ISO Iec 27000 2018en Es - Compress

INTERNACIONAL ISO/CEI
ESTÁNDAR 27000
Quinta edición
2018-02
Tecnología de la información — Técnicas de

seguridad — Sistemas de gestión de la seguridad
de la información — Visión general y vocabulario
Technologies de l'information — Techniques de sécurité — Systèmes de

management de la sécurité de l'information — Vue d'ensemble et
vocabulaire
Número de referencia
ISO/IEC 27000:2018(E)
©ISO/CEI 2018
ISO/IEC 27000:2018(E)
DOCUMENTO PROTEGIDO POR DERECHOS DE AUTOR
© ISO/CEI 2018
Reservados todos los derechos. A menos que se especifique lo contrario, o se requiera en el contexto de su implementación, ninguna parte de esta
publicación puede ser reproducida o utilizada de ninguna forma o por ningún medio, electrónico o mecánico, incluidas las fotocopias,
fot ocopias, o la
publicación en Internet o en una intranet, sin previo aviso. permiso escrito. El permiso se puede solicitar a ISO en la dirección que se indica a
continuación o al organismo miembro de ISO en el país del solicitante.
oficina de derechos de autor ISO
CP 401 • Cap. de Blandonnet 8
CH-1214 Vernier, Ginebra, Suiza Tel.
+41 22 749 01 11
Fax +41 22 749 09 47
copyright@iso.org
www.iso.org
Publicado en Suiza
yo © ISO/IEC 2018 – Todos los derechos reservados

ISO/IEC 27000:2018(E)
Contenido Página
Prefacio.................................................... .................................................... .................................................... .................................................... ................................ IV

Introducción.................................................... .................................................... .................................................... .................................................... ..........................v
1 Alcance.................................................... .................................................... .................................................... .................................................... .........................1
2 Referencias normativas.................................................... .................................................... .................................................... ................................1

3 Términos y definiciones.................................................... .................................................... .................................................... ...............................1
4 Sistemas de gestión de la seguridad de la información.................................................... .................................................... .....................11
4.1 Generalidades.................................................... .................................................... .................................................... ....................................................11
4.2 ¿Qué es un SGSI? .................................................... .................................................... .................................................... ..........................11
4.2.1 Resumen y principios.................................................... .................................................... .....................................11
4.2.2 Información.................................................... .................................................... .................................................... ..................12
4.2.3 Seguridad de la información.................................................... .................................................... .............................................................12
4.2.4 Gestión.................................................... .................................................... .................................................... ...............12
4.2.5 Sistema de gestión.................................................... .................................................... .............................................................13
4.3 Enfoque basado en procesos.................................................... .................................................... .................................................... ......................... 13
4.4 Por qué es importante un SGSI .................................................... .................................................... .................................................... ....13
4.5 Establecimiento, seguimiento, mantenimiento y mejora de un SGSI.................................................... ..............14
4.5.1 Resumen.................................................... .................................................... .................................................... ........................14
4.5.2 Identificación de los requisitos de seguridad de la información.................................................... ...............................14
4.5.3 Evaluación de los riesgos de seguridad de la información.................................................... .................................................... ......15
4.5.4 Tratamiento de los riesgos de seguridad de la información.................................................... .................................................... ..........15
4.5.5 Selección e implementación de controles.................................................... .................................................... .....15
4.5.6 Supervisar, mantener y mejorar la eficacia del SGSI............................................................. dieciséis
4.5.7 Mejora continua.................................................... .................................................... ......................................dieciséis
4.6 Factores críticos de éxito del SGSI .................................................... .................................................... ..........................................................17
4.7 Beneficios de la familia de estándares ISMS .................................................... .................................................... ...................17
5 Familia de normas SGSI.................................................... .................................................... .................................................... .....................18
5.1 Información general.................................................... .................................................... .................................................... ..................18
5.2 Norma que describe una descripción general y terminología: ISO/IEC 27000 (este documento).........19
5.3 Normas que especifican requisitos.................................................... .................................................... ...............................19
5.3.1 ISO/CEI 27001.................................................... .................................................... .................................................... ..........19
5.3.2 ISO/CEI 27006.................................................... .................................................... .................................................... ..........20
5.3.3 ISO/CEI 27009.................................................... .................................................... .................................................... ..........20
5.4 Normas que describen las directrices generales .................................................... .................................................... ..................20
5.4.1 ISO/CEI 27002.................................................... .................................................... .................................................... ..........20
5.4.2 ISO/CEI 27003.................................................... .................................................... .................................................... ..........20
5.4.3 ISO/CEI 27004.................................................... .................................................... .................................................... ..........21
5.4.4 ISO/CEI 27005.................................................... .................................................... .................................................... ..........21
5.4.5 ISO/CEI 27007.................................................... .................................................... .................................................... ..........21
5.4.6 ISO/IEC TR 27008.................................................... .................................................... .................................................... .21
5.4.7 ISO/CEI 27013.................................................... .................................................... .................................................... ..........22
5.4.8 ISO/CEI 27014.................................................... .................................................... .................................................... ..........22
5.4.9 ISO/IEC TR 27016.................................................... .................................................... .................................................... .22
5.4.10 ISO/CEI 27021.................................................... .................................................... .................................................... ..........22
5.5 Normas que describen las directrices específicas del sector .................................................... ....................................................23
5.5.1 ISO/CEI 27010.................................................... .................................................... .................................................... ..........23
5.5.2 ISO/CEI 27011.................................................... .................................................... .................................................... ..........23
5.5.3 ISO/CEI 27017.................................................... .................................................... .................................................... ..........23
5.5.4 ISO/CEI 27018.................................................... .................................................... .................................................... ..........24
5.5.5 ISO/CEI 27019.................................................... .................................................... .................................................... ..........24
5.5.6 ISO 27799.................................................... .................................................... .................................................... ......................25
Bibliografía.................................................... .................................................... .................................................... .................................................... .....................26
© ISO/IEC 2018 – Todos los derechos reservados iii

ISO/IEC 27000:2018(E)
Prefacio
ISO (Organización Internacional de Normalización) es una federación mundial de organismos nacionales de
normalización (organismos miembros de ISO). El trabajo de preparación de Normas Internacionales normalmente
se lleva a cabo a través de los comités técnicos de ISO. Cada organismo miembro interesado en un tema para el
cual se ha establecido un comité técnico tiene derecho a estar representado en ese comité. Las organizaciones
internacionales, gubernamentales y no gubernamentales, en coordinación con ISO, también participan en el
trabajo. ISO colabora estrechamente con la Comisión Electrotécnica Internacional (IEC) en todos los asuntos de
normalización electrotécnica.
Los procedimientos utilizados para desarrollar este documento y los destinados a su posterior mantenimiento se
describen en las Directivas ISO/IEC, Parte 1. En particular, se deben tener en cuenta los diferentes criterios de
aprobación necesarios para los diferentes tipos de documentos ISO. Este documento fue redactado de acuerdo con
las reglas editoriales de las Directivas ISO/IEC, Parte 2 (verwww.iso.org/directivas
(verwww.iso.org/directivas ).
Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento puedan ser objeto de
derechos de patente. ISO no será responsable de identificar cualquiera o todos los derechos de patente. Los detalles de
cualquier derecho de patente identificado durante el desarrollo del documento estarán en la Introducción y/o en la lista
ISO de declaraciones de patentes recibidas (verwww.iso.org
(ver www.iso.org/patents
/patents ).
Cualquier nombre comercial utilizado en este documento es información proporcionada para la comodidad de los usuarios y no
constituye un respaldo.
Para obtener
específicos deuna
ISOexplicación sobre
relacionados con la
la naturaleza
evaluación voluntaria de las normas,
de la conformidad, el significado
así como informacióndesobre
los términos y expresiones
la adhesión de ISO a los
principios de la Organización Mundial del Comercio (OMC) en las Obstáculos técnicos al comercio (TBT), consulte el
siguiente
siguiente URL:www.iso.org/iso/prefacio.html
URL:www.iso.org/iso/prefacio.html .
Este documento fue preparado por el Comité Técnico ISO/IEC JTC 1,Tecnologías de la información, SC 27,Técnicas de
seguridad informática.
Esta quinta edición anula y reemplaza la cuarta edición (ISO/IEC 27000:2016), que ha sido revisada
técnicamente. Los principales cambios con respecto a la edición anterior son los siguientes:
— se ha reformulado la Introducción;
— se han eliminado algunos términos y definiciones;
— Cláusula 3 se ha alineado con la estructura de alto nivel para MSS;
— Cláusula 5 se ha actualizado para reflejar los cambios en las normas en cuestión;

— Se han suprimido los anexos A y B.
IV © ISO/IEC 2018 – Todos los derechos reservados

ISO/IEC 27000:2018(E)
Introducción
0.1 Resumen
Las Normas Internacionales para sistemas de gestión proporcionan un modelo a seguir para establecer y operar un
sistema de gestión. Este modelo incorpora las características sobre las que los expertos en la materia han llegado a
un consenso como estado del arte internacional. ISO/IEC JTC 1/SC 27 mantiene un comité de expertos dedicado al
desarrollo de estándares
conocida como de estándares
la familia de sistemas dedel
gestión internacionales
sistema de gestión depara la seguridad
seguridad de la información,
info rmación,
de la información (ISMS).también
Mediante el uso de la familia de estándares ISMS, las organizaciones pueden desarrollar e implementar un marco
para administrar la seguridad de sus activos de información, incluida la información financiera, la propiedad
intelectual y los detalles de los empleados, o la información que les confían
conf ían los clientes o terceros. Estos estándares
también se pueden utilizar para prepararse para una evaluación independiente de su SGSI aplicado a la protección
de la información.
0.2 Propósito de este documento
La familia de estándares ISMS incluye estándares que:

a) definir los requisitos para un SGSI y para quienes certifiquen tales sistemas;
b) proporcionar apoyo directo, orientación detallada y/o interpretación para el proceso general para establecer,
implementar, mantener y mejorar un SGSI;
c) abordar las directrices específicas del sector para SGSI; y
d) abordar la evaluación de la conformidad para SGSI.
0.3 Contenido de este documento
En este documento, se utilizan las siguientes formas verbales:
— “deberá” indica un requisito;

— “debería” indica una recomendación;
— “puede” indica un permiso;
— “can” indica una posibilidad o una capacidad.
La información marcada como "NOTA" es una guía para comprender o aclarar el requisito asociado. Las “Notas a la
entrada” utilizadas en la Cláusula 3 brindan información adicional que complementa los datos terminológicos y
pueden contener disposiciones relacionadas con el uso de un término.
© ISO/IEC 2018 – Todos los derechos reservados v

ESTÁNDAR INTERNACIONAL ISO/IEC 27000:2018(E)
Tecnología de la información — Técnicas de seguridad — Sistemas

de gestión de la seguridad de la información — Visión general y
vocabulario
1 Alcance
Este documento proporciona una descripción general de los sistemas de gestión de seguridad de la información (SGSI). También
proporciona términos y definiciones comúnmente utilizados en la familia de estándares ISMS. Este documento se aplica a todos
los tipos y tamaños de organizaciones (por ejemplo, empresas comerciales, agencias gubernamentales, organizaciones sin fines
de lucro).
Los términos y definiciones proporcionados en este

e ste documento
— cubrir términos y definiciones de uso común en la familia de estándares ISMS;

— no cubren todos los términos y definiciones aplicados dentro de la familia de estándares SGSI; y
— no limitar la familia de estándares SGSI en la definición de nuevos términos de uso.
2 Referencias normativas
No hay referencias normativas en este documento.
3 Términos y definiciones
ISO e IEC mantienen bases de datos terminológicas para su uso en la normalización en las siguientes direcciones:
— Plataforma de navegación ISO Online: disponible en

enhttps://www.iso.org/obp
https://www.iso.org/obp
— Electropedia IEC: disponible enh
enhttps://www.electropedia.org/
3.1
control de acceso
medios para garantiz
garantizar
ar que el acceso a los activos esté autorizado y restringido en función del negocio y la
seguridad requisitos(3.56 )
3.2
ataque
intentar destruir, exponer, alterar, deshabilitar, robar u obtener acceso no autorizado o hacer un uso no autorizado
de un activo
3.3
auditoría
sistemático, independiente y documentadoproceso(3.54 ) para obtener evidencia de auditoría y evaluarla
objetivamente para determinar en qué medida se cumplen los criterios de auditoría
Nota 1 a la entrada: Una auditoría puede ser una auditoría interna (primera parte) o una auditoría externa (segunda parte o tercera parte),
y puede ser una auditoría combinada (que combina dos o más disciplinas).
Nota 2 a la entrada: La auditoría interna la realiza la propia organización o un tercero en su nombre.

Nota 3 a la entrada: "Evidencia de auditoría" y "criterios de auditoría" se definen en la Norma ISO 19011.
© ISO/IEC 2018 – Todos los derechos reservados 1

ISO/IEC 27000:2018(E)
3.4
alcance de auditoría
extensión y límites de unauditoría(3.
3.33 )
[ORIGEN: ISO 19011:2011, 3.14, modificada — Se eliminó la nota 1 a la entrada.]
3.5
autenticación
provisión de seguridad de que una característica declarada de una entidad es correcta
3.6
autenticidad
propiedad de que una entidad es lo que dice ser
3.7
disponibilidad
propiedad de ser accesible y utilizable bajo demanda por una entidad autorizada
3.8
medida base
medida(3.
3.42
42 ) definido
definido en términos de un atributo y el método para cuantificarlo
Nota 1 a la entrada: Una medida base es funcionalmente independiente de otrasmedidas.
[ORIGEN: ISO/IEC/IEEE 15939:2017, 3.3, modificado — Se eliminó la Nota 2 a la entrada.]

3.9
competencia
capacidad de aplicar conocimientos y habilidades para lograr los resultados previstos
3.10
confidencialidad
propiedad de que la informació
información
n no se pone a disposición ni se revela a personas, entidades o
procesos(3.54 )
3.11
conformidad
cumplimiento de unrequisito(3.
3.56
56 )
3.12
consecuencia
resultado de unevento(3.21 ) afectandoobjetivos(3.49 )
Nota 1 a la entrada: Un evento puede llevar a una variedad de consecuencias.
Nota 2 a la entrada: Una consecuencia puede ser cierta o incierta y, en el contexto de la seguridad de la información, suele ser
negativa.
Nota 3 a la entrada: Las consecuencias pueden expresarse cualitativa o cuantitativamente.
Nota 4 a la entrada: Las consecuencias iniciales pueden escalar a través de efectos en cadena.
[ORIGEN: Guía ISO 73:2009, 3.6.1.3, modificado — La Nota 2 a la entrada se ha cambiado después de “y”.]
3.13
mejora continua
actividad recurrente para mejoraractuación(3.
3.52
52 )
2 © ISO/IEC 2018 – Todos los derechos reservados

ISO/IEC 27000:2018(E)
3.14
control
medida que modificariesgo(3.6
3.611 )
Nota 1 a la entrada: Los controles incluyen cualquierproceso(3.54 ),política(3.53 ), dispositivo, práctica u otras acciones que modifican
riesgo(3.61 ).
Nota 2 a la entrada: Es posible que los controles no siempre ejerzan el efecto modificador pretendido o asumido.
[FUENTE: ISO Guide 73:2009, 3.8.1.1 — Se ha cambiado la nota 2 a la entrada.]

3.15
objetivo de control
declaración que describe lo que se logrará como resultado de la implementacióncontrol S(3.14 )
3.16
corrección
acción para eliminar un detectadodisconformidad(3.47 )
3.17
acción correctiva
acción para eliminar la causa de un disconformidad(3.4
3.477 ) y para prevenir la recurrencia
3.18
medida deriv
derivada
ada
medida (3.
3.42 que se define como una función de dos o más valores de medidas base(3.8 )
42 ) que
3.19
información documentad
documentada
a
información requerida para ser controlada y mantenida por un organización(3.50 ) y el medio en el que
está contenido
Nota 1 a la entrada: La información documentada
documentada puede estar en cualquier formato y medio y de cualquier fuente.
Nota 2 a la entrada: La información documentada puede referirse a
- lasistema de gestión(3.41 ), inclui

incluidos
dos los relacionadosprocesos(3.54 );
— información creada para que laorganización(3.50 ) ope
operar
rar (documentació
(documentación);
n);
— pruebas de los resultados obtenidos (registros).

3.20
eficacia
medida en que se realizan las actividades planificadas y se logran los resultados planificados
3.21
evento
ocurrencia o cambio de un conjunto particular de circunstancias
Nota 1 a la entrada: Un evento puede ser una o más ocurrencias y puede tener varias causas.
Nota 2 a la entrada: Un evento puede consistir en algo que no sucede.
Nota 3 a la entrada: A veces se puede hacer

h acer referencia a un evento como un "incidente" o "accidente".
[ORIGEN: Guía ISO 73:2009, 3.5.1.3, modificada — Se eliminó la nota 4 a la entrada.]

ISO/IEC 27000:2018(E)
3.22
contexto externo
entorno externo en el que la organizació
organización
n busca lograr susobjetivos(3.49 )
Nota 1 a la entrada: El contexto externo puede incluir lo siguiente:
— el entorno cultural, social, político, legal, regulatorio, financiero, tecnológico, económico, natural y
competitivo, ya sea internacional, nacional, regional o local;
— impulsores y tendencias clave que tienen un impacto en laobjetivosdelorganización(3.50 );
— relaciones con, y percepciones y valores de, externopartes interesadas(3.37 ))..

[FUENTE: Guía ISO 73:2009, 3.3.1.1]
3.23
gobernanza de la seguridad de la información
sistema por el cual unde la organización(3.5 3.500 )seguridad de información(3.2
3.288 ) las actividades son dirigidas y
controladas
3.24
Órgano rector
persona o grupo
grupo de
de personas que son responsables de laactuación(3.52 ) y la conformidad
conformidad de los
organización(3.50 )
Nota 1 a la entrada: El órgano de gobierno puede, en algunas jurisdicciones, ser una junta directiva.
3.25
indicador
medida(3.4
3.422 ) que
que proporciona una estimación o evaluación
3.26
necesidad de información
conocimientos necesarios para gestionarobjetivos(3.49 )),, metas, riesgos y problemas
[FUENTE: ISO/IEC/IEEE 15939:2017, 3.12]

3.27
instalaciones de procesamiento de información
cualquier sistema, servicio o infraestructura de procesamiento de información, o la ubicación física que lo alberga
3.28
seguridad de información
preservación deconfidencialidad (3.10 ),integridad(3.36 ) ydisponibilidad (3.
3.77 ) de información
Nota 1 a la entrada: Además, otras propiedades, comoautenticidad(3.6 ), respo
responsabilidad,
nsabilidad,no repudio(3.48 ), yfiabilidad(
3.55 ) también puede
pueden n estar involucrados.
3.29
continuidad de la seguridad
seguridad de la información
procesos(3.5
3.544 ) y procedimientos para garantizar la continuidadseguridad de información(3.28 ) operaciones
operaciones
3.30
evento de seguridad de la información
ocurrencia identificada de un sistema, servicio o estado de la red que indica una posible violación deinformación
seguridad (3.28
(3.28 )política(3.
3.53
53 ) o fallo decontrol S(3.14 ), o una
una situación
situación previamente desconocida que puede ser relevante
para la seguridad
3.31
incidente de seguridad de la información
único o una serie de eventos no deseados o inesperadoseventos de seguridad de la información(3.3
3.300 ) que tienen
tienen una
una
probabilidad significativa de comprometer las operaciones comerciales y amenazarseguridad de información(3.28 )

ISO/IEC 27000:2018(E)
3.32
gestión de incidentes de seguridad de la información
conjunto deprocesos(3.54 ) para detectar, informar, evaluar, responder, tratar y aprender deincidentes
de seguridad de la información(3.31 )
3.33
profesional del sistema de gestión de seguridad de la información (SGSI)
persona que establece, implementa, mantiene y mejora continuamente uno o más sistemas de gestión de
seguridad de la informaciónprocesos(3.54 )
3.34
comunidad de intercambio de infor
información
mación
grupo deorganizaciones(3. 3.50
50 ) que aceptan compartir información
Nota 1 a la entrada: Una organización puede ser un individuo.
3.35
sistema de informacion
conjunto de aplicaciones, servicios, activos de tecnología de la información u otros componentes de manejo de información
3.36
integridad
propiedad de exactitud y completitud
3.37
parte interesada(término
interesada(término preferido)
Interesado(término
Interesado (término admitido)
persona oorganización(3.
3.50
50 ) que puede afectar, verse afectado o percibirse afectado por una decisión o
actividad
3.38
contexto interno
medio interno en el que se encuentra elorganización(3.5
3.500 ) busca lograr sus objetivos
Nota 1 a la entrada: El contexto interno puede incluir:
— gobernanza, estructura organizativa, funciones y responsabilidades;

— políticas(3.53 ),objetivos(3.49 ), y las estrategias que existen para lograrlos;
— las capacidades, entendidas en términos de recursos y conocimientos (por ejemplo, capital, tiempo, personas, procesos(3.54 ),
sistemas y tecnologías);
— sistemas de información(3.35 ), flujos de información y toma de decisionesprocesos(tanto formales como informales);
— relaciones con, y percepciones y valores de, internospartes interesadas(3.37 );

— la cultura de la organización;
— normas, directrices y modelos adoptados por la organización;

— forma y alcance de las relaciones contractuales.
[FUENTE: Guía ISO 73:2009, 3.3.1.2]

3.39
nivel de riesgo
magnitud de
de unriesgo(3.61 ) expresado en términos de la combinación deconsecuencias(3.12 ) y ellos
ellos
probabilidad(3.4
3.400 )
[ORIGEN: Guía ISO 73:2009, 3.6.1.8, modificado — “o combinación de riesgos” ha sido eliminado en la
definición.]

ISO/IEC 27000:2018(E)
3.40
probabilidad
posibilidad de que algo suceda
[ORIGEN: Guía ISO 73:2009, 3.6.1.1, modificada — Se han eliminado las Notas 1 y 2 de la entrada.]
3.41
sistema de gestión
conjunto de(3elementos interrelacionados o que interactúan organización(3.50 ) para establecerpolíticas(3.53 )
y objetivos .49 ) yprocesos (3.54 ) para
para lograr
lograr esos objetivosde un
Nota 1 a la entrada: Un sistema de gestión puede abordar una sola disciplina o varias disciplinas.
Nota 2 a la entrada: Los elementos del sistema incluyen la estructura, roles y responsabilidades, planificación y operación de la
organización.
Nota 3 a la entrada: El alcance de un sistema de gestión puede incluir la totalidad de la organización, funciones específicas
e identificadas de la organización, secciones específicas e identificadas de la organización, o una o más funciones en un
grupo de organizaciones.
3.42
medida
variable a la que se le asigna un valor como resultado de medición(3.43 )
[ORIGEN: ISO/IEC/IEEE 15939:2017, 3.15, modificado — Se eliminó la nota 2 a la entrada.]
3.43
medición
medición
proceso(3.54 ) para
para determinar un valor
3.44
función de medición
algoritmo o cálculo realizado para combinar dos o másmedidas base(3.8 )
[FUENTE: ISO/IEC/IEEE 15939:2017, 3.20]
3.45
método de medida
secuencia lógica de operaciones, descritas genéricamente,
genéricamente, utilizadas para cuantificar un atributo
at ributo con respecto a una
escala específica
Nota 1 a la entrada: El tipo de método de medición depende de la naturaleza de las operaciones utilizadas para cuantificar un
atributo(3.4 ). Se
Se pueden distinguir dos tipos:
— subjetivo: cuantificación que involucra el juicio humano; y
— objetivo: cuantificación basada en reglas numéricas.

3.46
vigilancia
determinar el estado de un sistema, un proceso(3.5
3.544 ) o una
una actividad
Nota 1 a la entrada: Para determinar el estado, puede ser necesario verificar, supervisar u observar críticamente.
3.47
disconformidad
incumplimiento de unrequisito(3.56 )
3.48
no repudio
capacidad de probar la ocurrencia de un reclamo evento(3.21 ) o acción y sus entidades originarias

ISO/IEC 27000:2018(E)
3.49
objetivo
resultado a lograr
Nota 1 a la entrada: Un objetivo puede ser estratégico, táctico u operativo.
Nota 2 a la entrada: Los objetivos pueden relacionarse con diferentes disciplinas (como metas financieras, de salud y seguridad y
ambientales)
ambiental es) y pueden aplicarse a diferentes niveles [como estratégico, de toda la organización, de proyecto, de producto y
proceso(3.54 )].
Nota 3 a la entrada: Un objetivo puede expresarse de otras formas, por ejemplo, como un resultado previsto, un propósito, un criterio
operativo, como un objetivo de seguridad de la información o mediante el uso de otras palabras con un significado similar (por ejemplo,
fin, meta o destino). ).
Nota 4 a la entrada: En el contexto de los sistemas de gestión de seguridad de la información, la organización establece los objetivos de seguridad
de la información, de acuerdo con la política de seguridad de la información, para lograr resultados específicos.
3.50
organización
persona o grupo de personas que tiene sus propias funciones con responsabilidades, autoridades y relaciones para
lograr suobjetivos(3.49 )
Nota 1 a la entrada: El concepto de organización incluye pero no se limita a comerciante único, compañía, corporación,
firma, empresa, autoridad, asociación, caridad o institución, o parte o combinación de las mismas, ya sea incorporada o
no, pública o privada.
3.51
subcontratar
hacer un arregl
arregloo donde un externoorganización(3.50 ) reali
realiza
za parte de la función de una organización o
proceso(3.5
3.544 )
Nota 1 a la entrada: Una organización externa está fuera del alcance de lasistema de gestión(3.41 ), aunqu
aunquee la función o
proceso subcontratado está dentro del alcance.
3.52
actuación
resultado medible
Nota 1 a la entrada: El desempeño puede relacionarse con hallazgos cuantitativos o cualitativos.
Nota 2 a la entrada: El desempeño puede relac

relacionarse
ionarse con la gestión de actividades,procesos(3.54 )),, productos
productos (incluidos los
servicios), sistemas oorganizaciones(3.50 ).
3.53
política
intenciones y dirección de unorganización(3.50 ), tal
tal como lo expresa formalmente sualta dirección(3.7
3.755 )
3.54
proceso
conjunto de actividades interrelacionadas o que interactúan que transforma entradas en salidas
3.55
fiabilidad
propiedad de comportamiento y resultados consistentes previstos
3.56
requisito
necesidad o expectativa declarada, generalmente implícita u obligatoria
Nota 1 a la entrada: “Generalmente implícito” significa que es costumbre o práctica común para la organización y las
partes interesadas que la necesidad o expectativa bajo consideración esté implícita.
Nota 2 a la entrada: Un requisito especificado es uno que se establece, por ejemplo, en información documentada.

ISO/IEC 27000:2018(E)
3.57
riesgo residual
riesgo(3.61 ) restante después tratamiento de riesgos(3.72 )
Nota 1 a la entrada: El riesgo residual puede contener un riesgo no identificado.
Nota 2 a la entrada: El riesgo residual también puede denominarse “riesgo retenido”.
3.58
revisión
actividad emprendida para determinar la idoneidad, adecuación yeficacia(3.20 ) de la materia para
lograrobjetivos(3.49 )
[ORIGEN: Guía ISO 73:2009, 3.8.2.2, modificado — Se eliminó la Nota 1 a la entrada.]
3.59
objeto de revisión
artículo específico que se está revisando
3.60
objetivo de revisión
declaración que describe lo que se logrará como resultado de unarevisión(3.59 )
3.61
riesgo
efecto de la incertidumbre sobreobjetivos(3.
3.49
49 )
Nota 1 a la entrada: Un efecto es una desviación de lo esperado, ya sea positivo o negativo.
Nota 2 a la entrada: La incertidumbre es el estado, incluso parcial, de deficiencia de información relacionada con, comprensión o
conocimiento de un evento, su consecuencia o probabilidad.
Nota 3 a la entrada: El riesgo a menudo se caracteriza por referencia a posibles "eventos" (como se define en la Guía ISO 73:2009,
3.5.1.3) y "consecuencias" (como se define en la Guía ISO 73:2009, 3.6.1.3), o una combinación de estos.
Nota 4 a la entrada: El riesgo a menudo se expresa en términos de una combinación de las consecuencias de un evento (incluidos los
cambios en las circunstancias) y la "probabilidad" asociada (como se define en
e n la Guía ISO 73:2009, 3.6.1.1) de ocurrencia.
Nota 5 a la entrada: En el contexto de los sistemas de gestión de seguridad de la información, los riesgos de seguridad de la información pueden expresarse
como efecto de la incertidumbr
incertidumbree sobre los objetivos de seguridad de la información.
Nota 6 a la entrada: El riesgo de seguridad de la información está asociado con la posibilidad de que las amenazas exploten las vulnerabilidades de
un activo de información o grupo de activos de información y, por lo tanto, causen daño a una organización.
3.62
aceptación del riesgo
decisión informada de tomar una determinada riesgo(3.61 )
Nota 1 a la entrada: La aceptación del riesgo puede ocurrir sintratamiento de riesgos(3.72 ) o durante elproceso(3.54 ) del tratam
t ratamiento
iento del
riesgo.
Nota 2 a la entrada: Los riesgos aceptados están sujetos a vigilancia(3.46 ) yrevisión(3.58 ).
[FUENTE: Guía ISO 73:2009, 3.7.1.6]

3.63
análisis de riesgo
proceso(3.54 ) para comprender la naturaleza deriesgo(3.61 ) y determinar lanivel de riesgo(3.39 )
Nota 1 a la entrada: El análisis de riesgos proporciona la base para evaluación de riesgo(3.67 ) y decisiones sobre tratamiento de riesgos(3.72 ))..
Nota 2 a la entrada: El análisis de riesgo incluye la estimación del riesgo.
[FUENTE: Guía ISO 73:2009, 3.6.1]

ISO/IEC 27000:2018(E)
3.64
Evaluación de riesgos
generalproceso(3.5 3.544 ) deidentificación de riesgo(3.
3.68
68 ),análisis de riesgo(3.63 ) yevaluación de riesgo(3.67 )
[FUENTE: Guía ISO 73:2009, 3.4.1]

3.65
comunicación de riesgos y consulta
conjunto de continuosy entablar
e iterativosprocesos(3.54 ) que lleva a cabo una organización para proporcionar, compartir u
obtener información un diálogo con partes interesadas(3.3
3.377 ) sobre la gestión de riesgo(3.61 )
Nota 1 a la entrada: La información puede relacionarse con la existencia, naturaleza, forma,probabilidad(3.4
3.411 ), significado,
significado,
evaluación, aceptabilidad y tratamiento del riesgo.
Nota 2 a la entrada: La consulta es un proceso bidireccional de comunicación informada entre unorganización(3.50 ) y sus
sus partes
partes
interesadas sobre un tema antes de tomar una decisión o determinar una dirección sobre ese tema. La consulta es
- aprocesoque impacta en una decisión a través de la influencia en lugar del poder; y

— una aportación a la toma de decisiones, no una toma de decisiones conjunta.
3.66
criterios de riesgo
términos de referencia contra los cuales la importancia de riesgo(3.6
3.611 ) es evaluado
3.38 1). a la entrada: Los criterios de riesgo se basan en los objetivos de la organización, y contexto externo(3.
(Nota 22 ) ycontexto interno
3.22
Nota 2 a la entrada: Los criterios de riesgo pueden derivarse de estándares, leyes,

leyes,políticas(3.53 ) y otrarequisitos(3.56 ).
[FUENTE: Guía ISO 73:2009, 3.3.1.3]

3.67
evaluación de riesgo
proceso(3.54 ) de comparar los resultados deanálisis de riesgo(3.63 ) concriterios de riesgo(3.66 ) para
determinar si elriesgo(3.61 ) y/o su magnitud es aceptable o tolerable
Nota 1 a la entrada: La evaluación de riesgos ayuda en la decisión sobre tratamiento de riesgos(3.72 ))..
[FUENTE: Guía ISO 73:2009, 3.7.1]

3.68
identificación
proceso(3.54 de )riesgo
de encontrar, reconocer y describirriesgos(3.
3.61
61 )
Nota 1 a la entrada: La identificación de riesgos implica la identificación de fuentes de riesgo, eventos(3.21 ), sus causas y su
potencialconsecuencias(3.13.122 ).
Nota 2 a la entrada: La identificación de riesgos puede involucrar datos históricos, análisis teóricos, opiniones informadas y de expertos, y partes
interesadas'(3.37 ) necesidade
necesidades.s.
[FUENTE: Guía ISO 73:2009, 3.5.1]

3.69
gestión de riesgos
actividades coordinadas para dirigir y controlar unorganización(3.50 ) con
con respecto ariesgo(3.61 )
[FUENTE: Guía ISO 73:2009, 2.1]

ISO/IEC 27000:2018(E)
3.70
proceso de gestión de riesgos
aplicación sistemática de la gestiónpolíticas(3.5
3.533 ), procedimiento
procedimientoss y prácticas a las actividades de
comunicar,
comunic ar, consultar, contextualiz
contextualizar
ar e identificar, analizar, evaluar, tratar, monitorear y revisar
riesgo(3.61 )
Nota 1 a la entrada: ISO/IEC 27005
27005 utiliza
utiliza el término “proceso” (3
(3.54 ) para
para describir la gestión de riesgos en general. Los
elementos dentro de lagestión de riesgos(3.69 ) proceso se denominan “actividades”.
[FUENTE: Guía ISO 73:2009, 3.1, modificada — Se agregó la Nota 1 a la entrada.]

3.71
dueño del riesgo
persona o entidad con la responsabilidad y autoridad para administrar un riesgo(3.61 )
[FUENTE: Guía ISO 73:2009, 3.5.1.5]

3.72
tratamiento de riesgos
proceso(3.54 ) Modificarriesgo(3.61 )
Nota 1 a la entrada: El tratamiento del riesgo puede implicar:
— evitar el riesgo decidiendo no iniciar o continuar con la actividad que genera el riesgo;
— asumir o aumentar el riesgo para aprovechar una oportunidad;

— eliminar la fuente de riesgo;
- cambiando elprobabilidad(3.40 );
- cambiando elconsecuencias(3.
3.12
12 );
— compartir el riesgo con otra parte o partes (incluidos los contratos y la financiación del riesgo);
— retener el riesgo mediante una elección informada.
Nota 2 a la entrada: Los tratamientos de riesgos que se ocupan de las consecuencias negativas a veces se denominan "mitigación de
riesgos", "eliminación de riesgos", "prevención de riesgos" y "reducción de riesgos".
Nota 3 a la entrada: El tratamiento del riesgo puede crear nuevos riesgos o modificar los existentes.
[FUENTE: Guía ISO 73:2009, 3.8.1, modificada — "decisión" ha sido reemplazada por "elección" en la Nota 1 a la
entrada.]
3.73
estándar de implementación de seguridad
documento que especifica las formas autorizadas para realizar la seguridad
3.74
amenaza
causa potencial de un incidente no deseado, que puede resultar en daño a un sistema o organización(3.50 )
3.75
alta dirección
persona o grupo de personas que dirige y controla unaorganización(3.50 ) al más alto nivel
Nota 1 a la entrada: La alta dirección tiene el poder de delegar autoridad y proporcionar recursos dentro de la
organización.
Nota 2 a la entrada: Si el alcance de lasistema de gestión(3.41 ) cubre

cubre solo una parte de una organización, entonces la alta
dirección se refiere a aquellos que dirigen y controlan esa parte de la organización.

ISO/IEC 27000:2018(E)
Nota 3 a la entrada: La alta dirección a veces se denomina dirección ejecutiva y puede

pu ede incluir directores ejecutivos,
directores financieros, directores de información y roles similares.
3.76
entidad confiable de comunicació
comunicación
n de información
información
autónomoorganización(3.50 ) apoyar
apoyar el intercambio de información dentro de uncomunidad de intercambio de
información(3.34 )
3.77
vulnerabilidad
debilidad de un activo ocontrol(3.14 ) que pueden ser explotados por uno o más amenazas(3.7
3.744 )
4 Sistemas de gestión de la seguridad de la información
4.1 Generalidades
Organizaciones de todo tipo y tamaño:

a) recopilar, procesar, almacenar y transmitir información;
b) reconocer que la información y los procesos, sistemas, redes y personas relacionados son activos importantes
para lograr los objetivos de la organización;
c) enfrentar una gama de riesgos que pueden afectar el funcionamiento de los activos; y
d) abordar su exposición al riesgo percibido mediante la implementación de controles de seguridad de la información.
Toda la información mantenida y procesada por una organización está sujeta a amenazas de ataque, error, naturaleza
(por ejemplo, inundaciones o incendios), etc., y está sujeta a vulnerabilidades inherentes a su uso. El término seguridad de
la información generalmente se basa en que la información se considera un activo que tiene un valor que requiere una
protección adecuada, por ejemplo, contra la pérdida de disponibilidad, confidencialidad e integridad. Permitir que la
información precisa y completa esté disponible de manera oportuna para aquellos con una necesidad autorizada es un
catalizador para la eficiencia comercial.
La protección de los activos de información a través de la definición, el logro, el mantenimiento y la mejora de la seguridad
de la información de manera efectiva es esencial para permitir que una organización logre sus objetivos y mantenga y
mejore su imagen y cumplimiento legal. Estas actividades coordinadas que dirigen la implementación de controles
adecuados y tratan los riesgos de seguridad de la información inaceptables se conocen generalmente como elementos
elementos de
gestión de seguridad de la información.
A medida que los riesgos de seguridad de la información y la eficacia de los controles cambian según las circunstancias
cambiantes, las organizaciones deben:
a) monitorear y evaluar la efectividad de los controles y procedimientos implementados;

b) identificar los riesgos emergentes a tratar; y
c) seleccionar, implementar y mejorar los controles apropiados según sea necesario.
Para interrelacionar y coordinar tales actividades de seguridad de la información, cada organización necesita establecer su
política y objetivos para la seguridad de la información y lograr esos objetivos de manera efectiva mediante el uso de un
sistema de gestión.
4.2 ¿Qué es un SGSI?
4.2.1 Resumen y principios

Un SGSI consiste en las políticas, procedimientos, directrices y recursos y actividades asociados,
asociados,
administradoss colectivamente por una organización
administrado organización,, en la búsqueda de proteger sus activos de información.
Un SGSI es un enfoque sistemático para establecer, implementar, operar, monitorear, revisar, mantener

ISO/IEC 27000:2018(E)
y mejorar la seguridad de la información de una organización para lograr los objetivos comerciales. Se basa en una
evaluación de riesgos y los niveles de aceptación de riesgos de la organización diseñados para tratar y gestionar los
riesgos de manera eficaz. Analizar los requisitos para la protección de los activos de información y aplicar los controles
apropiados para garantizar la protección de estos activos de información, según sea necesario, contribuye a la
implementación exitosa de un SGSI. Los siguientes principios fundamentales también contribuyen a la implementación
exitosa de un SGSI:
a) conciencia de la necesidad de seguridad de la información;
b) asignación de responsabilidad por la seguridad de la información;
c) incorporar el compromiso de gestión y los intereses de las partes interesadas;

d) mejorar los valores sociales;
e) evaluaciones de riesgo que determinen los controles apropiados para alcanzar niveles aceptables de riesgo;
f) la seguridad incorporada como elemento esencial de las redes y sistemas de información;

g) prevención y detección activa de incidentes de seguridad de la información;
h) garantizar un enfoque integral para la gestión de la seguridad de la información;

i) reevaluación continua de la seguridad de la información y realización de modificaciones según corresponda.
4.2.2 Información
La información es un activo que, al igual que otros activos comerciales importantes, es esencial para el negocio de una
organización y, en consecuencia, debe protegerse adecuadamente. La información se puede almacenar en muchas formas, que
incluyen: forma digital (p. ej., archivos de datos almacenados en medios electrónicos u ópticos), forma material (p. ej., en papel),
así como información no representada en forma de conocimiento de los empleados. La información puede transmitirse por varios
medios, incluidos: mensajería, comunicación electrónica o verbal. Cualquiera que
q ue sea la forma que
q ue adopte la información, o los
medios por los que se transmita, siempre necesita una protección adecuada.
En muchas organizaciones, la información depende de la tecnología de la información y las comunicaciones. Esta

tecnología suele ser un elemento esencial en la organización y ayuda a facilitar la creación, el procesamiento, el
almacenamiento, la transmisión, la protección y la destrucción de la información.
4.2.3 Seguridad de la información
La seguridad de la información garantiza la confidencialidad, disponibilidad e integridad de la información. La seguridad

de la información implica la aplicación y gestión de controles apropiados que implican la consideración de una amplia
gama de amenazas, con el objetivo de garantizar el éxito y la continuidad del negocio sostenido, y minimizar las
consecuencias de los incidentes de seguridad de la información.
La seguridad de la información se logra a través

t ravés de la implementación de un conjunto aplicable de controles,
seleccionados a través del proceso de gestión de riesgos elegido y gestionado mediante un SGSI, que incluye políticas,
procesos, procedimientos, estructuras organizativas, software y hardware para proteger los activos de información
identificados. Estos controles deben especificarse, implementarse, monitorearse, revisarse y mejorarse cuando sea
necesario, para garantizar que se cumplan los objetivos comerciales y de seguridad de la información específicos de la
organización. Se espera que los controles de seguridad de la información relevantes se integren perfectamente con los
procesos comerciales de una organización.
4.2.4 Gestión
La gestión implica actividades para dirigir, controlar y mejorar continuamente la organización dentro de las
estructuras apropiadas.
dirigir, supervisar Las actividades
y controlar de Las
los recursos. gestión incluyendeelgestión
estructuras acto, la se
manera o la práctica
extienden desde unade persona
organizar,
enmanejar,
una
organización pequeña hasta jerarquías de gestión compuestas por muchas personas en organizaciones grandes.

ISO/IEC 27000:2018(E)
En términos de un SGSI, la gestión implica la supervisión y la toma de decisiones necesarias para lograr los
objetivos comerciales a través de la protección de los activos de información de la organización. La gestión de la
seguridad de la información se expresa a través de la formulación y el uso de políticas, procedimientos y directrices
de seguridad de la información, que luego se aplican en toda la organización por todas las personas asociadas con
la organización.
4.2.5 Sistema de gestión

Un sistema de gestión utiliza un marco de recursos para lograr los objetivos de una organización. El sistema de gestión
incluye la estructura organizativa, las políticas, las actividades de planificación, las responsabilidades, las prácticas, los
procedimientos, los procesos y los recursos.
En términos de seguridad de la información, un sistema de gestión permite a una organización:
a) satisfacer los requisitos de seguridad de la información de los clientes y otras partes interesadas;
b) mejorar los planes y actividades de una organización;
c) cumplir con los objetivos de seguridad de la información de la organización;
d) cumplir con los reglamentos, la legislación y los mandatos de la industria; y
e) administrar los activos de información de una manera organizada que facilite la mejora continua y el ajuste
a las metas organizacionales actuales.
4.3 Enfoque basado en procesos
Las organizaciones necesitan identificar y administrar muchas actividades para funcionar de manera efectiva y
eficiente. Cualquier actividad que utilice recursos debe gestionarse para permitir la transformación de entradas en
salidas utilizando un conjunto de actividades interrelacionadas o que interactúan; esto también se conoce como un
proceso. La salida de un proceso puede formar directamente la entrada de otro proceso y, por lo general, esta
transformación se lleva a cabo en condiciones planificadas y controladas. La aplicación de un sistema de procesos
dentro de una organización, junto con la identificación e interacciones de estos procesos y su gestión, puede
denominarse “enfoque basado en procesos”.
4.4 Por qué es importante un SGSI

Es necesario abordar los riesgos asociados con los activos
a ctivos de información de una organización. Lograr la seguridad de la
información requiere la gestión del riesgo y abarca los riesgos de amenazas físicas, humanas y relacionadas con la
tecnología asociadas con todas las formas de información dentro o utilizadas por la organización.
Se espera que la adopción de un SGSI sea una decisión estratégica para una organización y es necesario que
esta decisión se integre, escale y actualice a la perfección de acuerdo con las necesidades de la organización.
El diseño y la implementación del SGSI de una organización están influenciados por las necesidades y los objetivos
de la organización, los requisitos de seguridad, los procesos comerciales empleados y el tamaño y la estructura de
la organización. El diseño y la operación de un SGSI deben reflejar los intereses y los requisitos de seguridad de la
información de todas las partes interesadas de la organización, incluidos clientes, proveedores, socios comerciales,
accionistas y otros terceros relevantes.
En un mundo interconectado, la información y los procesos, sistemas y redes relacionados constituyen activos comerciales
críticos. Las organizaciones y sus redes y sistemas de información se enfrentan a amenazas de seguridad de una amplia
gama de fuentes, incluido el fraude asistido por computadora, el espionaje, el sabotaje, el vandalismo, los incendios y las
inundaciones. Los daños a los sistemas
sistemas y redes de información
información causados por códigos maliciosos, piratería
piratería informática y
ataques de denegación de servicio se han vuelto más comunes, más ambiciosos y cada vez más sofisticados.
Un SGSI es importante tanto para las empresas del sector público como del privado. En cualquier industria, un ISMS es un
habilitador que respalda el comercio electrónico y es esencial para las actividades de gestión de riesgos. La interconexión
de redes públicas y privadas y el intercambio de activos de información aumentan la dificultad de controlar

ISO/IEC 27000:2018(E)
acceso y manejo de la información. Además, la distribución de dispositivos móviles de almacenamiento que contienen
activos de información puede debilitar la eficacia de los controles tradicionales. Cuando las organizaciones adoptan la
familia de estándares ISMS, se puede demostrar a los socios comerciales y otras partes interesadas la capacidad de aplicar
principios de seguridad de la información consistentes y mutuamente reconocibles.
La seguridad de la informaci
información
ón no siempre se tiene en cuenta en el diseño y desarrollo de los
sistemas de información. Además, a menudo se considera que la seguridad de la informació
información
n es
una solución técnica.
técnica. Sin embargo, la seguridad de la información que se puede lograr a través de
medios técnicos es limitada y puede ser ineficaz sin el respaldo de una gestión y procedimientos
adecuados dentro del contexto de un SGSI. La integración de la seguridad en un sistema de
información
informaci ón funcionalmente
funcionalmente completo puede ser difícil y costosa. Un SGSI implica identificar qué
controles existen y requiere una planificación cuidadosa
cuidadosa y atención a los detalles. A modo de
ejemplo, los controles de acceso, que pueden ser técnicos (lógicos), físicos, administrativos
(gerenciales) o una combinació
combinación,
n,
La adopción exitosa de un SGSI es importante para proteger los activos de información que permiten a una organización:
a) lograr una mayor seguridad de que sus activos de información están adecuadamente protegidos contra amenazas de manera
continua;
b) mantener un marco estructurado y completo para identificar y evaluar los riesgos de seguridad
de la información, seleccionar y aplicar los controles aplicables y medir y mejorar su eficacia;
c) mejorar continuamente su entorno de control; y

d) lograr efectivamente el cumplimiento legal y normativo.
4.5 Establecimiento, seguimiento, mantenimiento y mejora de un SGSI
4.5.1 Resumen
Una organización necesita llevar a cabo los siguientes pasos para establecer, monitorear, mantener y
mejorar su SGSI:
a) identificar los activos de información y sus requisitos de seguridad de la información asociados (ver4.
(ver4.5.2
5.2 );
b) evaluar los riesgos de seguridad de la información (ver4.5.3
(ver4.5.3 ) y tratar los riesgos de seguridad de la información (ver4.
(ver4.5.4
5.4 );
c) seleccionar e implementar los controles pertinentes para gestionar los riesgos inaceptables (ver4
(ver 4.5.5 );
d) monitorear, mantener y mejorar la efectividad de los controles asociados con los activos de información de
la organización (ver4.5.6
(ver4.5.6 ).
Para garantizar que el SGSI protege de manera efectiva los activos de información de la organización de manera continua,
es necesario que los pasos a) a d) se repitan continuamente para identificar cambios en los riesgos o en las estrategias u
objetivos comerciales de la organización.
4.5.2 Identificación de los requisitos de seguridad de la información
Dentro de la estrategia general y los objetivos comerciales de la organización, su tamaño y distribución geográfica, los
requisitos de seguridad de la información se pueden identificar mediante la comprensión de lo siguiente:
a) activos de información identificados

identificados y su valor;
b) las necesidades empresariales de procesamiento, almacenamiento y comunicación de la información;
c) requisitos legales, reglamentarios y contractuales.

Llevar a cabo una evaluación metódica de los riesgos asociados con los activos de información de la organización implica
analizar las amenazas a los activos de información, las vulnerabilidades y la probabilidad de una amenaza.

ISO/IEC 27000:2018(E)
materialización de los activos de información, y el impacto potencial de cualquier incidente de seguridad de la

información en los activos de información. Se espera que el gasto en controles relevantes sea proporcional al
impacto comercial percibido de la materialización del riesgo.
4.5.3 Evaluación de los riesgos de seguridad de la información
La gestión de los riesgos de seguridad de la información requiere una evaluación de riesgos adecuada y un método de
tratamiento de riesgos que puede incluir una estimación de los costos y beneficios, los requisitos legales, las preocupaciones de
las partes interesadas y otras entradas y variables, según corresponda.
La evaluación de riesgos debe identificar, cuantificar y priorizar los riesgos frente a los criterios de aceptación de riesgos y
los objetivos relevantes para la organización. Los resultados deben guiar y determinar la acción de gestión adecuada y las
prioridades para gestionar los riesgos de seguridad de la información y para implementar los controles seleccionados
para proteger contra estos riesgos.
La evaluación de riesgos debe incluir:
— el enfoque sistemático de estimación de la magnitud de los riesgos (análisis

( análisis de riesgos); y
— el proceso de comparar los riesgos estimados con los criterios de riesgo para determinar la importancia de los riesgos
(evaluación de riesgos).
La evaluación de riesgos debe realizarse periódicamente para abordar los cambios en los requisitos de seguridad
de la información y en la situación de riesgo, por ejemplo, en los activos, amenazas, vulnerabilidades, impactos, la
evaluación de riesgos
manera metódica y cuando
capaz ocurren
de producir cambioscomparables
resultados significativos. Estas evaluaciones de riesgos deben realizarse de
y reproducibles.
La evaluación de riesgos de seguridad de la información debe tener un alcance claramente definido para ser eficaz
y debe incluir relaciones con evaluaciones de riesgos en otras áreas, si corresponde.
ISO/IEC 27005 proporciona una guía de gestión de riesgos de seguridad de la información, incluidos consejos sobre evaluación de riesgos,
tratamiento de riesgos, aceptación de riesgos, informes de riesgos, supervisión de riesgos y revisión de riesgos. También se incluyen
ejemplos de metodologías de evaluación de riesgos.
4.5.4 Tratamiento de los riesgos de seguridad de la información
Antes de considerar el tratamiento de un riesgo, la organización debería

debería definir criterios para determinar si
los riesgos pueden aceptarse o no. Los riesgos pueden aceptarse si, por ejemplo, se evalúa que el riesgo es
bajo o que el costo del tratamiento no es rentable para la organizació
organización.
n. Tales decisiones deben ser
registradas.
Para cada uno de los riesgos identificados después de la evaluación de riesgos, se debe tomar una decisión sobre el tratamiento del
riesgo. Las posibles opciones para el tratamiento del riesgo incluyen las siguientes:
a) aplicar los controles apropiados para reducir los riesgos;

b) aceptar riesgos con conocimiento y objetividad, siempre que satisfagan claramente la política y los criterios de la organización
para la aceptación de riesgos;
c) evitar riesgos al no permitir acciones que causarían que ocurran los riesgos;
d) compartir los riesgos asociados con otras partes, por ejemplo, aseguradoras o proveedores.
Para aquellos riesgos en los que la decisión de tratamiento del riesgo haya sido aplicar controles apropiados, estos controles
deben seleccionarse e implementarse.
4.5.5 Selección e implementación de controles

Una vez identificados los requisitos de seguridad de la información (ver4.5.2
(ver4.5.2 ), los
los riesgos
riesgos de seguridad de la información
para los activos de información identificados han sido determinados y evaluados (ver4.5.3
(ver4.5.3 ) y decisiones
decisiones para el

ISO/IEC 27000:2018(E)
se ha realizado un tratamiento de los riesgos de seguridad de la información (ver4

(ver4.5.4 ), luego
luego se aplica la selección e implementación de
controles para la reducción de riesgos.
Los controles deben garantizar que los riesgos se reduzcan a un nivel aceptable teniendo en cuenta lo siguiente:
a) requisitos y restricciones de la legislación y los reglamentos nacionales

nacionales e internaciona
internacionales;
les;
b) objetivos organizacionales;
c) requisitos y restricciones operacionales;
operacionales;
d) su costo de implementación y operación en relación con los riesgos que se reducen y siguen siendo
proporcionales
proporcionales a los requisitos y limitaciones de la organización;
e) sus objetivos para monitorear, evaluar y mejorar la eficiencia y eficacia de los controles de seguridad de la
información para apoyar los objetivos de la organización. La selección e implementación de controles debe
documentarse dentro de una declaración de aplicabilidad para ayudar con los requisitos de cumplimiento;
f) la necesidad de equilibrar la inversión en la implementación y operación de los controles contra la pérdida probable que
resulte de los incidentes de seguridad de la información.
Los controles especificados en ISO/IEC 27002 se reconocen como las mejores prácticas aplicables a la mayoría de
las organizaciones y se adaptan fácilmente para adaptarse a organizaciones de diversos tamaños y complejidades.
Otros estándares en la familia de estándares ISMS brindan orientación sobre la selección y aplicación de controles
ISO/IEC 27002 para el ISMS.
Los controles de seguridad de la información deben considerarse en la etapa de especificación y diseño de los requisitos
de los sistemas y proyectos. No hacerlo puede generar costos adicionales y soluciones menos efectivas y, en el peor de los
casos, la incapacidad de lograr la seguridad adecuada. Los controles se pueden seleccionar de ISO/IEC 27002 o de otros
conjuntos de control. Alternativamente, se pueden diseñar nuevos controles para satisfacer las necesidades específicas de
la organización. Es necesario reconocer la posibilidad de que algunos controles no sean aplicables a todos
t odos los sistemas o
entornos de información, y no sean practicables para todas las organizaciones.
A veces, implementar un conjunto de controles elegido lleva tiempo y, durante ese tiempo, el nivel de riesgo puede ser
más alto de lo que se puede tolerar a largo plazo. Los criterios de riesgo deben cubrir la tolerabilidad de los riesgos a corto
plazo mientras se implementan los controles. Las partes interesadas deben ser informadas de los niveles de riesgo que se
estiman o anticipan en diferentes momentos a medida que se implementan los controles de manera progresiva.
Debe tenerse en cuenta que ningún conjunto de controles puede lograr la seguridad completa de la información. Se
deben implementar acciones de gestión adicionales para monitorear, evaluar y mejorar la eficiencia y eficacia de los
controles de seguridad de la información para respaldar los objetivos de la organización.
La selección e implementación de controles debe documentarse dentro de una declaración de aplicabilidad para
ayudar con los requisitos de cumplimiento.
4.5.6 Supervisar, mantener y mejorar la eficacia del SGSI

Una organización necesita mantener y mejorar el SGSI a través del seguimiento y la evaluación del desempeño
frente a las políticas y los objetivos de la organización, e informando los resultados a la gerencia para su revisión.
Esta revisión del SGSI verifica que el SGSI incluya controles específicos que sean adecuados para tratar los riesgos
dentro del alcance del SGSI. Además, con base en los registros de estas áreas monitoreadas, proporciona evidencia
de verificación y trazabilidad de las acciones correctivas, preventivas y de mejora.
4.5.7 Mejora continua

El objetivo de la mejora continua de un SGSI es aumentar la probabilidad de lograr los objetivos relacionados
con la preservación de la confidencialidad, disponibilidad e integridad de la información. El enfoque de la
mejora continua es buscar oportunidades de mejora y no asumir que las actividades de gestión existentes
son lo suficientemente buenas o tan buenas como pueden.
dieciséis © ISO/IEC 2018 – Todos los derechos reservados

ISO/IEC 27000:2018(E)
Las acciones de mejora incluyen las siguientes:

a) analizar y evaluar la situación
s ituación existente para identificar áreas de mejora;
b) establecer los objetivos de mejora;
c) buscar posibles soluciones para lograr los objetivos;
d) evaluar estas soluciones y hacer una selección;
e) implementar la solución seleccionada;
f) medir, verificar, analizar y evaluar los resultados de la implementación para determinar que se han
cumplido los objetivos;
g) formalización de cambios.
Los resultados se revisan, según sea necesario, para determinar más oportunidades de mejora. De esta forma, la mejora
es una actividad continua, es decir, las acciones se repiten con frecuencia. Los comentarios de los clientes y otras partes
interesadas, las auditorías y la revisión del sistema de gestión de la seguridad de la información también se pueden
utilizar para identificar oportunidades de mejora.
4.6 Factores críticos de éxito del SGSI

Una gran cantidad de factores son críticos para la implementación exitosa de un SGSI para permitir que una
organización cumpla con sus objetivos comerciales. Ejemplos de factores críticos de éxito incluyen los siguientes:
a) política de seguridad de la información, objetivos y actividades alineadas con los objetivos;
b) un enfoque y marco para diseñar, implementar, monitorear, mantener y mejorar la seguridad de la

información consistente con la cultura organizacional;
c) apoyo y compromiso visibles de todos los niveles de gestión, especialmente
especialmente de la alta dirección;
d) una comprensión de los requisitos de protección de activos de información logrados mediante la aplicación de la
gestión de riesgos de seguridad de la información (ver ISO/IEC 27005);
e) un programa efectivo de concientización, capacitación y educación en seguridad de la información, informando a todos

los empleados y otras partes relevantes de sus obligaciones de seguridad de la información establecidas en las
políticas, estándares, etc. de seguridad de la información, y motivándolos a actuar en consecuencia;
f) un proceso eficaz de gestión de incidentes de seguridad de la información;
g) un enfoque eficaz de gestión de la continuidad del negocio;

h) un sistema de medición utilizado para evaluar el desempeño en la gestión de la seguridad de la información y
sugerencias de retroalimentación para la mejora.
Un SGSI aumenta la probabilidad de que una organización logre constantemente los factores críticos de éxito necesarios
para proteger sus activos de información.
4.7 Beneficios de la familia de estándares ISMS

Los beneficios de implementar un SGSI resultan principalmente de una reducción en los riesgos de seguridad de la información
(es decir, la reducción de la probabilidad y/o el impacto causado por incidentes de seguridad de la información). Específicamente,
los beneficios que una organización obtiene para lograr un éxito sostenible a partir de la adopción de la familia de estándares
ISMS incluyen los siguientes:
a) un marco estructurado
estructur ado que respalde el proceso de especificación, implementación, operación y
mantenimiento de un SGSI integral, rentable, que cree valor, integrado y alineado que satisfaga las
necesidades de la organización en diferentes operaciones y sitios;

ISO/IEC 27000:2018(E)
b) asistencia para la gerencia en la gestión y operación consistentes de manera responsable de su enfoque hacia la
gestión de la seguridad de la información, dentro del contexto de la gestión y el gobierno de riesgos
corporativos, incluida la educación y capacitación de los propietarios de sistemas y empresas sobre la gestión
holística de la seguridad de la información;
c) promoción de buenas prácticas de seguridad de la información globalmente aceptadas de manera no
prescriptiva, dando a las organizaciones la libertad de adoptar y mejorar los controles relevantes que se
adapten a sus circunstancias específicas y mantenerlos frente a cambios internos y externos;
d) provisión de un lenguaje común y una base conceptual para la seguridad de la información, lo que facilita la
confianza en los socios comerciales con un SGSI compatible, especialmente si requieren la certificación ISO/IEC
27001 por parte de un organismo de certificación acreditado;
e) aumento de la confianza de las partes interesadas en la organización;
f) satisfacer las necesidades y expectativas de la sociedad;
g) una gestión económica más eficaz de las inversiones en seguridad de la información.
5 Familia de normas SGSI

5.1 Información general
La familiauna
contiene de estándares ISMS constaestructurales
serie de componentes de estándares interrelacionados,
significativos. ya publicadosestán
Estos componentes o en desarrollo, y
enfocados en:
— normas que describen los requisitos del SGSI (ISO/IEC 27001);

— requisitos del organismo de certificación (ISO/IEC 27006) para aquellos que certifican la conformidad con
ISO/IEC 27001; y
— marco de requisitos adicionales
adicionales para implementaciones sectoriales específicas del SGSI (ISO/IEC 27009).
Otros documentos brindan orientación para varios aspectos de la implementación de un SGSI, abordando un proceso genérico así
como orientación específica del sector.
Las relaciones entre la familia de estándares ISMS se ilustran enFig

enFigura
ura 1 .

ISO/IEC 27000:2018(E)
Vocabulario estándar -
Cláusula 5.2
27000
Requisito
normas - 27001 27006 27009
I
S Cláusula 5.3
G
S
s
a
m
r 27002 27003 27004 27005 27007 TR 27008
o
n Directrices estándares
e
d -
a
il Cláusula 5.4
27013 27014 TR 27016 27021
i
m
a
F
Específico del sector

pautas estandares - 27010 27011 27017 27018 27019
Cláusula 5.5
Normas de directrices especí icas de control 2703x 2704x

(fuera del alcance de este documento)
Figura 1 — Relaciones de la familia de estándares SGSI
Cada uno de los estándares de la familia ISMS se describe a continuación por su tipo (o función) dentro de la familia de estándares
ISMS y su número de referencia.
5.2 Norma que describe una descripción general y terminología: ISO/IEC 27000 (este documento)
Tecnología de la información — Técnicas de seguridad — Sistemas de gestión de la seguridad de la información — Visión general
y vocabulario
Alcance:Este documento proporciona a las organizaciones e individuos:
a) una descripción general de la familia de estándares ISMS;
b) una introducción a los sistemas de gestión de seguridad de la información; y
c) términos y definiciones utilizados en toda la familia de estándares ISMS.

Objetivo:Este documento describe los fundamentos de los sistemas de gestión de la seguridad de la información, que
forman el tema de la familia de estándares ISMS y define los términos relacionados.
5.3 Normas que especifican requisitos
5.3.1 ISO/CEI 27001

Tecnología de la información — Técnicas de seguridad — Sistemas de gestión de la seguridad de la información —
Requisitos
Alcance:Este documento especifica los requisitos para establecer, implementar, operar, monitorear, revisar, mantener y
mejorar los sistemas de gestión de seguridad de la información (SGSI) formalizados dentro del contexto de los riesgos
comerciales generales de la organización. Especifica los requisitos para la implementación de controles de seguridad de la
información personalizados para las necesidades de organizaciones individuales o partes de ellas. Este documento puede
ser utilizado por todas las organizaciones, independientemente de su tipo, tamaño y naturaleza.

ISO/IEC 27000:2018(E)
Objetivo:ISO/IEC 27001 proporciona requisitos normativos para el desarrollo y operación de un SGSI, incluido un
Objetivo:ISO/IEC
conjunto de controles para el control y la mitigación de los riesgos asociados con los activos de información que la
organización busca proteger mediante la operación de su SGSI. Las organizaciones que operan un SGSI pueden
tener su conformidad auditada y certificada. Los objetivos de control y los controles de ISO/IEC 27001:2013, Anexo
A, se seleccionarán como parte de este proceso SGSI según corresponda para cubrir los requisitos identificados.
Los objetivos de control y los controles enumerados en ISO/IEC 27001:2013, Tabla A.1, se derivan directamente y
están alineados con los enumerados en ISO/IEC 27002:2013, Cláusulas 5 a 18.
5.3.2 ISO/CEI 27006

Tecnología de la información. Técnicas de seguridad. Requisitos para los organismos que proporcionan auditoría y certificación de los
sistemas de gestión de la seguridad de la información.
Alcance:Este documento especifica los requisitos y brinda orientación para los organismos que brindan auditoría y
Alcance:Este
certificación ISMS de acuerdo con ISO/IEC 27001, además de los requisitos contenidos en ISO/IEC 17021. Está
destinado principalmente a respaldar la acreditación de organismos de certificación que brindan certificación ISMS
IS MS
de acuerdo con ISO/IEC 27001. ISO/CEI 27001.
Los requisitos contenidos en este documento deben ser demostrados en términos de competencia y confiabilidad
por cualquier persona que brinde la certificación SGSI, y la orientación contenida en este documento proporciona
una interpretación adicional de estos requisitos para cualquier persona que brinde la certificación SGSI.
Objetivo:ISO/IEC 27006 complementa a ISO/IEC 17021 al proporcionar los requisitos por los cuales las
Objetivo:ISO/IEC
organizaciones de certificación están acreditadas, lo que permite a estas organizaciones proporcionar
certificaciones de cumplimiento consistentes con los requisitos establecidos en ISO/IEC 27001.
5.3.3 ISO/CEI 27009

Tecnología de la información. Técnicas de seguridad. Aplicación específica del sector de ISO/IEC 27001.
Requisitos.
Alcance:Este documento define los requisitos para el uso de ISO/IEC 27001 en cualquier sector específico
(campo, área de aplicación o sector de mercado). Explica cómo incluir requisitos adicionales a los de ISO/IEC
27001, cómo perfeccionar cualquiera de los requisitos de ISO/IEC 27001 y cómo incluir controles o conjuntos
de controles además de ISO/IEC
ISO/IEC 27001:2013, Anexo A.
Objetivo:ISO/IEC 27009 asegura que los requisitos adicionales o refinados no entren en conflicto con los
requisitos de ISO/IEC 27001.
5.4 Normas que describen las directrices generales

5.4.1 ISO/CEI 27002
Tecnología de la información. Técnicas de seguridad. Código de prácticas para los controle
controless de seguridad de la información
información..
Alcance:Este documento proporciona una lista de objetivos de control comúnmente aceptados y controles de mejores
prácticas que se utilizarán como guía de implementación al seleccionar e implementar controles para lograr la seguridad
de la información.
Objetivo: ISO/IEC 27002 proporciona orientación sobre la implementación de controles de seguridad de la información.
Objetivo:ISO/IEC
Específicamente, las Cláusulas 5 a 18 brindan asesoramiento de implementación específico y orientación sobre las mejores
prácticas en apoyo de los controles especificados en ISO/IEC 27001:2013, A.5 a A.18.
5.4.2 ISO/CEI 27003

Tecnología de la información — Técnicas de seguridad — Gestión de la seguridad de la información — Orientación
Alcance:Este documento proporciona una explicación y orientación sobre ISO/IEC 27001:2013.

ISO/IEC 27000:2018(E)
Objetivo:ISO/IEC 27003 proporciona antecedentes

antecedentes para la implementación exitosa del SGSI de
acuerdo con ISO/IEC 27001.
5.4.3 ISO/CEI 27004

Tecnología de la información — Técnicas de seguridad — Gestión de la seguridad de la información — Seguimiento,
medición, análisis y evaluación
Alcance:Este documento proporciona pautas destinadas a ayudar a las organizaciones a evaluar el

desempeño de la seguridad de la información y la efectividad del SGSI para cumplir con los requisitos de ISO/
IEC 27001:2013, 9.1. Se dirige a:
a) el seguimiento y la medición del desempeño de la seguridad de la información;
b) el seguimiento y la medición de la eficacia de un sistema de gestión de la seguridad de la información
(SGSI), incluidos sus procesos y controles;
c) el análisis y la evaluación de los resultados del seguimiento y la medición.
Objetivo:ISO/IEC 27004 proporciona un marco que permite medir y evaluar la eficacia del SGSI de
acuerdo con ISO/IEC 27001.
5.4.4 ISO/CEI 27005
Tecnología de la información — Técnicas de seguridad — Gestión de riesgos de seguridad de la información
Alcance:Este documento proporciona directrices para la gestión de riesgos de seguridad de la información. El enfoque
descrito en este documento respalda los conceptos generales especificados en ISO/IEC 27001.
Objetivo:ISO/IEC 27005 proporciona orientación sobre la implementación de un enfoque de gestión de riesgos orientado
a procesos para ayudar a implementar y cumplir satisfactoriamente los requisitos de gestión de riesgos de seguridad de la
información de ISO/IEC 27001.
5.4.5 ISO/CEI 27007

Tecnología de la información. Técnicas de seguridad. Directrices
Directrices para la auditoría de los sistemas de gestión de la seguridad de la
información.
Alcance:Este documento proporciona orientación sobre la realización de auditorías de SGSI, así como orientación sobre la
Alcance:Este
competencia de los auditores de sistemas de gestión de la seguridad de la información, además de la orientación contenida en la
norma ISO 19011, que se aplica a los sistemas de gestión en general.
Objetivo:ISO/IEC 27007 brindará orientación a las organizaciones que necesiten realizar auditorías internas o
externas de un SGSI o gestionar un programa de auditoría de SGSI según los requisitos especificados en ISO/
IEC 27001.
5.4.6 ISO/IEC TR 27008

Tecnología de la información. Técnicas de seguridad. Directrices para los auditores sobre los controles de seguridad de la información.
Alcance:Este documento brinda orientación sobre la revisión

Alcance:Este r evisión de la implementación y operación de los controles, incluida la
verificación del cumplimiento técnico de los controles del sistema de información, de conformidad con los estándares de
seguridad de la información establecidos por una organización.
Objetivo:Este documento proporciona un enfoque en las revisiones de los controles de seguridad de la información, incluida la
Objetivo:Este
verificación del cumplimiento técnico, frente a un estándar de implementación de seguridad de la información establecido por la
organización. No tiene la intención de proporcionar
p roporcionar ninguna guía específica sobre la verificación del cumplimiento con respecto a
la medición, evaluación de riesgos o auditoría de un SGSI como se especifica en ISO/IEC 27004, ISO/IEC 27005 o ISO/IEC 27007,
respectivamente. Este documento no está destinado a auditorías de sistemas de gestión.

ISO/IEC 27000:2018(E)
5.4.7 ISO/CEI 27013

Tecnología de la información. Técnicas de seguridad. Orientación sobre la implementación integrada de ISO/
IEC 27001 e ISO/IEC 20000-1.
Alcance:Este documento proporciona orientación sobre la implementación integrada de ISO/IEC 27001 e

ISO/IEC 20000-1 para organizaciones que tienen la intención de:
a) implementar ISO/IEC 27001 cuando ISO/IEC 20000-1 ya está implementado, o viceversa;

b) implementar tanto ISO/IEC 27001 como ISO/IEC 20000-1 juntas;
c) integrar los
los sistemas de gestión existentes
existentes basados en ISO/IEC 27001 e ISO/IEC
ISO/IEC 20000-1.
Este documento se centra exclusivamente en la implementación integrada de un sistema de gestión de seguridad de la
información (SGSI) como se especifica en ISO/IEC 27001 y un sistema de gestión de servicios (SMS) como se especifica en
ISO/IEC 20000-1.
En la práctica, ISO/IEC 27001 e ISO/IEC 20000-1 también se pueden integrar con otros estándares de sistemas
de gestión, como ISO 9001 e ISO 14001.
Objetivo:Proporcionar a las organizaciones una mejor comprensión de las características
características,, similitudes y
diferencias de ISO/IEC 27001 e ISO/IEC 20000-1 para ayudar en la planificación de un sistema de gestión
integrado que cumpla con ambas Normas Internacionales.
5.4.8 ISO/CEI 27014

Tecnología de la información — Técnicas de seguridad — Gobernanza de la seguridad de la información
Alcance:Este documento brindará orientación sobre los principios y procesos para la gobernanza de la seguridad de la
información, mediante los cuales las organizaciones pueden evaluar, dirigir y monitorear la gestión de la seguridad de la
información.
Objetivo: La seguridad de la información se ha convertido en un tema clave para las organizaciones. No solo existen requisitos
Objetivo:La
reglamentarios cada vez mayores, sino que también el fracaso de las medidas de seguridad de la información de una
organización puede tener un impacto directo en la reputación de una organización. Por lo tanto, los órganos de gobierno, como
parte de sus responsabilidades de gobierno, deben supervisar cada vez más la seguridad de la información para garantizar que se
logren los objetivos de la organización.
5.4.9 ISO/IEC TR 27016

Tecnología de la información — Técnicas de seguridad — Gestión de la seguridad de la información — Economía
organizacional
Alcance:Este documento proporciona una metodología que permite a las organizaciones comprender mejor
Alcance:Este
económicamente cómo valorar con mayor precisión sus activos de información identificados, valorar los riesgos
potenciales para esos activos de información, apreciar el valor que los controles de protección de la información
brindan a estos activos de información y determinar el nivel óptimo de recursos. aplicarse para asegurar estos
activos de información.
Objetivo:Este documento complementa la familia de estándares ISMS
Objetivo:Este IS MS superponiendo una perspectiva económica
en la protección de los activos de información de una organización en el contexto del entorno social más amplio en
el que opera una organización y brindando orientación sobre cómo aplicar la economía organizacional de la
seguridad de la información a través del uso de modelos y ejemplos.
5.4.10 ISO/CEI 27021

Tecnología de la información. Técnicas de seguridad. Gestión de la seguridad de la información. Requisitos de competencia para
los profesionales de los sistemas de gestión de la seguridad de la información.

ISO/IEC 27000:2018(E)
Alcance:Este documento especifica los requisitos de competencia para los profesionales de SGSI que lideren o participen
en el establecimiento, implementación, mantenimiento
mantenimiento y mejora continua de uno o más procesos del sistema de gestión
de seguridad de la información conforme a la norma ISO/IEC 27001:2013.
Objetivo:Este documento está destinado a ser utilizado por:
a) personas que deseen demostrar su competencia como profesionales del sistema de gestión de seguridad
de la información (SGSI), o que deseen comprender y lograr la competencia requerida para trabajar en
esta área, así como que deseen ampliar sus conocimiento
conocimientos,
s,
b) organizaciones que buscan posibles candidatos profesionales de ISMS para definir la competencia requerida para
puestos en roles relacionados con ISMS,
c) organismos para desarrollar la certificación de profesionales de ISMS que necesitan un cuerpo de conocimiento (BOK) para las
fuentes de examen, y
d) organizaciones de educación y formación, tales como universidades e instituciones vocacionales, para alinear sus
planes de estudios y cursos con los requisitos de competencia para los profesionales de SGSI.
5.5 Normas que describen las directrices específicas del sector
5.5.1 ISO/CEI 27010

Tecnologías de la información — Técnicas de seguridad — Gestión de la seguridad de la información para las comunicaciones
intersectoriales e interinstitucionales
Alcance:Este documento proporciona pautas además de la orientación proporcionada en la familia de estándares ISO/IEC
27000 para implementar la gestión de la seguridad de la información dentro de las comunidades de intercambio de
información.
Este documento proporciona controles y orientación relacionados específicamente con el inicio, la implementación,
el mantenimiento y la mejora de la seguridad de la información
info rmación en las comunicaciones interinstitucionales e
intersectoriales.
Objetivo:Este documento es aplicable a todas las formas de intercambio y distribución de información sensible,
Objetivo:Este
tanto pública como privada, a nivel nacional e internacional, dentro de la misma industria o sector del mercado o
entre sectores. En particular, puede ser aplicable a los intercambios de información relacionados con la provisión, el
mantenimiento y la protección de la infraestructura crítica de una organización o estado.
5.5.2 ISO/CEI 27011

Tecnología de la información. Técnicas de seguridad. Código de prácticas para los controles de seguridad de la información
basado en ISO/IEC 27002 para organizaciones de telecomunicaciones.
Alcance:Este documento proporciona pautas que respaldan la implementación de controles de seguridad de la

información en las organizaciones de telecomunicaciones.
Objetivo:ISO/IEC 27011 permite a las organizaciones de telecomunicaciones cumplir con los requisitos básicos de gestión
de seguridad de la información de confidencialidad, integridad, disponibilidad y cualquier otra propiedad de seguridad
relevante.
5.5.3 ISO/CEI 27017

Tecnología de la información — Técnicas de seguridad — Código de prácticas para los controles de seguridad de la información basado en
ISO/IEC 27002 para servicios en la nube
Alcance:ISO/IEC 27017 brinda pautas para los controles de seguridad de la información aplicables a la provisión y el uso de
Alcance:ISO/IEC
servicios en la nube al proporcionar:
— orientación de implementación adicional para los controles relevantes especificados en ISO/IEC 27002;

ISO/IEC 27000:2018(E)
— controles adicionales con orientación de implementación que se relacionan específicamente con los servicios en la nube.
Objetivo: Este documento proporciona controles y orientación de implementación tanto para proveedores de servicios en la nube
Objetivo:Este
como para clientes de servicios en la nube.
5.5.4 ISO/CEI 27018

Tecnología de la información — Técnicas de seguridad — Código de prácticas para la protecció
protección
n de información de identificación
identificación personal
(PII) en nubes públicas que actúan como procesadores de PII
Alcance:ISO/IEC 27018 establece objetivos de control, controles y pautas comúnmente aceptados para
Alcance:ISO/IEC
implementar medidas para proteger la información de identificación personal (PII) de acuerdo con los principios de
privacidad de ISO/IEC 29100 para el entorno de computación en la nube pública.
Objetivo: Este documento es aplicable a organizaciones, incluidas empresas públicas y privadas, entidades gubernamentales y
Objetivo:Este
organizaciones sin fines de lucro, que brindan servicios de procesamiento de información como procesadores de PII a través de la
computación en la nube bajo contrato con otras organizaciones. Las pautas de este documento también pueden ser relevantes
para las organizaciones que actúan como controladores de PII. Sin embargo, es posible que los controladores de PII estén sujetos
a leyes, reglamentos y obligaciones adicionales de protección de PII, que no se aplican a los procesadores de PII, y estos no están
cubiertos en este documento.
5.5.5 ISO/CEI 27019

Tecnología de la información — Técnicas de seguridad —Controles de seguridad de la información para la industria de servicios públicos de energía
Alcance:Este documento proporciona una guía basada en ISO/IEC 27002:2013 aplicada a los sistemas de control de
procesos utilizados por la industria de servicios públicos de energía para controlar y monitorear la producción o
generación, transmisión, almacenamiento y distribución de energía eléctrica,
eléctrica, gas, petróleo y calor, y para la control de los
procesos de soporte asociados. Esto incluye en particular lo siguiente:
— tecnología de control, supervisión y automatización de procesos centralizados y distribuidos, así como sistemas
de información utilizados para su funcionamiento, como dispositivos de programación y parametrización;
— controladores digitales y componentes de automatización, como dispositivos de control y de campo o controladores
lógicos programables (PLC), incluidos sensores digitales y elementos actuadores;
— todos los sistemas de información de apoyo adicionales utilizados en el dominio de control de procesos, por ejemplo, para tareas de
visualización de datos suplementarios y para fines de control, seguimiento, archivo de datos, registro histórico, elaboración de
informes y documentación;
— tecnología de comunicación utilizada en el dominio de control de procesos, por ejemplo, redes, telemetría, aplicaciones
de telecontrol y tecnología de control remoto;
— componentes de infraestructura de medición avanzada (AMI), por ejemplo, medidores inteligentes;
— dispositivos de medición, por ejemplo, para valores de emisión;
— sistemas digitales de protección y seguridad, por ejemplo, relés de protección, PLC de seguridad, mecanismos reguladores de
emergencia;
— sistemas de gestión de la energía, por ejemplo, de recursos energéticos distribuidos (DER), infraestructuras
inf raestructuras de
carga eléctrica, en viviendas particulares, edificios residenciales o instalaciones de clientes industriales;
— componentes distribuidos de entornos de redes inteligentes, por ejemplo, en redes de energía, en hogares privados,
edificios residenciales o instalaciones de clientes industriales;
— todo el software, el firmware y las aplicaciones instaladas en los sistemas mencionados anteriormente, por ejemplo, aplicaciones DMS
(sistema de gestión de distribución) u OMS (sistema de gestión de interrupciones);
— cualquier local que albergue los equipos y sistemas antes mencionados;

ISO/IEC 27000:2018(E)
— sistemas de telemantenimiento para los sistemas mencionados.

Este documento no se aplica al dominio de control de procesos de las instalaciones nucleares. Este dominio está cubierto por IEC
62645.
Este documento también incluye un requisito para adaptar los procesos de evaluación y tratamiento de riesgos descritos en ISO/
IEC 27001:2013 a la orientación específica del sector de la industria de servicios públicos de energía proporcionada en este
documento.
Objetivo:Además de los objetivos y medidas de seguridad que se establecen en ISO/IEC 27002, este documento proporciona
Objetivo:Además
pautas para los sistemas utilizados por las empresas de energía y los proveedores de energía sobre controles de seguridad de la
información que abordan requisitos especiales adicionales.
5.5.6 ISO 27799

Informática de la salud — Gestión de la seguridad de la información en salud utilizando ISO/IEC 27002
Alcance:Este documento brinda pautas para los estándares de seguridad de la información de la organización y las
Alcance:Este
prácticas de gestión de la seguridad de la información, incluida la selección, implementación y gestión de controles
teniendo en cuenta los entornos de riesgo de seguridad de la información de la organización.
Este documento proporciona una guía de implementación para los controles descritos en ISO/IEC 27002 y los
complementa donde sea necesario, para que puedan usarse de manera efectiva para administrar la seguridad de la
información de salud.
Objetivo:ISO 27799 brinda a las organizaciones de salud una adaptación de las pautas de ISO/IEC
27002 únicas para sus u sector industrial, que son adicionales a la orientación brindada para cumplir con
los requisitos de ISO/IEC 27001:2013, Anexo A.

ISO/IEC 27000:2018(E)
Bibliografía
[1] ISO 9000:2015,Sistemas de gestión de la calidad — Fundamentos y vocabulario

[2] ISO/CEI/IEEE 15939:2017,Ingeniería de sistemas y software — Proceso de medición
[3] ISO/CEI 17021,Evaluación de la conformidad: requisitos para los organismos que proporcionan auditoría y certificación
de sistemas de gestión
[4] ISO 19011:2011,Directrices para la auditoría de los sistemas de gestión
[5] ISO/CEI 20000-1:2011,Tecnología de la información. Gestión de servicios. Parte 1: Requisitos del

sistema de gestión de servicios.
[6] ISO/CEI 27001,Tecnología de la información — Técnicas de seguridad — Gestión de la seguridad de la información

sistemas — Requisitos
[7] ISO/CEI 27002,Tecnología de la información. Técnicas de seguridad. Código de prácticas para los controles de seguridad de la
información.

- Guía
[9] ISO/CEI 27004,Tecnología de la información — Técnicas de seguridad — Gestión de la seguridad de la

información — Seguimiento, medición, análisis y evaluación
[10] ISO/CEI 27005,Tecnología de la información — Técnicas de seguridad — Gestión de riesgos de seguridad de la

información
[11] ISO/CEI 27006,Tecnología de la información. Técnicas de seguridad. Requisitos para los organismos que proporcionan
auditoría y certificación de los sistemas de gestión de la seguridad de la información.
[12] ISO/CEI 27007,Tecnología de la información. Técnicas de seguridad. Directrices para la auditoría de los sistemas de
gestión de la seguridad de la información.
[13] ISO/CEI TR 27008,Tecnología de la información. Técnicas de seguridad. Directrices para los auditores sobre los controles de
seguridad de la información.
[14] ISO/CEI 27009,Tecnología de la información — Técnicas de seguridad — Aplicación específica al sector de

ISO/IEC 27001 — Requisitos
para comunicaciones intersectoriales e interorganizacionales
[16] ISO/CEI 27011,Tecnología de la información. Técnicas de seguridad. Código de prácticas para los controles de seguridad de la
información basado en ISO/IEC 27002 para organizaciones de telecomunicaciones.
[17] ISO/CEI 27013,Tecnología de la información. Técnicas de seguridad. Orientación sobre la implementación

integrada de ISO/IEC 27001 e ISO/IEC 20000-1.
[18] ISO/CEI 27014,Tecnología de la información — Técnicas de seguridad — Gobernanza de la seguridad de la

información
[19] ISO/CEI TR 27016,Tecnología de la información — Técnicas de seguridad — Gestión de la seguridad de la

información — Economía organizacional
[20] ISO/CEI 27017,Tecnología de la información — Técnicas de seguridad — Código de prácticas para los controles de seguridad de la
información basado en ISO/IEC 27002 para servicios en la nube
[21] ISO/CEI 27018,Tecnología de la información — Técnicas de seguridad — Código de prácticas para la protección de
información de identificación personal (PII) en nubes públicas que actúan como procesadores de PII

ISO/IEC 27000:2018(E)
[22] ISO/CEI 27019,Tecnología de la información. Técnicas de seguridad. Controles de seguridad de la información para la industria de
servicios públicos de energía.
[23] ISO/CEI 27021,Tecnología de la información. Técnicas de seguridad. Requisitos de competencia para

profesionales de sistemas de gestión de seguridad de la información
[24] ISO 27799,Informática de la salud — Gestión de la seguridad de la información en salud utilizando ISO/IEC 27002
[25] Guía ISO 73:2009,Gestión de riesgos — Vocabulario

ISO/IEC 27000:2018(E)
ICS 01.040.35; 03.100.70; 35.030

Precio basado en 27 páginas
© ISO/IEC 2018 – Todos los derechos reservados

ISO Iec 27000 2018en Es - Compress

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

ISO Iec 27000 2018en Es - Compress

Cargado por

Copyright:

Formatos disponibles

INTERNACIONAL ISO/CEI

Tecnología de la información — Técnicas de

Technologies de l'information — Techniques de sécurité — Systèmes de

DOCUMENTO PROTEGIDO POR DERECHOS DE AUTOR

yo © ISO/IEC 2018 – Todos los derechos reservados

Prefacio.................................................... .................................................... .................................................... .................................................... ................................ IV

2 Referencias normativas.................................................... .................................................... .................................................... ................................1

© ISO/IEC 2018 – Todos los derechos reservados iii

— Cláusula 5 se ha actualizado para reflejar los cambios en las normas en cuestión;

IV © ISO/IEC 2018 – Todos los derechos reservados

La familia de estándares ISMS incluye estándares que:

d) abordar la evaluación de la conformidad para SGSI.

0.3 Contenido de este documento

En este documento, se utilizan las siguientes formas verbales:

— “deberá” indica un requisito;

© ISO/IEC 2018 – Todos los derechos reservados v

Tecnología de la información — Técnicas de seguridad — Sistemas

Los términos y definiciones proporcionados en este

— cubrir términos y definiciones de uso común en la familia de estándares ISMS;

— Plataforma de navegación ISO Online: disponible en

Nota 2 a la entrada: La auditoría interna la realiza la propia organización o un tercero en su nombre.

© ISO/IEC 2018 – Todos los derechos reservados 1

[ORIGEN: ISO/IEC/IEEE 15939:2017, 3.3, modificado — Se eliminó la Nota 2 a la entrada.]

Nota 3 a la entrada: Las consecuencias pueden expresarse cualitativa o cuantitativamente.

2 © ISO/IEC 2018 – Todos los derechos reservados

[FUENTE: ISO Guide 73:2009, 3.8.1.1 — Se ha cambiado la nota 2 a la entrada.]

Nota 2 a la entrada: La información documentada puede referirse a

- lasistema de gestión(3.41 ), inclui

— pruebas de los resultados obtenidos (registros).

Nota 2 a la entrada: Un evento puede consistir en algo que no sucede.

Nota 3 a la entrada: A veces se puede hacer

[ORIGEN: Guía ISO 73:2009, 3.5.1.3, modificada — Se eliminó la nota 4 a la entrada.]

© ISO/IEC 2018 – Todos los derechos reservados 3

— relaciones con, y percepciones y valores de, externopartes interesadas(3.37 ))..

[FUENTE: ISO/IEC/IEEE 15939:2017, 3.12]

4 © ISO/IEC 2018 – Todos los derechos reservados

— gobernanza, estructura organizativa, funciones y responsabilidades;

— sistemas de información(3.35 ), flujos de información y toma de decisionesprocesos(tanto formales como informales);

— relaciones con, y percepciones y valores de, internospartes interesadas(3.37 );

— normas, directrices y modelos adoptados por la organización;

[FUENTE: Guía ISO 73:2009, 3.3.1.2]

© ISO/IEC 2018 – Todos los derechos reservados 5

[ORIGEN: ISO/IEC/IEEE 15939:2017, 3.21, modificado — Se eliminó la Nota 2 a la entrada.]

6 © ISO/IEC 2018 – Todos los derechos reservados

Nota 2 a la entrada: El desempeño puede relac

© ISO/IEC 2018 – Todos los derechos reservados 7

Nota 1 a la entrada: El riesgo residual puede contener un riesgo no identificado.

Nota 2 a la entrada: El riesgo residual también puede denominarse “riesgo retenido”.

Nota 1 a la entrada: Un efecto es una desviación de lo esperado, ya sea positivo o negativo.

Nota 2 a la entrada: Los riesgos aceptados están sujetos a vigilancia(3.46 ) yrevisión(3.58 ).

[FUENTE: Guía ISO 73:2009, 3.7.1.6]

[FUENTE: Guía ISO 73:2009, 3.6.1]

8 © ISO/IEC 2018 – Todos los derechos reservados

[FUENTE: Guía ISO 73:2009, 3.4.1]

- aprocesoque impacta en una decisión a través de la influencia en lugar del poder; y

Nota 2 a la entrada: Los criterios de riesgo pueden derivarse de estándares, leyes,

[FUENTE: Guía ISO 73:2009, 3.3.1.3]

[FUENTE: Guía ISO 73:2009, 3.7.1]

[FUENTE: Guía ISO 73:2009, 3.5.1]

© ISO/IEC 2018 – Todos los derechos reservados 9

[FUENTE: Guía ISO 73:2009, 3.1, modificada — Se agregó la Nota 1 a la entrada.]

[FUENTE: Guía ISO 73:2009, 3.5.1.5]

Nota 1 a la entrada: El tratamiento del riesgo puede implicar: