3.10), integridad (3.36) y disponibilidad (3.7) de la información
Nota 1 a la entrada: Además, también pueden estar involucradas otras propiedades, como autenticidad (3.6), responsabilidad, no
repudio (3.48) y confiabilidad (3.55) .
3.29
procesos de continuidad de la seguridad
de la información (3.54) y procedimientos para garantizar operaciones continuas de seguridad de la información (3.28)
3.30
evento de seguridad de la
información identificó la ocurrencia de un sistema, servicio o estado de la red que indica una posible violación de la política de
seguridad de la información (3.28) (3.53) o falla de los controles (3.14), o una situación previamente desconocida que puede
ser relevante para la seguridad.
3.31
incidente de seguridad de la información
único o una serie de eventos de seguridad de la información no deseados o inesperados (3.30) que tienen una probabilidad
significativa de comprometer las operaciones comerciales y amenazar la seguridad de la información (3.28)

ISO/IEC 27000:2018(E)
3.32
gestión de incidentes de seguridad de la información
conjunto de procesos (3.54) para detectar, informar, evaluar, responder, tratar y aprender de los incidentes de seguridad
de la información (3.31)
3.33
sistema de gestión de seguridad de la información (SGSI) persona profesional
que establece, implementa, mantiene y mejora continuamente uno o más procesos del sistema de gestión de seguridad
de la información (3.54)
3.34
grupo comunitario de organizaciones
que comparten información (3.50) que acuerdan compartir información
Nota 1 a la entrada: Una organización puede ser un individuo.
3.35
sistema de información
conjunto de aplicaciones, servicios, activos de tecnología de la información u otros componentes de manejo de información
3.36
integridad
propiedad de exactitud e integridad
3.37
parte interesada (término preferido) parte
interesada (término admitido)
persona u organización (3.50) que puede afectar, verse afectada o percibirse afectada por una decisión o actividad
3.38
contexto interno
entorno interno en el que la organización (3.50) busca alcanzar sus objetivos
Nota 1 a la entrada: El contexto interno puede incluir:
— gobernanza, estructura organizativa, funciones y responsabilidades;
— políticas (3.53), objetivos (3.49) y estrategias implementadas para alcanzarlos;
— las capacidades, entendidas en términos de recursos y conocimientos (por ejemplo, capital, tiempo, personas, procesos (3.54),
sistemas y tecnologías);
— sistemas de información (3.35), flujos de información y procesos de toma de decisiones (tanto formales como informales);
— relaciones, percepciones y valores con las partes interesadas internas (3.37);
— la cultura de la organización;
— normas, directrices y modelos adoptados por la organización;
— forma y alcance de las relaciones contractuales.
[FUENTE: Guía ISO 73:2009, 3.3.1.2]
3.39
nivel de riesgo
magnitud de un riesgo (3.61) expresada en términos de la combinación de consecuencias (3.12) y su probabilidad (3.40)
[FUENTE: Guía ISO 73:2009, 3.6.1.8, modificada: “o combinación de riesgos” se ha eliminado en la definición.]

ISO/IEC 27000:2018(E)
3.40
probabilidad
de que algo suceda
[FUENTE: Guía ISO 73:2009, 3.6.1.1, modificada; se eliminaron las notas 1 y 2 de la entrada.]
3.41
sistema de gestión
conjunto de elementos interrelacionados o que interactúan de una organización (3.50) para establecer políticas
(3.53) y objetivos (3.49) y procesos (3.54) para lograr esos objetivos
Nota 1 a la entrada: Un sistema de gestión puede abordar una sola disciplina o varias disciplinas.
Nota 2 a la entrada: Los elementos del sistema incluyen la estructura, roles y responsabilidades, planificación y operación de
la organización.
Nota 3 a la entrada: El alcance de un sistema de gestión puede incluir la totalidad de la organización, funciones específicas
e identificadas de la organización, secciones específicas e identificadas de la organización, o una o más funciones en un
grupo de organizaciones.
3.42
medida
Variable a la que se le asigna un valor como resultado de la medición (3.43)

3.43
proceso de
medición (3.54) para determinar un valor
3.44
algoritmo o cálculo de
función de medición realizado para combinar dos o más medidas base (3.8)
[FUENTE: ISO/IEC/IEEE 15939:2017, 3.20]

3.45
método de medición
secuencia lógica de operaciones, descrita genéricamente, utilizada para cuantificar un atributo con respecto a una
escala especificada
Nota 1 a la entrada: El tipo de método de medición depende de la naturaleza de las operaciones utilizadas para cuantificar
un atributo (3.4). Se pueden distinguir dos tipos:
— subjetivo: cuantificación que implica el juicio humano; y
— objetivo: cuantificación basada en reglas numéricas.

3.46
monitoreo
para determinar el estado de un sistema, un proceso (3.54) o una actividad
Nota 1 a la entrada: Para determinar el estado, puede ser necesario verificar, supervisar u observar críticamente.
3.47
no conformidad
incumplimiento de un requisito (3.56)
3.48
capacidad de no
repudio para probar la ocurrencia de un evento reivindicado (3.21) o acción y sus entidades originarias

ISO/IEC 27000:2018(E)
3.49
objetivo
resultado a lograr
Nota 1 a la entrada: Un objetivo puede ser estratégico, táctico u operativo.
Nota 2 a la entrada: Los objetivos pueden relacionarse con diferentes disciplinas (como metas financieras, de salud y seguridad y ambientales)
y pueden aplicarse en diferentes niveles [como estratégico, de toda la organización, de proyecto, de producto y de proceso (3.54)].
Nota 3 a la entrada: Un objetivo puede expresarse de otras maneras, por ejemplo, como un resultado previsto, un propósito, un criterio operativo,
como un objetivo de seguridad de la información o mediante el uso de otras palabras con significado similar (por ejemplo, objetivo, meta o
destino). ).
Nota 4 a la entrada: En el contexto de los sistemas de gestión de seguridad de la información, los objetivos de seguridad de la información son
establecidos por la organización, consistentes con la política de seguridad de la información, para lograr resultados específicos.
3.50
organización
persona o grupo de personas que tiene funciones propias con responsabilidades, autoridades y relaciones para lograr
sus objetivos (3.49)
Nota 1 a la entrada: El concepto de organización incluye, entre otros, comerciante individual, compañía, corporación, empresa, autoridad,
sociedad, organización benéfica o institución, o parte o combinación de ellas, ya sea constituida o no, pública o privada.
3.51
subcontratar
hacer un acuerdo donde una organización externa (3.50) realiza parte de la función o proceso de una organización (3.54)
Nota 1 a la entrada: Una organización externa está fuera del alcance del sistema de gestión (3.41), aunque la función o proceso subcontratado
está dentro del alcance.
3.52
actuación
resultado medible
Nota 1 a la entrada: El desempeño puede relacionarse con hallazgos cuantitativos o cualitativos.
Nota 2 a la entrada: El desempeño puede estar relacionado con la gestión de actividades, procesos (3.54), productos (incluidos servicios),
sistemas u organizaciones (3.50).
3.53
política
Intenciones y dirección de una organización (3.50), tal como las expresa formalmente su alta dirección (3.75).
3.54
proceso
Conjunto de actividades interrelacionadas o que interactúan y que transforman los insumos en productos.
3.55
fiabilidad
Propiedad del comportamiento y resultados previstos consistentes.
3.56
requisito
necesidad o expectativa declarada, generalmente implícita u obligatoria
Nota 1 a la entrada: “Generalmente implícito” significa que es costumbre o práctica común para la organización y las partes interesadas que la
necesidad o expectativa bajo consideración esté implícita.
Nota 2 a la entrada: Un requisito específico es aquel que se establece, por ejemplo, en información documentada.

ISO/IEC 27000:2018(E)
3,57
riesgo residual
(3,61) restante después del tratamiento del riesgo (3,72)
Nota 1 a la entrada: El riesgo residual puede contener un riesgo no identificado.
Nota 2 a la entrada: El riesgo residual también puede denominarse “riesgo retenido”.
3.58
revisar la
actividad realizada para determinar la idoneidad, adecuación y eficacia (3.20) de la materia en cuestión para alcanzar los objetivos establecidos
(3.49)
[FUENTE: Guía ISO 73:2009, 3.8.2.2, modificada. Se ha eliminado la nota 1 de la entrada.]
3.59
objeto de revisión
elemento específico que se está revisando
3.60
declaración del objetivo
de la revisión que describe lo que se debe lograr como resultado de una revisión (3.59)
3.61
efecto
riesgo de la incertidumbre sobre los objetivos (3.49)
Nota 1 a la entrada: Un efecto es una desviación de lo esperado, positiva o negativa.
Nota 2 a la entrada: La incertidumbre es el estado, incluso parcial, de deficiencia de información relacionada con, comprensión o conocimiento de, un
evento, su consecuencia o probabilidad.
Nota 3 a la entrada: El riesgo a menudo se caracteriza por referencia a “eventos” potenciales (como se define en la Guía ISO 73:2009, 3.5.1.3) y
“consecuencias” (como se define en la Guía ISO 73:2009, 3.6.1.3), o una combinación de estos.
Nota 4 a la entrada: El riesgo a menudo se expresa en términos de una combinación de las consecuencias de un evento (incluidos los cambios en las
circunstancias) y la “probabilidad” asociada (como se define en la Guía ISO 73:2009, 3.6.1.1) de ocurrencia.
Nota 5 a la entrada: En el contexto de los sistemas de gestión de seguridad de la información, los riesgos de seguridad de la información pueden
expresarse como efecto de la incertidumbre sobre los objetivos de seguridad de la información.
Nota 6 a la entrada: El riesgo de seguridad de la información está asociado con la posibilidad de que las amenazas exploten las vulnerabilidades de un
activo de información o grupo de activos de información y, por lo tanto, causen daño a una organización.
3.62
aceptación del riesgo
decisión informada de asumir un riesgo particular (3.61)
Nota 1 a la entrada: La aceptación del riesgo puede ocurrir sin tratamiento del riesgo (3.72) o durante el proceso (3.54) del tratamiento del riesgo.
Nota 2 a la entrada: Los riesgos aceptados están sujetos a seguimiento (3.46) y revisión (3.58).
[FUENTE: Guía ISO 73:2009, 3.7.1.6]
3.63
proceso de análisis
de riesgos (3.54) para comprender la naturaleza del riesgo (3.61) y determinar el nivel de riesgo (3.39)
Nota 1 a la entrada: El análisis de riesgos proporciona la base para la evaluación de riesgos (3.67) y las decisiones sobre el tratamiento de riesgos (3.72).
Nota 2 a la entrada: El análisis de riesgos incluye la estimación de riesgos.
[FUENTE: Guía ISO 73:2009, 3.6.1]

ISO/IEC 27000:2018(E)
3.64
proceso general de
evaluación de riesgos (3.54) de identificación de riesgos (3.68), análisis de riesgos (3.63) y evaluación de riesgos (3.67)
[FUENTE: Guía ISO 73:2009, 3.4.1]
3.65
comunicación y consulta de riesgos conjunto de
procesos continuos e iterativos (3.54) que lleva a cabo una organización para proporcionar, compartir u obtener información y
entablar un diálogo con las partes interesadas (3.37) con respecto a la gestión de riesgos (3.61)
Nota 1 a la entrada: La información puede relacionarse con la existencia, naturaleza, forma, probabilidad (3.41), importancia, evaluación, aceptabilidad
y tratamiento del riesgo.
Nota 2 a la entrada: La consulta es un proceso bidireccional de comunicación informada entre una organización (3.50) y sus partes interesadas sobre
un tema antes de tomar una decisión o determinar una dirección sobre ese tema. La consulta es
— un proceso que incide en una decisión a través de la influencia más que del poder; y
— un insumo para la toma de decisiones, no una toma de decisiones conjunta.
3.66
criterios de
riesgo términos de referencia con respecto a los cuales se evalúa la importancia del riesgo (3.61)
Nota 1 a la entrada: Los criterios de riesgo se basan en los objetivos organizacionales y el contexto externo (3.22) y el contexto interno (3.38).
Nota 2 a la entrada: Los criterios de riesgo pueden derivarse de normas, leyes, políticas (3.53) y otros requisitos (3.56).
[FUENTE: Guía ISO 73:2009, 3.3.1.3]
3.67
proceso de
evaluación de riesgos (3.54) de comparar los resultados del análisis de riesgos (3.63) con los criterios de riesgo (3.66) para
determinar si el riesgo (3.61) y/o su magnitud es aceptable o tolerable
Nota 1 a la entrada: La evaluación de riesgos ayuda en la decisión sobre el tratamiento de riesgos (3.72).
[FUENTE: Guía ISO 73:2009, 3.7.1]
3.68
proceso de identificación
de riesgos (3.54) de encontrar, reconocer y describir riesgos (3.61)
Nota 1 a la entrada: La identificación de riesgos implica la identificación de fuentes de riesgo, eventos (3.21), sus causas y sus posibles consecuencias
(3.12).
Nota 2 a la entrada: La identificación de riesgos puede involucrar datos históricos, análisis teóricos, opiniones informadas y de expertos, y las
necesidades de las partes interesadas (3.37) .
[FUENTE: Guía ISO 73:2009, 3.5.1]
3.69
gestión de riesgos
actividades coordinadas para dirigir y controlar una organización (3.50) con respecto al riesgo (3.61)
[FUENTE: Guía ISO 73:2009, 2.1]

ISO/IEC 27000:2018(E)
3.70
proceso de gestión de riesgos
aplicación sistemática de políticas de gestión (3.53), procedimientos y prácticas a las actividades de comunicación, consulta,
establecimiento del contexto e identificación, análisis, evaluación, tratamiento, seguimiento y revisión de riesgos (3.61)
Nota 1 a la entrada: ISO/IEC 27005 utiliza el término “proceso” (3.54) para describir la gestión de riesgos en general. Los elementos dentro del
proceso de gestión de riesgos (3.69) se denominan “actividades”.
[FUENTE: Guía ISO 73:2009, 3.1, modificada. Se agregó la nota 1 a la entrada.]
3.71
propietario del
riesgo persona o entidad con la responsabilidad y autoridad para gestionar un riesgo (3.61)
[FUENTE: Guía ISO 73:2009, 3.5.1.5]
3.72
tratamiento de riesgo
proceso (3.54) para modificar el riesgo (3.61)
Nota 1 a la entrada: El tratamiento de riesgos puede implicar:
— evitar el riesgo decidiendo no iniciar o continuar con la actividad que genera el riesgo;
— asumir o aumentar riesgos para aprovechar una oportunidad;
— eliminar la fuente de riesgo;
— cambiar la probabilidad (3.40);
— cambiar las consecuencias (3.12);
— compartir el riesgo con otra parte o partes (incluidos contratos y financiación de riesgos);
— retener el riesgo mediante una elección informada.
Nota 2 a la entrada: Los tratamientos de riesgo que abordan consecuencias negativas a veces se denominan “mitigación de riesgo”, “eliminación
de riesgo”, “prevención de riesgo” y “reducción de riesgo”.
Nota 3 a la entrada: El tratamiento de riesgos puede crear nuevos riesgos o modificar riesgos existentes.
[FUENTE: Guía ISO 73:2009, 3.8.1, modificada: “decisión” ha sido reemplazada por “elección” en la Nota 1 de la entrada.]
3.73
documento estándar de implementación de
seguridad que especifica las formas autorizadas para lograr la seguridad
3.74
amenaza
causa potencial de un incidente no deseado, que puede resultar en daño a un sistema u organización (3.50)
3.75
alta dirección persona
o grupo de personas que dirige y controla una organización (3.50) al más alto nivel
Nota 1 a la entrada: La alta dirección tiene el poder de delegar autoridad y proporcionar recursos dentro de la organización.
Nota 2 a la entrada: Si el alcance del sistema de gestión (3.41) cubre solo una parte de una organización, entonces la alta dirección se refiere
a aquellos que dirigen y controlan esa parte de la organización.

ISO/IEC 27000:2018(E)
Nota 3 a la entrada: La alta dirección a veces se denomina dirección ejecutiva y puede incluir directores
ejecutivos, directores financieros, directores de información y funciones similares.
3.76
entidad de comunicación de información confiable
organización autónoma (3.50) que apoya el intercambio de información dentro de una comunidad de intercambio de información (3.34)
3.77
vulnerabilidad
debilidad de un activo o control (3.14) que puede ser explotado por una o más amenazas (3.74)
4 Sistemas de gestión de seguridad de la información
4.1 Generalidades
Organizaciones de todo tipo y tamaño:
a) recopilar, procesar, almacenar y transmitir información;
b) reconocer que la información y los procesos, sistemas, redes y personas relacionados son activos importantes para lograr los objetivos
de la organización;
c) enfrentar una variedad de riesgos que pueden afectar el funcionamiento de los activos; y
d) abordar su exposición al riesgo percibido mediante la implementación de controles de seguridad de la información.
Toda la información que posee y procesa una organización está sujeta a amenazas de ataque, error, naturaleza (por ejemplo, inundación
o incendio), etc., y está sujeta a vulnerabilidades inherentes a su uso. El término seguridad de la información se basa generalmente en
que la información se considera un activo que tiene un valor que requiere una protección adecuada, por ejemplo, contra la pérdida de
disponibilidad, confidencialidad e integridad.
Permitir que información precisa y completa esté disponible de manera oportuna para quienes tienen una necesidad autorizada es un
catalizador para la eficiencia empresarial.
Proteger los activos de información mediante la definición, el logro, el mantenimiento y la mejora efectiva de la seguridad de la
información es esencial para permitir que una organización alcance sus objetivos y mantenga y mejore su cumplimiento legal y su
imagen. Estas actividades coordinadas que dirigen la implementación de controles adecuados y tratan los riesgos inaceptables de
seguridad de la información se conocen generalmente como elementos de gestión de la seguridad de la información.
A medida que los riesgos de seguridad de la información y la eficacia de los controles cambian según las circunstancias cambiantes, las
organizaciones necesitan:
a) monitorear y evaluar la efectividad de los controles y procedimientos implementados;
b) identificar los riesgos emergentes a tratar; y
c) seleccionar, implementar y mejorar los controles apropiados según sea necesario.
Para interrelacionar y coordinar dichas actividades de seguridad de la información, cada organización necesita establecer su política y
objetivos para la seguridad de la información y lograr esos objetivos de manera efectiva mediante el uso de un sistema de gestión.
4.2 ¿Qué es un SGSI?
4.2.1 Descripción general y principios
Un SGSI consta de políticas, procedimientos, directrices y recursos y actividades asociados, gestionados colectivamente por una
organización, en la búsqueda de proteger sus activos de información. Un SGSI es un enfoque sistemático para establecer, implementar,
operar, monitorear, revisar, mantener

ISO/IEC 27000:2018(E)
y mejorar la seguridad de la información de una organización para lograr los objetivos comerciales. Se basa en una evaluación de
riesgos y los niveles de aceptación de riesgos de la organización diseñados para tratar y gestionar los riesgos de forma eficaz.
Analizar los requisitos para la protección de los activos de información y aplicar controles adecuados para garantizar la protección
de estos activos de información, según sea necesario, contribuye a la implementación exitosa de un SGSI. Los siguientes
principios fundamentales también contribuyen a la implementación exitosa de un SGSI:
a) conciencia de la necesidad de seguridad de la información;
b) asignación de responsabilidad por la seguridad de la información;
c) incorporar el compromiso de la gestión y los intereses de las partes interesadas;
d) mejorar los valores sociales;
e) evaluaciones de riesgos que determinen los controles apropiados para alcanzar niveles aceptables de riesgo;
f) la seguridad incorporada como elemento esencial de las redes y sistemas de información;
g) prevención y detección activa de incidentes de seguridad de la información;
h) garantizar un enfoque integral para la gestión de la seguridad de la información;
i) reevaluación continua de la seguridad de la información y realización de modificaciones según corresponda.
4.2.2 Información
La información es un activo que, al igual que otros activos comerciales importantes, es esencial para el negocio de una
organización y, en consecuencia, debe protegerse adecuadamente. La información se puede almacenar en muchas formas,
incluyendo: forma digital (por ejemplo, archivos de datos almacenados en medios electrónicos u ópticos), forma material (por
ejemplo, en papel), así como información no representada en forma de conocimiento de los empleados. La información puede
transmitirse por diversos medios, incluidos: mensajería, comunicación electrónica o verbal. Cualquiera que sea la forma que
adopte la información o el medio por el que se transmita, siempre necesita una protección adecuada.
En muchas organizaciones, la información depende de la tecnología de la información y las comunicaciones. Esta tecnología
suele ser un elemento esencial en la organización y ayuda a facilitar la creación, procesamiento, almacenamiento, transmisión,
protección y destrucción de información.
4.2.3 Seguridad de la información
La seguridad de la información garantiza la confidencialidad, disponibilidad e integridad de la información. La seguridad de la

información implica la aplicación y gestión de controles apropiados que implican la consideración de una amplia gama de
amenazas, con el objetivo de garantizar el éxito y la continuidad del negocio sostenido, y minimizar las consecuencias de los
incidentes de seguridad de la información.
La seguridad de la información se logra mediante la implementación de un conjunto de controles aplicables, seleccionados a

través del proceso de gestión de riesgos elegido y gestionados mediante un SGSI, que incluye políticas, procesos, procedimientos,
estructuras organizativas, software y hardware para proteger los activos de información identificados. Estos controles deben
especificarse, implementarse, monitorearse, revisarse y mejorarse cuando sea necesario, para garantizar que se cumplan los
objetivos comerciales y de seguridad de la información específicos de la organización. Se espera que los controles de seguridad
de la información relevantes se integren perfectamente con los procesos comerciales de una organización.
4.2.4 Gestión
La gestión implica actividades para dirigir, controlar y mejorar continuamente la organización dentro de estructuras apropiadas.
Las actividades de gestión incluyen el acto, manera o práctica de organizar, manejar, dirigir, supervisar y controlar los recursos.
Las estructuras de gestión se extienden desde una persona en una organización pequeña hasta jerarquías de gestión formadas
por muchos individuos en organizaciones grandes.

ISO/IEC 27000:2018(E)
En términos de un SGSI, la gestión implica la supervisión y la toma de decisiones necesarias para lograr los objetivos comerciales a
través de la protección de los activos de información de la organización. La gestión de la seguridad de la información se expresa a
través de la formulación y el uso de políticas, procedimientos y directrices de seguridad de la información, que luego son aplicados
en toda la organización por todos los individuos asociados con la organización.
4.2.5 Sistema de gestión
Un sistema de gestión utiliza un marco de recursos para lograr los objetivos de una organización. El sistema de gestión incluye
estructura organizacional, políticas, planificación de actividades, responsabilidades, prácticas, procedimientos, procesos y recursos.
En términos de seguridad de la información, un sistema de gestión permite a una organización:
a) satisfacer los requisitos de seguridad de la información de los clientes y otras partes interesadas;
b) mejorar los planes y actividades de una organización;
c) cumplir con los objetivos de seguridad de la información de la organización;
d) cumplir con las regulaciones, leyes y mandatos de la industria; y
e) gestionar los activos de información de una manera organizada que facilite la mejora continua y el ajuste a los objetivos
organizacionales actuales.
4.3 Enfoque de proceso

Las organizaciones necesitan identificar y gestionar muchas actividades para funcionar de forma eficaz y eficiente. Cualquier actividad
que utilice recursos debe gestionarse para permitir la transformación de insumos en productos mediante un conjunto de actividades
interrelacionadas o que interactúan; esto también se conoce como proceso. El resultado de un proceso puede constituir directamente
el insumo de otro proceso y, en general, esta transformación se lleva a cabo en condiciones planificadas y controladas. La aplicación
de un sistema de procesos dentro de una organización, junto con la identificación y las interacciones de estos procesos y su gestión,
puede denominarse "enfoque de procesos".
4.4 Por qué es importante un SGSI

Es necesario abordar los riesgos asociados con los activos de información de una organización. Lograr la seguridad de la información
requiere la gestión del riesgo y abarca riesgos de amenazas físicas, humanas y tecnológicas asociadas con todas las formas de
información dentro o utilizadas por la organización.
Se espera que la adopción de un SGSI sea una decisión estratégica para una organización y es necesario que esta decisión se
integre, amplíe y actualice perfectamente de acuerdo con las necesidades de la organización.
El diseño y la implementación del SGSI de una organización están influenciados por las necesidades y objetivos de la organización,
los requisitos de seguridad, los procesos de negocio empleados y el tamaño y estructura de la organización. El diseño y operación
de un SGSI debe reflejar los intereses y requisitos de seguridad de la información de todas las partes interesadas de la organización,
incluidos clientes, proveedores, socios comerciales, accionistas y otros terceros relevantes.
En un mundo interconectado, la información y los procesos, sistemas y redes relacionados constituyen activos comerciales críticos.
Las organizaciones y sus sistemas y redes de información enfrentan amenazas a la seguridad provenientes de una amplia gama de
fuentes, incluido el fraude asistido por computadora, el espionaje, el sabotaje, el vandalismo, los incendios y las inundaciones. Los
daños a los sistemas y redes de información causados por códigos maliciosos, piratería informática y ataques de denegación de
servicio se han vuelto más comunes, más ambiciosos y cada vez más sofisticados.
Un SGSI es importante para las empresas del sector público y privado. En cualquier industria, un SGSI es un facilitador que respalda
el comercio electrónico y es esencial para las actividades de gestión de riesgos. La interconexión de redes públicas y privadas y el
intercambio de activos de información aumentan la dificultad de controlar

ISO/IEC 27000:2018(E)
acceso y manejo de la información. Además, la distribución de dispositivos de almacenamiento móviles que contienen activos de
información puede debilitar la eficacia de los controles tradicionales. Cuando las organizaciones adoptan la familia de estándares
ISMS, se puede demostrar a los socios comerciales y otras partes interesadas la capacidad de aplicar principios de seguridad de la
información consistentes y mutuamente reconocibles.
La seguridad de la información no siempre se tiene en cuenta en el diseño y desarrollo de sistemas de información. Además, a menudo
se piensa que la seguridad de la información es una solución técnica. Sin embargo, la seguridad de la información que se puede lograr
a través de medios técnicos es limitada y puede resultar ineficaz si no está respaldada por una gestión y procedimientos adecuados
en el contexto de un SGSI.
Integrar la seguridad en un sistema de información funcionalmente completo puede resultar difícil y costoso. Un SGSI implica identificar
qué controles existen y requiere una planificación cuidadosa y atención a los detalles. Por ejemplo, los controles de acceso, que
pueden ser técnicos (lógicos), físicos, administrativos (de gestión) o una combinación, proporcionan un medio para garantizar que el
acceso a los activos de información esté autorizado y restringido en función de los requisitos de seguridad de la información y del
negocio.
La adopción exitosa de un SGSI es importante para proteger los activos de información, permitiendo a una organización:
a) lograr una mayor seguridad de que sus activos de información estén adecuadamente protegidos contra amenazas en un
base continua;
b) mantener un marco estructurado e integral para identificar y evaluar los riesgos de seguridad de la información, seleccionar y aplicar
los controles aplicables y medir y mejorar su efectividad;
c) mejorar continuamente su entorno de control; y
d) lograr efectivamente el cumplimiento legal y regulatorio.
4.5 Establecer, monitorear, mantener y mejorar un SGSI
4.5.1 Descripción general
Una organización necesita emprender los siguientes pasos para establecer, monitorear, mantener y mejorar su SGSI:
a) identificar los activos de información y sus requisitos de seguridad de la información asociados (ver 4.5.2);
b) evaluar los riesgos de seguridad de la información (ver 4.5.3) y tratar los riesgos de seguridad de la información (ver 4.5.4);
c) seleccionar e implementar controles relevantes para gestionar riesgos inaceptables (ver 4.5.5);
d) monitorear, mantener y mejorar la efectividad de los controles asociados con los activos de información de la organización (ver
4.5.6).
Para garantizar que el SGSI proteja eficazmente los activos de información de la organización de forma continua, es necesario que los
pasos a) ad) se repitan continuamente para identificar cambios en los riesgos o en las estrategias u objetivos comerciales de la
organización.
4.5.2 Identificación de los requisitos de seguridad de la información
Dentro de la estrategia general y los objetivos comerciales de la organización, su tamaño y distribución geográfica, los requisitos de
seguridad de la información se pueden identificar mediante la comprensión de lo siguiente:
a) activos de información identificados y su valor;
b) necesidades comerciales de procesamiento, almacenamiento y comunicación de información;
c) requisitos legales, regulatorios y contractuales.
Llevar a cabo una evaluación metódica de los riesgos asociados con los activos de información de la organización implica analizar las
amenazas a los activos de información, las vulnerabilidades y la probabilidad de una amenaza.

ISO/IEC 27000:2018(E)
materializándose en los activos de información, y el impacto potencial de cualquier incidente de seguridad de la información en los activos de
información. Se espera que el gasto en controles relevantes sea proporcional al impacto empresarial percibido de la materialización del riesgo.
4.5.3 Evaluación de riesgos de seguridad de la información
La gestión de los riesgos de seguridad de la información requiere un método adecuado de evaluación y tratamiento de riesgos que pueda incluir
una estimación de los costos y beneficios, los requisitos legales, las preocupaciones de las partes interesadas y otros insumos y variables según
corresponda.
La evaluación de riesgos debe identificar, cuantificar y priorizar los riesgos frente a criterios de aceptación de riesgos y objetivos relevantes
para la organización. Los resultados deben guiar y determinar las acciones de gestión apropiadas y las prioridades para gestionar los riesgos
de seguridad de la información y para implementar controles seleccionados para proteger contra estos riesgos.
La evaluación de riesgos debe incluir:
— el enfoque sistemático de estimación de la magnitud de los riesgos (análisis de riesgos); y
— el proceso de comparar los riesgos estimados con los criterios de riesgo para determinar la importancia de
los riesgos (evaluación de riesgos).
La evaluación de riesgos debe realizarse periódicamente para abordar los cambios en los requisitos de seguridad de la información y en la
situación de riesgo, por ejemplo en los activos, las amenazas, las vulnerabilidades, los impactos, la evaluación de riesgos y cuando se
produzcan cambios significativos. Estas evaluaciones de riesgos deben realizarse de manera metódica capaz de producir resultados
comparables y reproducibles.
La evaluación de riesgos de seguridad de la información debe tener un alcance claramente definido para que sea efectiva y debe incluir
relaciones con evaluaciones de riesgos en otras áreas, si corresponde.
ISO/IEC 27005 proporciona orientación para la gestión de riesgos de seguridad de la información, incluido asesoramiento sobre evaluación de
riesgos, tratamiento de riesgos, aceptación de riesgos, informes de riesgos, monitoreo de riesgos y revisión de riesgos. También se incluyen
ejemplos de metodologías de evaluación de riesgos.
4.5.4 Tratamiento de los riesgos de seguridad de la información
Antes de considerar el tratamiento de un riesgo, la organización debería definir criterios para determinar si los riesgos pueden aceptarse o no.
Los riesgos pueden aceptarse si, por ejemplo, se evalúa que el riesgo es bajo o que el costo del tratamiento no es rentable para la organización.
Estas decisiones deben quedar registradas.
Para cada uno de los riesgos identificados tras la evaluación de riesgos, es necesario tomar una decisión sobre el tratamiento del riesgo. Las
posibles opciones para el tratamiento del riesgo incluyen las siguientes:
a) aplicar controles adecuados para reducir los riesgos;
b) aceptar riesgos consciente y objetivamente, siempre que satisfagan claramente la política de la organización
y criterios para la aceptación de riesgos;
c) evitar riesgos al no permitir acciones que causarían que los riesgos ocurran;
d) compartir los riesgos asociados con otras partes, por ejemplo aseguradores o proveedores.
Para aquellos riesgos donde la decisión de tratamiento del riesgo ha sido aplicar controles apropiados, estos controles deben seleccionarse e
implementarse.
4.5.5 Selección e implementación de controles
Una vez que se han identificado los requisitos de seguridad de la información (ver 4.5.2), se han determinado y evaluado los riesgos de
seguridad de la información para los activos de información identificados (ver 4.5.3) y se han tomado decisiones para la

ISO/IEC 27000:2018(E)
Una vez realizado el tratamiento de los riesgos de seguridad de la información (ver 4.5.4), se aplica la selección e implementación
de controles para la reducción de riesgos.
Los controles deben garantizar que los riesgos se reduzcan a un nivel aceptable teniendo en cuenta lo siguiente:
a) requisitos y limitaciones de la legislación y regulaciones nacionales e internacionales;
b) objetivos organizacionales;
c) requisitos y limitaciones operacionales;
d) su costo de implementación y operación en relación con los riesgos se reduce y permanece proporcional a los requisitos y
limitaciones de la organización;
e) sus objetivos de monitorear, evaluar y mejorar la eficiencia y eficacia de los controles de seguridad de la información para
apoyar los objetivos de la organización. La selección e implementación de controles debe documentarse dentro de una
declaración de aplicabilidad para ayudar con los requisitos de cumplimiento;
f) la necesidad de equilibrar la inversión en implementación y operación de controles contra la pérdida

probable que resulten de incidentes de seguridad de la información.
Los controles especificados en ISO/IEC 27002 se reconocen como mejores prácticas aplicables a la mayoría de las
organizaciones y se adaptan fácilmente para adaptarse a organizaciones de diversos tamaños y complejidades.
Otras normas de la familia de normas SGSI brindan orientación sobre la selección y aplicación de los controles ISO/IEC 27002
para el SGSI.
Los controles de seguridad de la información deben considerarse en la etapa de diseño y especificación de requisitos de
sistemas y proyectos. No hacerlo puede generar costos adicionales y soluciones menos efectivas y, en el peor de los casos, la
imposibilidad de lograr una seguridad adecuada. Los controles se pueden seleccionar desde ISO/IEC 27002 o desde otros
conjuntos de control. Alternativamente, se pueden diseñar nuevos controles para satisfacer las necesidades específicas de la
organización. Es necesario reconocer la posibilidad de que algunos controles no sean aplicables a todos los sistemas o entornos
de información, y no sean practicables para todas las organizaciones.
A veces, implementar un conjunto de controles elegido lleva tiempo y, durante ese tiempo, el nivel de riesgo puede ser mayor
de lo que se puede tolerar a largo plazo. Los criterios de riesgo deben cubrir la tolerabilidad de los riesgos a corto plazo mientras
se implementan los controles. Las partes interesadas deben ser informadas de los niveles de riesgo que se estiman o anticipan
en diferentes momentos a medida que se implementan progresivamente los controles.
Debe tenerse en cuenta que ningún conjunto de controles puede lograr una seguridad completa de la información. Se deben
implementar acciones de gestión adicionales para monitorear, evaluar y mejorar la eficiencia y eficacia de los controles de
seguridad de la información para respaldar los objetivos de la organización.
La selección e implementación de controles debe documentarse dentro de una declaración de aplicabilidad para ayudar con los
requisitos de cumplimiento.
4.5.6 Monitorear, mantener y mejorar la efectividad del SGSI
Una organización necesita mantener y mejorar el SGSI mediante el seguimiento y la evaluación del desempeño en comparación
con las políticas y objetivos de la organización, y reportando los resultados a la gerencia para su revisión. Esta revisión del SGSI
verifica que el SGSI incluya controles específicos que sean adecuados para tratar los riesgos dentro del alcance del SGSI.
Además, a partir de los registros de estas áreas monitoreadas, proporciona evidencias de verificación y trazabilidad de acciones
correctivas, preventivas y de mejora.
4.5.7 Mejora continua
El objetivo de la mejora continua de un SGSI es aumentar la probabilidad de alcanzar objetivos relacionados con la preservación
de la confidencialidad, disponibilidad e integridad de la información. El enfoque de la mejora continua es buscar oportunidades
de mejora y no asumir que las actividades de gestión existentes son lo suficientemente buenas o tan buenas como pueden.
dieciséis
© ISO/IEC 2018 – Todos los derechos reservados
ISO/IEC 27000:2018(E)
Las acciones de mejora incluyen las siguientes:
a) analizar y evaluar la situación existente para identificar áreas de mejora;
b) establecer los objetivos de mejora;
c) buscar posibles soluciones para alcanzar los objetivos;
d) evaluar estas soluciones y hacer una selección;
e) implementar la solución seleccionada;
f) medir, verificar, analizar y evaluar los resultados de la implementación para determinar que
se han cumplido los objetivos;
g) formalizar cambios.
Los resultados se revisan, según sea necesario, para determinar nuevas oportunidades de mejora. De este modo, la
mejora es una actividad continua, es decir, las acciones se repiten con frecuencia. Los comentarios de los clientes y
otras partes interesadas, las auditorías y la revisión del sistema de gestión de seguridad de la información también se
pueden utilizar para identificar oportunidades de mejora.
4.6 Factores críticos de éxito del SGSI
Una gran cantidad de factores son críticos para la implementación exitosa de un SGSI que permita a una organización
cumplir con sus objetivos comerciales. Ejemplos de factores críticos de éxito incluyen los siguientes:
a) política, objetivos y actividades de seguridad de la información alineados con los objetivos;
b) un enfoque y marco para diseñar, implementar, monitorear, mantener y mejorar la seguridad de la información
consistente con la cultura organizacional;
c) apoyo y compromiso visibles de todos los niveles de gestión, especialmente de la alta dirección;
d) una comprensión de los requisitos de protección de activos de información logrados mediante la aplicación de la
gestión de riesgos de seguridad de la información (ver ISO/IEC 27005);
e) un programa eficaz de concientización, capacitación y educación sobre seguridad de la información, que informe a
todos los empleados y otras partes relevantes de sus obligaciones de seguridad de la información establecidas en
las políticas, estándares, etc. de seguridad de la información, y los motive a actuar en consecuencia;
f) un proceso eficaz de gestión de incidentes de seguridad de la información;
g) un enfoque eficaz de gestión de la continuidad del negocio;
h) un sistema de medición utilizado para evaluar el desempeño en la gestión de la seguridad de la información y

sugerencias de comentarios para mejorar.
Un SGSI aumenta la probabilidad de que una organización alcance consistentemente los factores críticos de éxito
necesarios para proteger sus activos de información.
4.7Beneficios de la familia de estándares SGSI
Los beneficios de implementar un SGSI resultan principalmente de una reducción de los riesgos de seguridad de la
información (es decir, reducir la probabilidad y/o el impacto causado por incidentes de seguridad de la información).
Específicamente, los beneficios obtenidos para que una organización logre un éxito sostenible a partir de la adopción de
la familia de estándares SGSI incluyen los siguientes:
a) un marco estructurado que respalde el proceso de especificación, implementación, operación y mantenimiento de un

SGSI integral, rentable, creador de valor, integrado y alineado que satisfaga las necesidades de la organización en
diferentes operaciones y sitios;

ISO/IEC 27000:2018(E)
b) asistencia a la gerencia para administrar consistentemente y operar de manera responsable su enfoque hacia la gestión de
seguridad de la información, dentro del contexto de la gestión y gobernanza de riesgos corporativos, incluida la educación y
capacitación de propietarios de empresas y sistemas sobre la gestión holística de la seguridad de la información;
c) promoción de buenas prácticas de seguridad de la información globalmente aceptadas de manera no prescriptiva, dando a las
organizaciones la libertad de adoptar y mejorar controles relevantes que se adapten a sus circunstancias específicas y de
mantenerlos frente a cambios internos y externos;
d) provisión de un lenguaje común y una base conceptual para la seguridad de la información, lo que facilita la confianza en los
socios comerciales con un SGSI compatible, especialmente si requieren certificación según ISO/IEC 27001 por parte de un
organismo de certificación acreditado;
e) aumento de la confianza de las partes interesadas en la organización;
f) satisfacer las necesidades y expectativas de la sociedad;
g) una gestión económica más eficaz de las inversiones en seguridad de la información.
5 familia de estándares SGSI

5.1 Información general
La familia de normas ISMS consta de normas interrelacionadas, ya publicadas o en desarrollo, y contiene una serie de
componentes estructurales importantes. Estos componentes se centran en:
— normas que describen los requisitos del SGSI (ISO/IEC 27001);
— requisitos del organismo de certificación (ISO/IEC 27006) para aquellos que certifican la conformidad con
ISO/CEI 27001; y
— marco de requisitos adicionales para implementaciones sectoriales del SGSI (ISO/IEC 27009).
Otros documentos brindan orientación para diversos aspectos de la implementación de un SGSI, abordando un proceso genérico
así como orientación específica del sector.
Las relaciones entre la familia de estándares ISMS se ilustran en la Figura 1.

ISO/IEC 27000:2018(E)
Estándar de vocabulario
27000
Cláusula 5.2
Estándares de
requisitos
27001 27006 27009
Cláusula 5.3
27002 27003 27004 27005 27007 TR 27008

áG
m
lIiS
seraadin esS
ta F
d
e
Normas directrices

Cláusula 5.4
27013 27014 TR 27016 27021
Específico del sector

normas directrices 27010 27011 27017 27018 27019
Cláusula 5.5
Normas de directrices específicas de control

2703x 2704x
(fuera del alcance de este documento)
Figura 1 — Familia de relaciones de estándares SGSI
Cada uno de los estándares de la familia SGSI se describe a continuación por su tipo (o función) dentro de la familia de
estándares SGSI y su número de referencia.
5.2 Estándar que describe una descripción general y terminología: ISO/IEC 27000 (este documento)
Tecnología de la información — Técnicas de seguridad — Sistemas de gestión de seguridad de la información — Descripción

general y vocabulario
Alcance: Este documento proporciona a organizaciones e individuos:
a) una visión general de la familia de normas SGSI;
b) una introducción a los sistemas de gestión de seguridad de la información; y
c) términos y definiciones utilizados en toda la familia de estándares SGSI.
Propósito: Este documento describe los fundamentos de los sistemas de gestión de seguridad de la información, que forman el
tema de la familia de estándares SGSI y define términos relacionados.
5.3 Normas que especifican los requisitos
5.3.1 ISO/CEI 27001
Tecnología de la información — Técnicas de seguridad — Sistemas de gestión de seguridad de la información —

Requisitos
Alcance: Este documento especifica los requisitos para establecer, implementar, operar, monitorear, revisar, mantener y mejorar
sistemas formalizados de gestión de seguridad de la información (SGSI) dentro del contexto de los riesgos comerciales generales
de la organización. Especifica requisitos para la implementación de controles de seguridad de la información personalizados
según las necesidades de organizaciones individuales o partes de ellas. Este documento puede ser utilizado por todas las
organizaciones, independientemente de su tipo, tamaño y naturaleza.

ISO/IEC 27000:2018(E)
Propósito: ISO/IEC 27001 proporciona requisitos normativos para el desarrollo y operación de un SGSI, incluido un conjunto de
controles para el control y mitigación de los riesgos asociados con los activos de información que la organización busca proteger
mediante la operación de su SGSI. Las organizaciones que operan un SGSI pueden hacer que se audite y certifique su
conformidad. Los objetivos de control y controles de ISO/IEC 27001:2013, Anexo A se seleccionarán como parte de este proceso
SGSI según corresponda para cubrir los requisitos identificados. Los objetivos de control y controles enumerados en ISO/IEC
27001:2013, Tabla A.1 se derivan directamente y están alineados con los enumerados en ISO/IEC 27002:2013, Cláusulas 5 a 18.
5.3.2 ISO/CEI 27006
Tecnología de la información — Técnicas de seguridad — Requisitos para los organismos que realizan auditorías y certificaciones
de sistemas de gestión de seguridad de la información
Alcance: Este documento especifica los requisitos y proporciona orientación para los organismos que brindan auditoría y
certificación SGSI de acuerdo con ISO/IEC 27001, además de los requisitos contenidos en ISO/IEC 17021. Su objetivo principal
es respaldar la acreditación de los organismos de certificación que brindan certificación SGSI. según ISO/IEC 27001.
Los requisitos contenidos en este documento deben ser demostrados en términos de competencia y confiabilidad por parte de
cualquiera que proporcione la certificación ISMS, y la guía contenida en este documento proporciona una interpretación adicional
de estos requisitos para cualquiera que proporcione la certificación ISMS.
Propósito: ISO/IEC 27006 complementa ISO/IEC 17021 al proporcionar los requisitos mediante los cuales las organizaciones de
certificación están acreditadas, permitiendo así que estas organizaciones proporcionen certificaciones de cumplimiento
consistentemente con los requisitos establecidos en ISO/IEC 27001.
5.3.3 ISO/CEI 27009
Tecnología de la información — Técnicas de seguridad — Aplicación sectorial de ISO/IEC 27001 —

Requisitos
Alcance: Este documento define los requisitos para el uso de ISO/IEC 27001 en cualquier sector específico (campo, área de
aplicación o sector de mercado). Explica cómo incluir requisitos adicionales a los de ISO/IEC 27001, cómo perfeccionar cualquiera
de los requisitos de ISO/IEC 27001 y cómo incluir controles o conjuntos de controles además de ISO/IEC 27001:2013, Anexo A.
Propósito: ISO/IEC 27009 garantiza que los requisitos adicionales o refinados no entren en conflicto con los requisitos de ISO/IEC
27001.
5.4 Normas que describen pautas generales
5.4.1 ISO/CEI 27002
Tecnología de la información — Técnicas de seguridad — Código de prácticas para los controles de seguridad de la información
Alcance: Este documento proporciona una lista de objetivos de control comúnmente aceptados y controles de mejores prácticas
que se utilizarán como guía de implementación al seleccionar e implementar controles para lograr la seguridad de la información.
Propósito: ISO/IEC 27002 proporciona orientación sobre la implementación de controles de seguridad de la información.
Específicamente, las Cláusulas 5 a 18 brindan asesoramiento y orientación de implementación específicos sobre las mejores
prácticas en apoyo de los controles especificados en ISO/IEC 27001:2013, A.5 a A.18.
5.4.2 ISO/CEI 27003
Tecnología de la información — Técnicas de seguridad — Gestión de la seguridad de la información — Orientación
Alcance: Este documento proporciona explicación y orientación sobre ISO/IEC 27001:2013.

ISO/IEC 27000:2018(E)
Propósito: ISO/IEC 27003 proporciona antecedentes para la implementación exitosa del SGSI de acuerdo con ISO/IEC
27001.
5.4.3 ISO/CEI 27004
Tecnología de la información — Técnicas de seguridad — Gestión de la seguridad de la información — Seguimiento,

medición, análisis y evaluación
Alcance: Este documento proporciona pautas destinadas a ayudar a las organizaciones a evaluar el desempeño de la
seguridad de la información y la efectividad del SGSI para cumplir con los requisitos de ISO/IEC 27001:2013, 9.1. Se
dirige a:
a) el seguimiento y medición del desempeño de la seguridad de la información;
b) el seguimiento y medición de la eficacia de una gestión de seguridad de la información

sistema (SGSI), incluidos sus procesos y controles;
c) el análisis y la evaluación de los resultados del seguimiento y medición.
Propósito: ISO/IEC 27004 proporciona un marco que permite medir y evaluar la eficacia del SGSI de acuerdo con ISO/
IEC 27001.
5.4.4 ISO/CEI 27005
Tecnología de la información — Técnicas de seguridad — Gestión de riesgos de seguridad de la información
Alcance: Este documento proporciona pautas para la gestión de riesgos de seguridad de la información. El enfoque
descrito en este documento respalda los conceptos generales especificados en ISO/IEC 27001.
Propósito: ISO/IEC 27005 proporciona orientación sobre la implementación de un enfoque de gestión de riesgos orientado
a procesos para ayudar a implementar y cumplir satisfactoriamente los requisitos de gestión de riesgos de seguridad de
la información de ISO/IEC 27001.
5.4.5 ISO/CEI 27007
Tecnología de la información — Técnicas de seguridad — Directrices para la auditoría de los sistemas de gestión de la seguridad de la
información
Alcance: Este documento proporciona orientación sobre la realización de auditorías de SGSI, así como orientación sobre
la competencia de los auditores de sistemas de gestión de seguridad de la información, además de la orientación
contenida en la norma ISO 19011, que es aplicable a los sistemas de gestión en general.
Propósito: ISO/IEC 27007 proporcionará orientación a las organizaciones que necesitan realizar auditorías internas o
externas de un SGSI o gestionar un programa de auditoría de SGSI según los requisitos especificados en ISO/IEC 27001.
5.4.6 ISO/CEI TR 27008
Tecnología de la información — Técnicas de seguridad — Directrices para auditores sobre controles de seguridad de la información
Alcance: Este documento proporciona orientación sobre la revisión de la implementación y operación de los controles,
incluida la verificación del cumplimiento técnico de los controles del sistema de información, de conformidad con los
estándares de seguridad de la información establecidos por una organización.
Propósito: Este documento se centra en las revisiones de los controles de seguridad de la información, incluida la
verificación del cumplimiento técnico, con respecto a un estándar de implementación de seguridad de la información
establecido por la organización. No pretende proporcionar ninguna guía específica sobre la verificación del cumplimiento
con respecto a la medición, evaluación de riesgos o auditoría de un SGSI como se especifica en ISO/IEC 27004, ISO/IEC
27005 o ISO/IEC 27007, respectivamente. Este documento no está destinado a auditorías de sistemas de gestión.

ISO/IEC 27000:2018(E)
5.4.7 ISO/CEI 27013
Tecnología de la información — Técnicas de seguridad — Orientación sobre la implementación integrada de

ISO/IEC 27001 e ISO/IEC 200001
Alcance: Este documento proporciona orientación sobre la implementación integrada de ISO/IEC 27001 y
ISO/IEC 200001 para organizaciones que pretenden:
a) implementar ISO/IEC 27001 cuando ISO/IEC 200001 ya esté implementado, o viceversa;
b) implementar tanto ISO/IEC 27001 como ISO/IEC 200001 juntas;
c) integrar los sistemas de gestión existentes basados en ISO/IEC 27001 e ISO/IEC 200001.
Este documento se centra exclusivamente en la implementación integrada de un sistema de gestión de seguridad de la información
(SGSI) como se especifica en ISO/IEC 27001 y un sistema de gestión de servicios (SMS) como se especifica en ISO/IEC 200001.
En la práctica, ISO/IEC 27001 e ISO/IEC 200001 también pueden integrarse con otras normas de sistemas de gestión, como ISO
9001 e ISO 14001.
Propósito: Proporcionar a las organizaciones una mejor comprensión de las características, similitudes y diferencias de ISO/IEC
27001 e ISO/IEC 200001 para ayudar en la planificación de un sistema de gestión integrado que cumpla con ambas Normas
Internacionales.
5.4.8 ISO/CEI 27014
Tecnología de la información — Técnicas de seguridad — Gobernanza de la seguridad de la información
Alcance: Este documento proporcionará orientación sobre principios y procesos para la gobernanza de la seguridad de la
información, mediante los cuales las organizaciones pueden evaluar, dirigir y monitorear la gestión de la seguridad de la información.
Propósito: La seguridad de la información se ha convertido en un tema clave para las organizaciones. No sólo existen requisitos
regulatorios cada vez mayores, sino que también el fallo de las medidas de seguridad de la información de una organización puede
tener un impacto directo en la reputación de una organización. Por lo tanto, los órganos de gobierno, como parte de sus
responsabilidades de gobernanza, deben supervisar cada vez más la seguridad de la información para garantizar que se logren
los objetivos de la organización.
5.4.9 ISO/CEI TR 27016
Tecnología de la información — Técnicas de seguridad — Gestión de la seguridad de la información — Economía organizacional
Alcance: Este documento proporciona una metodología que permite a las organizaciones comprender mejor desde el punto de
vista económico cómo valorar con mayor precisión sus activos de información identificados, valorar los riesgos potenciales para
esos activos de información, apreciar el valor que los controles de protección de la información brindan a estos activos de
información y determinar el nivel óptimo. de recursos que se aplicarán para proteger estos activos de información.
Propósito: Este documento complementa la familia de estándares SGSI al superponer una perspectiva económica en la protección
de los activos de información de una organización en el contexto del entorno social más amplio en el que opera una organización
y brinda orientación sobre cómo aplicar la economía organizacional de la seguridad de la información a través de la Uso de
modelos y ejemplos.
5.4.10 ISO/CEI 27021
Tecnología de la información — Técnicas de seguridad — Gestión de la seguridad de la información — Requisitos de competencia

para los profesionales de los sistemas de gestión de la seguridad de la información

ISO/IEC 27000:2018(E)
Alcance: Este documento especifica los requisitos de competencia para los profesionales de SGSI que lideran o participan en el
establecimiento, implementación, mantenimiento y mejora continua de uno o más procesos de sistemas de gestión de seguridad de la
información que cumplen con ISO/IEC 27001:2013.
Propósito: Este documento está destinado a ser utilizado por:
a) personas que deseen demostrar su competencia como profesionales de sistemas de gestión de seguridad de la información (SGSI),
o que deseen comprender y alcanzar la competencia necesaria para trabajar en esta área, así como que deseen ampliar sus
conocimientos,
b) organizaciones que buscan candidatos profesionales potenciales de SGSI para definir la competencia requerida
para puestos en funciones relacionadas con ISMS,
c) organismos para desarrollar la certificación para los profesionales de SGSI que necesitan un conjunto de conocimientos (BOK) para
fuentes de examen, y
d) organizaciones de educación y capacitación, como universidades e instituciones vocacionales, para alinear sus planes de estudios
y cursos con los requisitos de competencia para los profesionales de SGSI.
5.5Estándares que describen directrices sectoriales
5.5.1 ISO/CEI 27010
Tecnología de la información — Técnicas de seguridad — Gestión de la seguridad de la información para las comunicaciones
intersectoriales e interorganizacionales
Alcance: Este documento proporciona pautas además de la orientación proporcionada en la familia de estándares ISO/IEC 27000
para implementar la gestión de seguridad de la información dentro de las comunidades de intercambio de información.
Este documento proporciona controles y orientación específicamente relacionados con el inicio, implementación, mantenimiento y
mejora de la seguridad de la información en entornos interorganizacionales e intersectoriales.
comunicaciones.
Propósito: Este documento es aplicable a todas las formas de intercambio y puesta en común de información sensible, tanto pública
como privada, a nivel nacional e internacional, dentro de una misma industria o sector de mercado o entre sectores. En particular,
puede ser aplicable a los intercambios y compartición de información relacionada con la provisión, mantenimiento y protección de la
infraestructura crítica de una organización o estado.
5.5.2 ISO/CEI 27011
Tecnología de la información — Técnicas de seguridad — Código de prácticas para controles de seguridad de la información basado
en ISO/IEC 27002 para organizaciones de telecomunicaciones
Alcance: Este documento proporciona pautas que respaldan la implementación de controles de seguridad de la información en
organizaciones de telecomunicaciones.
Propósito: ISO/IEC 27011 permite a las organizaciones de telecomunicaciones cumplir con los requisitos básicos de gestión de
seguridad de la información de confidencialidad, integridad, disponibilidad y cualquier otra propiedad de seguridad relevante.
5.5.3 ISO/CEI 27017
Tecnología de la información — Técnicas de seguridad — Código de prácticas para controles de seguridad de la información basado
en ISO/IEC 27002 para servicios en la nube
Alcance: ISO/IEC 27017 brinda pautas para los controles de seguridad de la información aplicables a la provisión y uso de servicios
en la nube al proporcionar:
— orientación de implementación adicional para los controles relevantes especificados en ISO/IEC 27002;

ISO/IEC 27000:2018(E)
— controles adicionales con orientación de implementación que se relacionan específicamente con los servicios en la nube.
Propósito: Este documento proporciona controles y orientación de implementación tanto para los proveedores de servicios en la nube
como para los clientes de servicios en la nube.
5.5.4 ISO/CEI 27018
Tecnología de la información — Técnicas de seguridad — Código de prácticas para la protección de la información de identificación
personal (PII) en nubes públicas que actúan como procesadores de PII
Alcance: ISO/IEC 27018 establece objetivos de control, controles y directrices comúnmente aceptados para implementar medidas para
proteger la información de identificación personal (PII) de acuerdo con los principios de privacidad de ISO/IEC 29100 para el entorno de
computación en la nube pública.
Propósito: Este documento es aplicable a organizaciones, incluidas empresas públicas y privadas, entidades gubernamentales y
organizaciones sin fines de lucro, que brindan servicios de procesamiento de información como procesadores de PII a través de
computación en la nube bajo contrato a otras organizaciones. Las directrices contenidas en este documento también pueden ser
relevantes para las organizaciones que actúan como controladores de PII. Sin embargo, es posible que los controladores de PII estén
sujetos a leyes, regulaciones y obligaciones adicionales de protección de PII, que no se aplican a los procesadores de PII, y estas no
están cubiertas en este documento.
5.5.5 ISO/CEI 27019
Tecnología de la información — Técnicas de seguridad — Controles de seguridad de la información para la industria de servicios públicos
de energía
Alcance: Este documento proporciona orientación basada en ISO/IEC 27002:2013 aplicada a los sistemas de control de procesos
utilizados por la industria de servicios públicos de energía para controlar y monitorear la producción o generación, transmisión,
almacenamiento y distribución de energía eléctrica, gas, petróleo y calor, y para el control de los procesos de soporte asociados. Esto
incluye en particular lo siguiente:
— tecnología de control, supervisión y automatización de procesos centrales y distribuidos, así como sistemas de información utilizados
para su funcionamiento, como dispositivos de programación y parametrización;
— controladores digitales y componentes de automatización, como dispositivos de control y de campo o programables

controladores lógicos (PLC), incluidos sensores digitales y elementos actuadores;
— todos los demás sistemas de información de apoyo utilizados en el dominio de control de procesos, por ejemplo, para tareas de
visualización de datos suplementarios y para fines de control, seguimiento, archivo de datos, registro histórico, elaboración de
informes y documentación;
— tecnología de comunicación utilizada en el ámbito del control de procesos, por ejemplo redes, telemetría, aplicaciones de telecontrol y
tecnología de control remoto;
— componentes de infraestructura de medición avanzada (AMI), por ejemplo, contadores inteligentes;
— dispositivos de medición, por ejemplo para valores de emisión;
— sistemas digitales de protección y seguridad, por ejemplo, relés de protección, PLC de seguridad, regulador de emergencia
mecanismos;
— sistemas de gestión de energía, por ejemplo de recursos energéticos distribuidos (DER), infraestructuras de carga eléctrica, en hogares
privados, edificios residenciales o instalaciones industriales de clientes;
— componentes distribuidos de entornos de redes inteligentes, por ejemplo en redes de energía, en hogares privados,
edificios residenciales o instalaciones industriales de clientes;
— todo el software, firmware y aplicaciones instalados en los sistemas antes mencionados, por ejemplo, aplicaciones DMS (sistema de
gestión de distribución) o OMS (sistema de gestión de interrupciones);
— cualquier local que albergue los equipos y sistemas antes mencionados;

ISO/IEC 27000:2018(E)
— sistemas de mantenimiento remoto de los sistemas antes mencionados.
Este documento no se aplica al dominio de control de procesos de las instalaciones nucleares. Este dominio está cubierto
por IEC 62645.
Este documento también incluye un requisito para adaptar los procesos de evaluación y tratamiento de riesgos descritos
en ISO/IEC 27001:2013 a la guía específica del sector de la industria de servicios públicos de energía proporcionada en
este documento.
Propósito: Además de los objetivos y medidas de seguridad establecidos en ISO/IEC 27002, este documento proporciona
pautas para los sistemas utilizados por las empresas de servicios públicos y proveedores de energía sobre controles de
seguridad de la información que abordan requisitos especiales adicionales.
5.5.6ISO 27799
Informática de la salud: gestión de la seguridad de la información en salud utilizando ISO/IEC 27002
Alcance: Este documento brinda pautas para los estándares de seguridad de la información organizacional y las prácticas
de gestión de la seguridad de la información, incluida la selección, implementación y gestión de controles teniendo en
cuenta los entornos de riesgo de seguridad de la información de la organización.
Este documento proporciona orientación para la implementación de los controles descritos en ISO/IEC 27002 y los
complementa cuando es necesario, de modo que puedan usarse de manera efectiva para gestionar la seguridad de la
información de salud.
Propósito: ISO 27799 proporciona a las organizaciones de salud una adaptación de las directrices ISO/IEC 27002
exclusivas de su sector industrial, que son adicionales a la orientación proporcionada para cumplir con los requisitos de
ISO/IEC 27001:2013, Anexo A.

ISO/IEC 27000:2018(E)
Bibliografía
[1] ISO 9000:2015, Sistemas de gestión de la calidad. Fundamentos y vocabulario.
[2] ISO/IEC/IEEE 15939:2017, Ingeniería de sistemas y software. Proceso de medición.
[3] ISO/IEC 17021, Evaluación de la conformidad. Requisitos para los organismos que realizan auditorías y certificaciones
de sistemas de gestión.
[4] ISO 19011:2011, Directrices para la auditoría de sistemas de gestión.
[5] ISO/IEC 200001:2011, Tecnología de la información. Gestión de servicios. Parte 1: Requisitos del sistema de gestión
de servicios.
[6] ISO/IEC 27001, Tecnología de la información. Técnicas de seguridad. Sistemas de gestión de seguridad de la
información. Requisitos.
[7] ISO/IEC 27002, Tecnología de la información. Técnicas de seguridad. Código de prácticas para controles de seguridad
de la información.
[8] ISO/IEC 27003, Tecnología de la información—Técnicas de seguridad—Gestión de la seguridad de la información

Guía
[9] ISO/IEC 27004, Tecnología de la información. Técnicas de seguridad. Gestión de la seguridad de la información.
Monitoreo, medición, análisis y evaluación.
[10] ISO/IEC 27005, Tecnología de la información. Técnicas de seguridad. Riesgo de seguridad de la información.
gestión
[11] ISO/IEC 27006, Tecnología de la información. Técnicas de seguridad. Requisitos para los organismos que realizan
auditorías y certificaciones de sistemas de gestión de seguridad de la información.
[12] ISO/IEC 27007, Tecnología de la información. Técnicas de seguridad. Directrices para la auditoría de sistemas de gestión
de seguridad de la información.
[13] ISO/IEC TR 27008, Tecnología de la información. Técnicas de seguridad. Directrices para auditores sobre
controles de seguridad de la información
[14] ISO/IEC 27009, Tecnología de la información. Técnicas de seguridad. Aplicación sectorial específica de
ISO/IEC 27001 — Requisitos
[15] ISO/IEC 27010, Tecnología de la información. Técnicas de seguridad. Gestión de la seguridad de la información.
para comunicaciones intersectoriales e interorganizacionales
[16] ISO/IEC 27011, Tecnología de la información. Técnicas de seguridad. Código de prácticas para controles de seguridad de
la información basado en ISO/IEC 27002 para organizaciones de telecomunicaciones.
[17] ISO/IEC 27013, Tecnología de la información. Técnicas de seguridad. Orientación sobre la integración.
implementación de ISO/IEC 27001 e ISO/IEC 200001
[18] ISO/IEC 27014, Tecnología de la información. Técnicas de seguridad. Gobernanza de la información.

seguridad
[19] ISO/IEC TR 27016, Tecnología de la información. Técnicas de seguridad. Seguridad de la información.

gestión — Economía organizacional
[20] ISO/IEC 27017, Tecnología de la información. Técnicas de seguridad. Código de prácticas para la información.
Controles de seguridad basados en ISO/IEC 27002 para servicios en la nube.
[21] ISO/IEC 27018, Tecnología de la información. Técnicas de seguridad. Código de prácticas para la protección de información
de identificación personal (PII) en nubes públicas que actúan como procesadores de PII.

ISO/IEC 27000:2018(E)
[22] ISO/IEC 27019, Tecnología de la información. Técnicas de seguridad. Controles de seguridad de la información para la industria
de servicios públicos de energía.
[23] ISO/IEC 27021, Tecnología de la información. Técnicas de seguridad. Requisitos de competencia para
profesionales de sistemas de gestión de seguridad de la información
[24] ISO 27799, Informática de la salud. Gestión de la seguridad de la información en salud utilizando ISO/IEC 27002.
[25] Guía ISO 73:2009, Gestión de riesgos — Vocabulario

ISO/IEC 27000:2018(E)
ICS 01.040.35; 03.100.70; 35.030 Precio

basado en 27 páginas
© ISO/IEC 2018 – Todos los derechos reservados

c073906 ISO IEC 27000 2018

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

c073906 ISO IEC 27000 2018

Cargado por

Copyright:

Formatos disponibles

Machine Translated by Google

Tecnología de la información — Técnicas

DOCUMENTO PROTEGIDO POR DERECHOS DE AUTOR

ii © ISO/IEC 2018 – Todos los derechos reservados

Prefacio................................................. ................................................. ................................................. ................................................. ................................iv

Introducción................................................. ................................................. ................................................. ................................................. ..........................v

1 Alcance................................................. ................................................. ................................................. ................................................. ..........................1

2 Referencias normativas ................................................ ................................................. ................................................. ................................1

3 Términos y definiciones............................................... ................................................. ................................................. ................................1

4 Sistemas de gestión de seguridad de la información ................................................ ................................................. ........................11

4.2.3 Seguridad de la información................................................ ................................................. ................................................. .12

4.2.5 Sistema de gestión................................................ ................................................. ................................................. .13

4.4 Por qué es importante un SGSI ................................................ ................................................. ................................................. ..........13

4.5.6 Monitorear, mantener y mejorar la efectividad del SGSI.................................... .........dieciséis

5 Familia de estándares SGSI ................................................ ................................................. ................................................. ........................18

5.3.1 ISO/IEC 27001.................................... ................................................. ................................................. .................19

Bibliografía................................................. ................................................. ................................................. ................................................. ........................26

© ISO/IEC 2018 – Todos los derechos reservados III

— se han eliminado algunos términos y definiciones;

— se ha actualizado la cláusula 5 para reflejar los cambios en las normas en cuestión;

— Se suprimen los anexos A y B.

IV © ISO/IEC 2018 – Todos los derechos reservados

0.2 Propósito de este documento

La familia de estándares ISMS incluye estándares que:

c) abordar directrices sectoriales específicas para el SGSI; y

d) abordar la evaluación de la conformidad para el SGSI.

0.3 Contenido de este documento

En este documento se utilizan las siguientes formas verbales:

— “deberá” indica un requisito;

— “debería” indica una recomendación;

— “podrá” indica un permiso;

— “puede” indica una posibilidad o una capacidad.

© ISO/IEC 2018 – Todos los derechos reservados v

ESTÁNDAR INTERNACIONAL ISO/IEC 27000:2018(E)

Tecnología de la información — Técnicas de seguridad —

Los términos y definiciones proporcionados en este documento.

— abarcar términos y definiciones comúnmente utilizados en la familia de normas SGSI;

— no limitar la familia de normas SGSI al definir nuevos términos de uso.

— Plataforma de navegación ISO Online: disponible en https://www.iso.org/obp

— Electropedia IEC: disponible en https://www.electropedia.org/

Nota 3 a la entrada: “Evidencia de auditoría” y “criterios de auditoría” se definen en ISO 19011.

© ISO/IEC 2018 – Todos los derechos reservados 1

[FUENTE: ISO 19011:2011, 3.14, modificada. Se ha eliminado la nota 1 de la entrada.]

Nota 1 a la entrada: Una medida base es funcionalmente independiente de otras medidas.

[FUENTE: ISO/IEC/IEEE 15939:2017, 3.3, modificada. Se ha eliminado la nota 2 de la entrada.]

Nota 1 a la entrada: Un evento puede tener una variedad de consecuencias.

Nota 3 a la entrada: Las consecuencias pueden expresarse cualitativa o cuantitativamente.

2 © ISO/IEC 2018 – Todos los derechos reservados

[FUENTE: Guía ISO 73:2009, 3.8.1.1 — La nota 2 de la entrada ha sido modificada.]

[FUENTE: ISO/IEC/IEEE 15939:2017, 3.8, modificada. Se ha eliminado la nota 1 de la entrada.]

Nota 2 a la entrada: La información documentada puede referirse a

— el sistema de gestión (3.41), incluidos los procesos relacionados (3.54);

— información creada para que la organización (3.50) funcione (documentación);

— evidencia de los resultados obtenidos (registros).

ocurrencia de un evento o cambio de un conjunto particular de circunstancias

Nota 2 a la entrada: Un evento puede consistir en que algo no suceda.

Nota 3 a la entrada: En ocasiones, un evento puede denominarse “incidente” o “accidente”.

[FUENTE: Guía ISO 73:2009, 3.5.1.3, modificada; se eliminó la nota 4 a la entrada.]

© ISO/IEC 2018 – Todos los derechos reservados 3

Nota 1 a la entrada: El contexto externo puede incluir lo siguiente:

— relaciones, percepciones y valores de las partes interesadas externas (3.37).

[FUENTE: Guía ISO 73:2009, 3.3.1.1]

[FUENTE: ISO/IEC/IEEE 15939:2017, 3.12]