Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ESTÁNDAR 27000
Quinta edición
2018-02
Número de referencia
ISO/IEC 27000:2018(E)
©ISO/CEI 2018
ISO/IEC 27000:2018(E)
© ISO/CEI 2018
Reservados todos los derechos. A menos que se especifique lo contrario, o se requiera en el contexto de su implementación, ninguna parte de esta
publicación puede ser reproducida o utilizada de ninguna forma o por ningún medio, electrónico o mecánico, incluidas las fotocopias,
fot ocopias, o la
publicación en Internet o en una intranet, sin previo aviso. permiso escrito. El permiso se puede solicitar a ISO en la dirección que se indica a
continuación o al organismo miembro de ISO en el país del solicitante.
oficina de derechos de autor ISO
CP 401 • Cap. de Blandonnet 8
CH-1214 Vernier, Ginebra, Suiza Tel.
+41 22 749 01 11
Fax +41 22 749 09 47
copyright@iso.org
www.iso.org
Publicado en Suiza
Contenido Página
Prefacio
ISO (Organización Internacional de Normalización) es una federación mundial de organismos nacionales de
normalización (organismos miembros de ISO). El trabajo de preparación de Normas Internacionales normalmente
se lleva a cabo a través de los comités técnicos de ISO. Cada organismo miembro interesado en un tema para el
cual se ha establecido un comité técnico tiene derecho a estar representado en ese comité. Las organizaciones
internacionales, gubernamentales y no gubernamentales, en coordinación con ISO, también participan en el
trabajo. ISO colabora estrechamente con la Comisión Electrotécnica Internacional (IEC) en todos los asuntos de
normalización electrotécnica.
Los procedimientos utilizados para desarrollar este documento y los destinados a su posterior mantenimiento se
describen en las Directivas ISO/IEC, Parte 1. En particular, se deben tener en cuenta los diferentes criterios de
aprobación necesarios para los diferentes tipos de documentos ISO. Este documento fue redactado de acuerdo con
las reglas editoriales de las Directivas ISO/IEC, Parte 2 (verwww.iso.org/directivas
(verwww.iso.org/directivas ).
Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento puedan ser objeto de
derechos de patente. ISO no será responsable de identificar cualquiera o todos los derechos de patente. Los detalles de
cualquier derecho de patente identificado durante el desarrollo del documento estarán en la Introducción y/o en la lista
ISO de declaraciones de patentes recibidas (verwww.iso.org
(ver www.iso.org/patents
/patents ).
Cualquier nombre comercial utilizado en este documento es información proporcionada para la comodidad de los usuarios y no
constituye un respaldo.
Para obtener
específicos deuna
ISOexplicación sobre
relacionados con la
la naturaleza
evaluación voluntaria de las normas,
de la conformidad, el significado
así como informacióndesobre
los términos y expresiones
la adhesión de ISO a los
principios de la Organización Mundial del Comercio (OMC) en las Obstáculos técnicos al comercio (TBT), consulte el
siguiente
siguiente URL:www.iso.org/iso/prefacio.html
URL:www.iso.org/iso/prefacio.html .
Este documento fue preparado por el Comité Técnico ISO/IEC JTC 1,Tecnologías de la información, SC 27,Técnicas de
seguridad informática.
Esta quinta edición anula y reemplaza la cuarta edición (ISO/IEC 27000:2016), que ha sido revisada
técnicamente. Los principales cambios con respecto a la edición anterior son los siguientes:
— se ha reformulado la Introducción;
— se han eliminado algunos términos y definiciones;
— Cláusula 3 se ha alineado con la estructura de alto nivel para MSS;
Introducción
0.1 Resumen
Las Normas Internacionales para sistemas de gestión proporcionan un modelo a seguir para establecer y operar un
sistema de gestión. Este modelo incorpora las características sobre las que los expertos en la materia han llegado a
un consenso como estado del arte internacional. ISO/IEC JTC 1/SC 27 mantiene un comité de expertos dedicado al
desarrollo de estándares
conocida como de estándares
la familia de sistemas dedel
gestión internacionales
sistema de gestión depara la seguridad
seguridad de la información,
info rmación,
de la información (ISMS).también
Mediante el uso de la familia de estándares ISMS, las organizaciones pueden desarrollar e implementar un marco
para administrar la seguridad de sus activos de información, incluida la información financiera, la propiedad
intelectual y los detalles de los empleados, o la información que les confían
conf ían los clientes o terceros. Estos estándares
también se pueden utilizar para prepararse para una evaluación independiente de su SGSI aplicado a la protección
de la información.
0.2 Propósito de este documento
1 Alcance
Este documento proporciona una descripción general de los sistemas de gestión de seguridad de la información (SGSI). También
proporciona términos y definiciones comúnmente utilizados en la familia de estándares ISMS. Este documento se aplica a todos
los tipos y tamaños de organizaciones (por ejemplo, empresas comerciales, agencias gubernamentales, organizaciones sin fines
de lucro).
2 Referencias normativas
No hay referencias normativas en este documento.
3 Términos y definiciones
ISO e IEC mantienen bases de datos terminológicas para su uso en la normalización en las siguientes direcciones:
3.4
alcance de auditoría
extensión y límites de unauditoría(3.
3.33 )
[ORIGEN: ISO 19011:2011, 3.14, modificada — Se eliminó la nota 1 a la entrada.]
3.5
autenticación
provisión de seguridad de que una característica declarada de una entidad es correcta
3.6
autenticidad
propiedad de que una entidad es lo que dice ser
3.7
disponibilidad
propiedad de ser accesible y utilizable bajo demanda por una entidad autorizada
3.8
medida base
medida(3.
3.42
42 ) definido
definido en términos de un atributo y el método para cuantificarlo
Nota 1 a la entrada: Una medida base es funcionalmente independiente de otrasmedidas.
3.10
confidencialidad
propiedad de que la informació
información
n no se pone a disposición ni se revela a personas, entidades o
procesos(3.54 )
3.11
conformidad
cumplimiento de unrequisito(3.
3.56
56 )
3.12
consecuencia
resultado de unevento(3.21 ) afectandoobjetivos(3.49 )
Nota 1 a la entrada: Un evento puede llevar a una variedad de consecuencias.
Nota 2 a la entrada: Una consecuencia puede ser cierta o incierta y, en el contexto de la seguridad de la información, suele ser
negativa.
Nota 4 a la entrada: Las consecuencias iniciales pueden escalar a través de efectos en cadena.
[ORIGEN: Guía ISO 73:2009, 3.6.1.3, modificado — La Nota 2 a la entrada se ha cambiado después de “y”.]
3.13
mejora continua
actividad recurrente para mejoraractuación(3.
3.52
52 )
3.14
control
medida que modificariesgo(3.6
3.611 )
Nota 1 a la entrada: Los controles incluyen cualquierproceso(3.54 ),política(3.53 ), dispositivo, práctica u otras acciones que modifican
riesgo(3.61 ).
Nota 2 a la entrada: Es posible que los controles no siempre ejerzan el efecto modificador pretendido o asumido.
3.16
corrección
acción para eliminar un detectadodisconformidad(3.47 )
3.17
acción correctiva
acción para eliminar la causa de un disconformidad(3.4
3.477 ) y para prevenir la recurrencia
3.18
medida deriv
derivada
ada
medida (3.
3.42 que se define como una función de dos o más valores de medidas base(3.8 )
42 ) que
[ORIGEN: ISO/IEC/IEEE 15939:2017, 3.8, modificado — Se eliminó la Nota 1 a la entrada.]
3.19
información documentad
documentada
a
información requerida para ser controlada y mantenida por un organización(3.50 ) y el medio en el que
está contenido
Nota 1 a la entrada: La información documentada
documentada puede estar en cualquier formato y medio y de cualquier fuente.
3.21
evento
ocurrencia o cambio de un conjunto particular de circunstancias
Nota 1 a la entrada: Un evento puede ser una o más ocurrencias y puede tener varias causas.
3.22
contexto externo
entorno externo en el que la organizació
organización
n busca lograr susobjetivos(3.49 )
Nota 1 a la entrada: El contexto externo puede incluir lo siguiente:
— el entorno cultural, social, político, legal, regulatorio, financiero, tecnológico, económico, natural y
competitivo, ya sea internacional, nacional, regional o local;
— impulsores y tendencias clave que tienen un impacto en laobjetivosdelorganización(3.50 );
Nota 1 a la entrada: El órgano de gobierno puede, en algunas jurisdicciones, ser una junta directiva.
3.25
indicador
medida(3.4
3.422 ) que
que proporciona una estimación o evaluación
3.26
necesidad de información
conocimientos necesarios para gestionarobjetivos(3.49 )),, metas, riesgos y problemas
3.28
seguridad de información
preservación deconfidencialidad (3.10 ),integridad(3.36 ) ydisponibilidad (3.
3.77 ) de información
Nota 1 a la entrada: Además, otras propiedades, comoautenticidad(3.6 ), respo
responsabilidad,
nsabilidad,no repudio(3.48 ), yfiabilidad(
3.55 ) también puede
pueden n estar involucrados.
3.29
continuidad de la seguridad
seguridad de la información
procesos(3.5
3.544 ) y procedimientos para garantizar la continuidadseguridad de información(3.28 ) operaciones
operaciones
3.30
evento de seguridad de la información
ocurrencia identificada de un sistema, servicio o estado de la red que indica una posible violación deinformación
seguridad (3.28
(3.28 )política(3.
3.53
53 ) o fallo decontrol S(3.14 ), o una
una situación
situación previamente desconocida que puede ser relevante
para la seguridad
3.31
incidente de seguridad de la información
único o una serie de eventos no deseados o inesperadoseventos de seguridad de la información(3.3
3.300 ) que tienen
tienen una
una
probabilidad significativa de comprometer las operaciones comerciales y amenazarseguridad de información(3.28 )
3.32
gestión de incidentes de seguridad de la información
conjunto deprocesos(3.54 ) para detectar, informar, evaluar, responder, tratar y aprender deincidentes
de seguridad de la información(3.31 )
3.33
profesional del sistema de gestión de seguridad de la información (SGSI)
persona que establece, implementa, mantiene y mejora continuamente uno o más sistemas de gestión de
seguridad de la informaciónprocesos(3.54 )
3.34
comunidad de intercambio de infor
información
mación
grupo deorganizaciones(3. 3.50
50 ) que aceptan compartir información
Nota 1 a la entrada: Una organización puede ser un individuo.
3.35
sistema de informacion
conjunto de aplicaciones, servicios, activos de tecnología de la información u otros componentes de manejo de información
3.36
integridad
propiedad de exactitud y completitud
3.37
parte interesada(término
interesada(término preferido)
Interesado(término
Interesado (término admitido)
persona oorganización(3.
3.50
50 ) que puede afectar, verse afectado o percibirse afectado por una decisión o
actividad
3.38
contexto interno
medio interno en el que se encuentra elorganización(3.5
3.500 ) busca lograr sus objetivos
Nota 1 a la entrada: El contexto interno puede incluir:
3.40
probabilidad
posibilidad de que algo suceda
[ORIGEN: Guía ISO 73:2009, 3.6.1.1, modificada — Se han eliminado las Notas 1 y 2 de la entrada.]
3.41
sistema de gestión
conjunto de(3elementos interrelacionados o que interactúan organización(3.50 ) para establecerpolíticas(3.53 )
y objetivos .49 ) yprocesos (3.54 ) para
para lograr
lograr esos objetivosde un
Nota 1 a la entrada: Un sistema de gestión puede abordar una sola disciplina o varias disciplinas.
Nota 2 a la entrada: Los elementos del sistema incluyen la estructura, roles y responsabilidades, planificación y operación de la
organización.
Nota 3 a la entrada: El alcance de un sistema de gestión puede incluir la totalidad de la organización, funciones específicas
e identificadas de la organización, secciones específicas e identificadas de la organización, o una o más funciones en un
grupo de organizaciones.
3.42
medida
variable a la que se le asigna un valor como resultado de medición(3.43 )
[ORIGEN: ISO/IEC/IEEE 15939:2017, 3.15, modificado — Se eliminó la nota 2 a la entrada.]
3.43
medición
medición
proceso(3.54 ) para
para determinar un valor
3.44
función de medición
algoritmo o cálculo realizado para combinar dos o másmedidas base(3.8 )
[FUENTE: ISO/IEC/IEEE 15939:2017, 3.20]
3.45
método de medida
secuencia lógica de operaciones, descritas genéricamente,
genéricamente, utilizadas para cuantificar un atributo
at ributo con respecto a una
escala específica
Nota 1 a la entrada: El tipo de método de medición depende de la naturaleza de las operaciones utilizadas para cuantificar un
atributo(3.4 ). Se
Se pueden distinguir dos tipos:
— subjetivo: cuantificación que involucra el juicio humano; y
— objetivo: cuantificación basada en reglas numéricas.
3.47
disconformidad
incumplimiento de unrequisito(3.56 )
3.48
no repudio
capacidad de probar la ocurrencia de un reclamo evento(3.21 ) o acción y sus entidades originarias
3.49
objetivo
resultado a lograr
Nota 1 a la entrada: Un objetivo puede ser estratégico, táctico u operativo.
Nota 2 a la entrada: Los objetivos pueden relacionarse con diferentes disciplinas (como metas financieras, de salud y seguridad y
ambientales)
ambiental es) y pueden aplicarse a diferentes niveles [como estratégico, de toda la organización, de proyecto, de producto y
proceso(3.54 )].
Nota 3 a la entrada: Un objetivo puede expresarse de otras formas, por ejemplo, como un resultado previsto, un propósito, un criterio
operativo, como un objetivo de seguridad de la información o mediante el uso de otras palabras con un significado similar (por ejemplo,
fin, meta o destino). ).
Nota 4 a la entrada: En el contexto de los sistemas de gestión de seguridad de la información, la organización establece los objetivos de seguridad
de la información, de acuerdo con la política de seguridad de la información, para lograr resultados específicos.
3.50
organización
persona o grupo de personas que tiene sus propias funciones con responsabilidades, autoridades y relaciones para
lograr suobjetivos(3.49 )
Nota 1 a la entrada: El concepto de organización incluye pero no se limita a comerciante único, compañía, corporación,
firma, empresa, autoridad, asociación, caridad o institución, o parte o combinación de las mismas, ya sea incorporada o
no, pública o privada.
3.51
subcontratar
hacer un arregl
arregloo donde un externoorganización(3.50 ) reali
realiza
za parte de la función de una organización o
proceso(3.5
3.544 )
Nota 1 a la entrada: Una organización externa está fuera del alcance de lasistema de gestión(3.41 ), aunqu
aunquee la función o
proceso subcontratado está dentro del alcance.
3.52
actuación
resultado medible
Nota 1 a la entrada: El desempeño puede relacionarse con hallazgos cuantitativos o cualitativos.
3.53
política
intenciones y dirección de unorganización(3.50 ), tal
tal como lo expresa formalmente sualta dirección(3.7
3.755 )
3.54
proceso
conjunto de actividades interrelacionadas o que interactúan que transforma entradas en salidas
3.55
fiabilidad
propiedad de comportamiento y resultados consistentes previstos
3.56
requisito
necesidad o expectativa declarada, generalmente implícita u obligatoria
Nota 1 a la entrada: “Generalmente implícito” significa que es costumbre o práctica común para la organización y las
partes interesadas que la necesidad o expectativa bajo consideración esté implícita.
Nota 2 a la entrada: Un requisito especificado es uno que se establece, por ejemplo, en información documentada.
3.57
riesgo residual
riesgo(3.61 ) restante después tratamiento de riesgos(3.72 )
3.58
revisión
actividad emprendida para determinar la idoneidad, adecuación yeficacia(3.20 ) de la materia para
lograrobjetivos(3.49 )
[ORIGEN: Guía ISO 73:2009, 3.8.2.2, modificado — Se eliminó la Nota 1 a la entrada.]
3.59
objeto de revisión
artículo específico que se está revisando
3.60
objetivo de revisión
declaración que describe lo que se logrará como resultado de unarevisión(3.59 )
3.61
riesgo
efecto de la incertidumbre sobreobjetivos(3.
3.49
49 )
Nota 2 a la entrada: La incertidumbre es el estado, incluso parcial, de deficiencia de información relacionada con, comprensión o
conocimiento de un evento, su consecuencia o probabilidad.
Nota 3 a la entrada: El riesgo a menudo se caracteriza por referencia a posibles "eventos" (como se define en la Guía ISO 73:2009,
3.5.1.3) y "consecuencias" (como se define en la Guía ISO 73:2009, 3.6.1.3), o una combinación de estos.
Nota 4 a la entrada: El riesgo a menudo se expresa en términos de una combinación de las consecuencias de un evento (incluidos los
cambios en las circunstancias) y la "probabilidad" asociada (como se define en
e n la Guía ISO 73:2009, 3.6.1.1) de ocurrencia.
Nota 5 a la entrada: En el contexto de los sistemas de gestión de seguridad de la información, los riesgos de seguridad de la información pueden expresarse
como efecto de la incertidumbr
incertidumbree sobre los objetivos de seguridad de la información.
Nota 6 a la entrada: El riesgo de seguridad de la información está asociado con la posibilidad de que las amenazas exploten las vulnerabilidades de
un activo de información o grupo de activos de información y, por lo tanto, causen daño a una organización.
3.62
aceptación del riesgo
decisión informada de tomar una determinada riesgo(3.61 )
Nota 1 a la entrada: La aceptación del riesgo puede ocurrir sintratamiento de riesgos(3.72 ) o durante elproceso(3.54 ) del tratam
t ratamiento
iento del
riesgo.
Nota 1 a la entrada: El análisis de riesgos proporciona la base para evaluación de riesgo(3.67 ) y decisiones sobre tratamiento de riesgos(3.72 ))..
Nota 2 a la entrada: El análisis de riesgo incluye la estimación del riesgo.
3.64
Evaluación de riesgos
generalproceso(3.5 3.544 ) deidentificación de riesgo(3.
3.68
68 ),análisis de riesgo(3.63 ) yevaluación de riesgo(3.67 )
Nota 2 a la entrada: La consulta es un proceso bidireccional de comunicación informada entre unorganización(3.50 ) y sus
sus partes
partes
interesadas sobre un tema antes de tomar una decisión o determinar una dirección sobre ese tema. La consulta es
3.66
criterios de riesgo
términos de referencia contra los cuales la importancia de riesgo(3.6
3.611 ) es evaluado
3.38 1). a la entrada: Los criterios de riesgo se basan en los objetivos de la organización, y contexto externo(3.
(Nota 22 ) ycontexto interno
3.22
Nota 2 a la entrada: La identificación de riesgos puede involucrar datos históricos, análisis teóricos, opiniones informadas y de expertos, y partes
interesadas'(3.37 ) necesidade
necesidades.s.
3.70
proceso de gestión de riesgos
aplicación sistemática de la gestiónpolíticas(3.5
3.533 ), procedimiento
procedimientoss y prácticas a las actividades de
comunicar,
comunic ar, consultar, contextualiz
contextualizar
ar e identificar, analizar, evaluar, tratar, monitorear y revisar
riesgo(3.61 )
Nota 1 a la entrada: ISO/IEC 27005
27005 utiliza
utiliza el término “proceso” (3
(3.54 ) para
para describir la gestión de riesgos en general. Los
elementos dentro de lagestión de riesgos(3.69 ) proceso se denominan “actividades”.
— evitar el riesgo decidiendo no iniciar o continuar con la actividad que genera el riesgo;
- cambiando elprobabilidad(3.40 );
- cambiando elconsecuencias(3.
3.12
12 );
— compartir el riesgo con otra parte o partes (incluidos los contratos y la financiación del riesgo);
— retener el riesgo mediante una elección informada.
Nota 2 a la entrada: Los tratamientos de riesgos que se ocupan de las consecuencias negativas a veces se denominan "mitigación de
riesgos", "eliminación de riesgos", "prevención de riesgos" y "reducción de riesgos".
Nota 3 a la entrada: El tratamiento del riesgo puede crear nuevos riesgos o modificar los existentes.
[FUENTE: Guía ISO 73:2009, 3.8.1, modificada — "decisión" ha sido reemplazada por "elección" en la Nota 1 a la
entrada.]
3.73
estándar de implementación de seguridad
documento que especifica las formas autorizadas para realizar la seguridad
3.74
amenaza
causa potencial de un incidente no deseado, que puede resultar en daño a un sistema o organización(3.50 )
3.75
alta dirección
persona o grupo de personas que dirige y controla unaorganización(3.50 ) al más alto nivel
Nota 1 a la entrada: La alta dirección tiene el poder de delegar autoridad y proporcionar recursos dentro de la
organización.
3.77
vulnerabilidad
debilidad de un activo ocontrol(3.14 ) que pueden ser explotados por uno o más amenazas(3.7
3.744 )
4.1 Generalidades
b) reconocer que la información y los procesos, sistemas, redes y personas relacionados son activos importantes
para lograr los objetivos de la organización;
c) enfrentar una gama de riesgos que pueden afectar el funcionamiento de los activos; y
Toda la información mantenida y procesada por una organización está sujeta a amenazas de ataque, error, naturaleza
(por ejemplo, inundaciones o incendios), etc., y está sujeta a vulnerabilidades inherentes a su uso. El término seguridad de
la información generalmente se basa en que la información se considera un activo que tiene un valor que requiere una
protección adecuada, por ejemplo, contra la pérdida de disponibilidad, confidencialidad e integridad. Permitir que la
información precisa y completa esté disponible de manera oportuna para aquellos con una necesidad autorizada es un
catalizador para la eficiencia comercial.
La protección de los activos de información a través de la definición, el logro, el mantenimiento y la mejora de la seguridad
de la información de manera efectiva es esencial para permitir que una organización logre sus objetivos y mantenga y
mejore su imagen y cumplimiento legal. Estas actividades coordinadas que dirigen la implementación de controles
adecuados y tratan los riesgos de seguridad de la información inaceptables se conocen generalmente como elementos
elementos de
gestión de seguridad de la información.
A medida que los riesgos de seguridad de la información y la eficacia de los controles cambian según las circunstancias
cambiantes, las organizaciones deben:
Para interrelacionar y coordinar tales actividades de seguridad de la información, cada organización necesita establecer su
política y objetivos para la seguridad de la información y lograr esos objetivos de manera efectiva mediante el uso de un
sistema de gestión.
y mejorar la seguridad de la información de una organización para lograr los objetivos comerciales. Se basa en una
evaluación de riesgos y los niveles de aceptación de riesgos de la organización diseñados para tratar y gestionar los
riesgos de manera eficaz. Analizar los requisitos para la protección de los activos de información y aplicar los controles
apropiados para garantizar la protección de estos activos de información, según sea necesario, contribuye a la
implementación exitosa de un SGSI. Los siguientes principios fundamentales también contribuyen a la implementación
exitosa de un SGSI:
4.2.2 Información
La información es un activo que, al igual que otros activos comerciales importantes, es esencial para el negocio de una
organización y, en consecuencia, debe protegerse adecuadamente. La información se puede almacenar en muchas formas, que
incluyen: forma digital (p. ej., archivos de datos almacenados en medios electrónicos u ópticos), forma material (p. ej., en papel),
así como información no representada en forma de conocimiento de los empleados. La información puede transmitirse por varios
medios, incluidos: mensajería, comunicación electrónica o verbal. Cualquiera que
q ue sea la forma que
q ue adopte la información, o los
medios por los que se transmita, siempre necesita una protección adecuada.
4.2.4 Gestión
La gestión implica actividades para dirigir, controlar y mejorar continuamente la organización dentro de las
estructuras apropiadas.
dirigir, supervisar Las actividades
y controlar de Las
los recursos. gestión incluyendeelgestión
estructuras acto, la se
manera o la práctica
extienden desde unade persona
organizar,
enmanejar,
una
organización pequeña hasta jerarquías de gestión compuestas por muchas personas en organizaciones grandes.
En términos de un SGSI, la gestión implica la supervisión y la toma de decisiones necesarias para lograr los
objetivos comerciales a través de la protección de los activos de información de la organización. La gestión de la
seguridad de la información se expresa a través de la formulación y el uso de políticas, procedimientos y directrices
de seguridad de la información, que luego se aplican en toda la organización por todas las personas asociadas con
la organización.
a) satisfacer los requisitos de seguridad de la información de los clientes y otras partes interesadas;
e) administrar los activos de información de una manera organizada que facilite la mejora continua y el ajuste
a las metas organizacionales actuales.
Las organizaciones necesitan identificar y administrar muchas actividades para funcionar de manera efectiva y
eficiente. Cualquier actividad que utilice recursos debe gestionarse para permitir la transformación de entradas en
salidas utilizando un conjunto de actividades interrelacionadas o que interactúan; esto también se conoce como un
proceso. La salida de un proceso puede formar directamente la entrada de otro proceso y, por lo general, esta
transformación se lleva a cabo en condiciones planificadas y controladas. La aplicación de un sistema de procesos
dentro de una organización, junto con la identificación e interacciones de estos procesos y su gestión, puede
denominarse “enfoque basado en procesos”.
Se espera que la adopción de un SGSI sea una decisión estratégica para una organización y es necesario que
esta decisión se integre, escale y actualice a la perfección de acuerdo con las necesidades de la organización.
El diseño y la implementación del SGSI de una organización están influenciados por las necesidades y los objetivos
de la organización, los requisitos de seguridad, los procesos comerciales empleados y el tamaño y la estructura de
la organización. El diseño y la operación de un SGSI deben reflejar los intereses y los requisitos de seguridad de la
información de todas las partes interesadas de la organización, incluidos clientes, proveedores, socios comerciales,
accionistas y otros terceros relevantes.
En un mundo interconectado, la información y los procesos, sistemas y redes relacionados constituyen activos comerciales
críticos. Las organizaciones y sus redes y sistemas de información se enfrentan a amenazas de seguridad de una amplia
gama de fuentes, incluido el fraude asistido por computadora, el espionaje, el sabotaje, el vandalismo, los incendios y las
inundaciones. Los daños a los sistemas
sistemas y redes de información
información causados por códigos maliciosos, piratería
piratería informática y
ataques de denegación de servicio se han vuelto más comunes, más ambiciosos y cada vez más sofisticados.
Un SGSI es importante tanto para las empresas del sector público como del privado. En cualquier industria, un ISMS es un
habilitador que respalda el comercio electrónico y es esencial para las actividades de gestión de riesgos. La interconexión
de redes públicas y privadas y el intercambio de activos de información aumentan la dificultad de controlar
acceso y manejo de la información. Además, la distribución de dispositivos móviles de almacenamiento que contienen
activos de información puede debilitar la eficacia de los controles tradicionales. Cuando las organizaciones adoptan la
familia de estándares ISMS, se puede demostrar a los socios comerciales y otras partes interesadas la capacidad de aplicar
principios de seguridad de la información consistentes y mutuamente reconocibles.
La seguridad de la informaci
información
ón no siempre se tiene en cuenta en el diseño y desarrollo de los
sistemas de información. Además, a menudo se considera que la seguridad de la informació
información
n es
una solución técnica.
técnica. Sin embargo, la seguridad de la información que se puede lograr a través de
medios técnicos es limitada y puede ser ineficaz sin el respaldo de una gestión y procedimientos
adecuados dentro del contexto de un SGSI. La integración de la seguridad en un sistema de
información
informaci ón funcionalmente
funcionalmente completo puede ser difícil y costosa. Un SGSI implica identificar qué
controles existen y requiere una planificación cuidadosa
cuidadosa y atención a los detalles. A modo de
ejemplo, los controles de acceso, que pueden ser técnicos (lógicos), físicos, administrativos
(gerenciales) o una combinació
combinación,
n,
La adopción exitosa de un SGSI es importante para proteger los activos de información que permiten a una organización:
a) lograr una mayor seguridad de que sus activos de información están adecuadamente protegidos contra amenazas de manera
continua;
b) mantener un marco estructurado y completo para identificar y evaluar los riesgos de seguridad
de la información, seleccionar y aplicar los controles aplicables y medir y mejorar su eficacia;
4.5.1 Resumen
Una organización necesita llevar a cabo los siguientes pasos para establecer, monitorear, mantener y
mejorar su SGSI:
a) identificar los activos de información y sus requisitos de seguridad de la información asociados (ver4.
(ver4.5.2
5.2 );
b) evaluar los riesgos de seguridad de la información (ver4.5.3
(ver4.5.3 ) y tratar los riesgos de seguridad de la información (ver4.
(ver4.5.4
5.4 );
c) seleccionar e implementar los controles pertinentes para gestionar los riesgos inaceptables (ver4
(ver 4.5.5 );
d) monitorear, mantener y mejorar la efectividad de los controles asociados con los activos de información de
la organización (ver4.5.6
(ver4.5.6 ).
Para garantizar que el SGSI protege de manera efectiva los activos de información de la organización de manera continua,
es necesario que los pasos a) a d) se repitan continuamente para identificar cambios en los riesgos o en las estrategias u
objetivos comerciales de la organización.
Dentro de la estrategia general y los objetivos comerciales de la organización, su tamaño y distribución geográfica, los
requisitos de seguridad de la información se pueden identificar mediante la comprensión de lo siguiente:
La gestión de los riesgos de seguridad de la información requiere una evaluación de riesgos adecuada y un método de
tratamiento de riesgos que puede incluir una estimación de los costos y beneficios, los requisitos legales, las preocupaciones de
las partes interesadas y otras entradas y variables, según corresponda.
La evaluación de riesgos debe identificar, cuantificar y priorizar los riesgos frente a los criterios de aceptación de riesgos y
los objetivos relevantes para la organización. Los resultados deben guiar y determinar la acción de gestión adecuada y las
prioridades para gestionar los riesgos de seguridad de la información y para implementar los controles seleccionados
para proteger contra estos riesgos.
La evaluación de riesgos debe realizarse periódicamente para abordar los cambios en los requisitos de seguridad
de la información y en la situación de riesgo, por ejemplo, en los activos, amenazas, vulnerabilidades, impactos, la
evaluación de riesgos
manera metódica y cuando
capaz ocurren
de producir cambioscomparables
resultados significativos. Estas evaluaciones de riesgos deben realizarse de
y reproducibles.
La evaluación de riesgos de seguridad de la información debe tener un alcance claramente definido para ser eficaz
y debe incluir relaciones con evaluaciones de riesgos en otras áreas, si corresponde.
ISO/IEC 27005 proporciona una guía de gestión de riesgos de seguridad de la información, incluidos consejos sobre evaluación de riesgos,
tratamiento de riesgos, aceptación de riesgos, informes de riesgos, supervisión de riesgos y revisión de riesgos. También se incluyen
ejemplos de metodologías de evaluación de riesgos.
c) evitar riesgos al no permitir acciones que causarían que ocurran los riesgos;
d) compartir los riesgos asociados con otras partes, por ejemplo, aseguradoras o proveedores.
Para aquellos riesgos en los que la decisión de tratamiento del riesgo haya sido aplicar controles apropiados, estos controles
deben seleccionarse e implementarse.
Los controles deben garantizar que los riesgos se reduzcan a un nivel aceptable teniendo en cuenta lo siguiente:
Los controles especificados en ISO/IEC 27002 se reconocen como las mejores prácticas aplicables a la mayoría de
las organizaciones y se adaptan fácilmente para adaptarse a organizaciones de diversos tamaños y complejidades.
Otros estándares en la familia de estándares ISMS brindan orientación sobre la selección y aplicación de controles
ISO/IEC 27002 para el ISMS.
Los controles de seguridad de la información deben considerarse en la etapa de especificación y diseño de los requisitos
de los sistemas y proyectos. No hacerlo puede generar costos adicionales y soluciones menos efectivas y, en el peor de los
casos, la incapacidad de lograr la seguridad adecuada. Los controles se pueden seleccionar de ISO/IEC 27002 o de otros
conjuntos de control. Alternativamente, se pueden diseñar nuevos controles para satisfacer las necesidades específicas de
la organización. Es necesario reconocer la posibilidad de que algunos controles no sean aplicables a todos
t odos los sistemas o
entornos de información, y no sean practicables para todas las organizaciones.
A veces, implementar un conjunto de controles elegido lleva tiempo y, durante ese tiempo, el nivel de riesgo puede ser
más alto de lo que se puede tolerar a largo plazo. Los criterios de riesgo deben cubrir la tolerabilidad de los riesgos a corto
plazo mientras se implementan los controles. Las partes interesadas deben ser informadas de los niveles de riesgo que se
estiman o anticipan en diferentes momentos a medida que se implementan los controles de manera progresiva.
Debe tenerse en cuenta que ningún conjunto de controles puede lograr la seguridad completa de la información. Se
deben implementar acciones de gestión adicionales para monitorear, evaluar y mejorar la eficiencia y eficacia de los
controles de seguridad de la información para respaldar los objetivos de la organización.
La selección e implementación de controles debe documentarse dentro de una declaración de aplicabilidad para
ayudar con los requisitos de cumplimiento.
Los resultados se revisan, según sea necesario, para determinar más oportunidades de mejora. De esta forma, la mejora
es una actividad continua, es decir, las acciones se repiten con frecuencia. Los comentarios de los clientes y otras partes
interesadas, las auditorías y la revisión del sistema de gestión de la seguridad de la información también se pueden
utilizar para identificar oportunidades de mejora.
Un SGSI aumenta la probabilidad de que una organización logre constantemente los factores críticos de éxito necesarios
para proteger sus activos de información.
a) un marco estructurado
estructur ado que respalde el proceso de especificación, implementación, operación y
mantenimiento de un SGSI integral, rentable, que cree valor, integrado y alineado que satisfaga las
necesidades de la organización en diferentes operaciones y sitios;
b) asistencia para la gerencia en la gestión y operación consistentes de manera responsable de su enfoque hacia la
gestión de la seguridad de la información, dentro del contexto de la gestión y el gobierno de riesgos
corporativos, incluida la educación y capacitación de los propietarios de sistemas y empresas sobre la gestión
holística de la seguridad de la información;
c) promoción de buenas prácticas de seguridad de la información globalmente aceptadas de manera no
prescriptiva, dando a las organizaciones la libertad de adoptar y mejorar los controles relevantes que se
adapten a sus circunstancias específicas y mantenerlos frente a cambios internos y externos;
d) provisión de un lenguaje común y una base conceptual para la seguridad de la información, lo que facilita la
confianza en los socios comerciales con un SGSI compatible, especialmente si requieren la certificación ISO/IEC
27001 por parte de un organismo de certificación acreditado;
e) aumento de la confianza de las partes interesadas en la organización;
La familiauna
contiene de estándares ISMS constaestructurales
serie de componentes de estándares interrelacionados,
significativos. ya publicadosestán
Estos componentes o en desarrollo, y
enfocados en:
Vocabulario estándar -
Cláusula 5.2
27000
Requisito
normas - 27001 27006 27009
I
S Cláusula 5.3
G
S
s
a
m
r 27002 27003 27004 27005 27007 TR 27008
o
n Directrices estándares
e
d -
a
il Cláusula 5.4
27013 27014 TR 27016 27021
i
m
a
F
Cada uno de los estándares de la familia ISMS se describe a continuación por su tipo (o función) dentro de la familia de estándares
ISMS y su número de referencia.
5.2 Norma que describe una descripción general y terminología: ISO/IEC 27000 (este documento)
Tecnología de la información — Técnicas de seguridad — Sistemas de gestión de la seguridad de la información — Visión general
y vocabulario
Alcance:Este documento especifica los requisitos para establecer, implementar, operar, monitorear, revisar, mantener y
mejorar los sistemas de gestión de seguridad de la información (SGSI) formalizados dentro del contexto de los riesgos
comerciales generales de la organización. Especifica los requisitos para la implementación de controles de seguridad de la
información personalizados para las necesidades de organizaciones individuales o partes de ellas. Este documento puede
ser utilizado por todas las organizaciones, independientemente de su tipo, tamaño y naturaleza.
Objetivo:ISO/IEC 27001 proporciona requisitos normativos para el desarrollo y operación de un SGSI, incluido un
Objetivo:ISO/IEC
conjunto de controles para el control y la mitigación de los riesgos asociados con los activos de información que la
organización busca proteger mediante la operación de su SGSI. Las organizaciones que operan un SGSI pueden
tener su conformidad auditada y certificada. Los objetivos de control y los controles de ISO/IEC 27001:2013, Anexo
A, se seleccionarán como parte de este proceso SGSI según corresponda para cubrir los requisitos identificados.
Los objetivos de control y los controles enumerados en ISO/IEC 27001:2013, Tabla A.1, se derivan directamente y
están alineados con los enumerados en ISO/IEC 27002:2013, Cláusulas 5 a 18.
Alcance:Este documento especifica los requisitos y brinda orientación para los organismos que brindan auditoría y
Alcance:Este
certificación ISMS de acuerdo con ISO/IEC 27001, además de los requisitos contenidos en ISO/IEC 17021. Está
destinado principalmente a respaldar la acreditación de organismos de certificación que brindan certificación ISMS
IS MS
de acuerdo con ISO/IEC 27001. ISO/CEI 27001.
Los requisitos contenidos en este documento deben ser demostrados en términos de competencia y confiabilidad
por cualquier persona que brinde la certificación SGSI, y la orientación contenida en este documento proporciona
una interpretación adicional de estos requisitos para cualquier persona que brinde la certificación SGSI.
Objetivo:ISO/IEC 27006 complementa a ISO/IEC 17021 al proporcionar los requisitos por los cuales las
Objetivo:ISO/IEC
organizaciones de certificación están acreditadas, lo que permite a estas organizaciones proporcionar
certificaciones de cumplimiento consistentes con los requisitos establecidos en ISO/IEC 27001.
Alcance:Este documento define los requisitos para el uso de ISO/IEC 27001 en cualquier sector específico
(campo, área de aplicación o sector de mercado). Explica cómo incluir requisitos adicionales a los de ISO/IEC
27001, cómo perfeccionar cualquiera de los requisitos de ISO/IEC 27001 y cómo incluir controles o conjuntos
de controles además de ISO/IEC
ISO/IEC 27001:2013, Anexo A.
Objetivo:ISO/IEC 27009 asegura que los requisitos adicionales o refinados no entren en conflicto con los
requisitos de ISO/IEC 27001.
Alcance:Este documento proporciona una lista de objetivos de control comúnmente aceptados y controles de mejores
prácticas que se utilizarán como guía de implementación al seleccionar e implementar controles para lograr la seguridad
de la información.
Objetivo: ISO/IEC 27002 proporciona orientación sobre la implementación de controles de seguridad de la información.
Objetivo:ISO/IEC
Específicamente, las Cláusulas 5 a 18 brindan asesoramiento de implementación específico y orientación sobre las mejores
prácticas en apoyo de los controles especificados en ISO/IEC 27001:2013, A.5 a A.18.
Alcance:Este documento proporciona directrices para la gestión de riesgos de seguridad de la información. El enfoque
descrito en este documento respalda los conceptos generales especificados en ISO/IEC 27001.
Objetivo:ISO/IEC 27005 proporciona orientación sobre la implementación de un enfoque de gestión de riesgos orientado
a procesos para ayudar a implementar y cumplir satisfactoriamente los requisitos de gestión de riesgos de seguridad de la
información de ISO/IEC 27001.
Alcance:Este documento proporciona orientación sobre la realización de auditorías de SGSI, así como orientación sobre la
Alcance:Este
competencia de los auditores de sistemas de gestión de la seguridad de la información, además de la orientación contenida en la
norma ISO 19011, que se aplica a los sistemas de gestión en general.
Objetivo:ISO/IEC 27007 brindará orientación a las organizaciones que necesiten realizar auditorías internas o
externas de un SGSI o gestionar un programa de auditoría de SGSI según los requisitos especificados en ISO/
IEC 27001.
Objetivo:Este documento proporciona un enfoque en las revisiones de los controles de seguridad de la información, incluida la
Objetivo:Este
verificación del cumplimiento técnico, frente a un estándar de implementación de seguridad de la información establecido por la
organización. No tiene la intención de proporcionar
p roporcionar ninguna guía específica sobre la verificación del cumplimiento con respecto a
la medición, evaluación de riesgos o auditoría de un SGSI como se especifica en ISO/IEC 27004, ISO/IEC 27005 o ISO/IEC 27007,
respectivamente. Este documento no está destinado a auditorías de sistemas de gestión.
En la práctica, ISO/IEC 27001 e ISO/IEC 20000-1 también se pueden integrar con otros estándares de sistemas
de gestión, como ISO 9001 e ISO 14001.
Objetivo:Proporcionar a las organizaciones una mejor comprensión de las características
características,, similitudes y
diferencias de ISO/IEC 27001 e ISO/IEC 20000-1 para ayudar en la planificación de un sistema de gestión
integrado que cumpla con ambas Normas Internacionales.
Alcance:Este documento brindará orientación sobre los principios y procesos para la gobernanza de la seguridad de la
información, mediante los cuales las organizaciones pueden evaluar, dirigir y monitorear la gestión de la seguridad de la
información.
Objetivo: La seguridad de la información se ha convertido en un tema clave para las organizaciones. No solo existen requisitos
Objetivo:La
reglamentarios cada vez mayores, sino que también el fracaso de las medidas de seguridad de la información de una
organización puede tener un impacto directo en la reputación de una organización. Por lo tanto, los órganos de gobierno, como
parte de sus responsabilidades de gobierno, deben supervisar cada vez más la seguridad de la información para garantizar que se
logren los objetivos de la organización.
Alcance:Este documento proporciona una metodología que permite a las organizaciones comprender mejor
Alcance:Este
económicamente cómo valorar con mayor precisión sus activos de información identificados, valorar los riesgos
potenciales para esos activos de información, apreciar el valor que los controles de protección de la información
brindan a estos activos de información y determinar el nivel óptimo de recursos. aplicarse para asegurar estos
activos de información.
Objetivo:Este documento complementa la familia de estándares ISMS
Objetivo:Este IS MS superponiendo una perspectiva económica
en la protección de los activos de información de una organización en el contexto del entorno social más amplio en
el que opera una organización y brindando orientación sobre cómo aplicar la economía organizacional de la
seguridad de la información a través del uso de modelos y ejemplos.
Alcance:Este documento especifica los requisitos de competencia para los profesionales de SGSI que lideren o participen
en el establecimiento, implementación, mantenimiento
mantenimiento y mejora continua de uno o más procesos del sistema de gestión
de seguridad de la información conforme a la norma ISO/IEC 27001:2013.
a) personas que deseen demostrar su competencia como profesionales del sistema de gestión de seguridad
de la información (SGSI), o que deseen comprender y lograr la competencia requerida para trabajar en
esta área, así como que deseen ampliar sus conocimiento
conocimientos,
s,
b) organizaciones que buscan posibles candidatos profesionales de ISMS para definir la competencia requerida para
puestos en roles relacionados con ISMS,
c) organismos para desarrollar la certificación de profesionales de ISMS que necesitan un cuerpo de conocimiento (BOK) para las
fuentes de examen, y
d) organizaciones de educación y formación, tales como universidades e instituciones vocacionales, para alinear sus
planes de estudios y cursos con los requisitos de competencia para los profesionales de SGSI.
Alcance:Este documento proporciona pautas además de la orientación proporcionada en la familia de estándares ISO/IEC
27000 para implementar la gestión de la seguridad de la información dentro de las comunidades de intercambio de
información.
Este documento proporciona controles y orientación relacionados específicamente con el inicio, la implementación,
el mantenimiento y la mejora de la seguridad de la información
info rmación en las comunicaciones interinstitucionales e
intersectoriales.
Objetivo:Este documento es aplicable a todas las formas de intercambio y distribución de información sensible,
Objetivo:Este
tanto pública como privada, a nivel nacional e internacional, dentro de la misma industria o sector del mercado o
entre sectores. En particular, puede ser aplicable a los intercambios de información relacionados con la provisión, el
mantenimiento y la protección de la infraestructura crítica de una organización o estado.
Objetivo:ISO/IEC 27011 permite a las organizaciones de telecomunicaciones cumplir con los requisitos básicos de gestión
de seguridad de la información de confidencialidad, integridad, disponibilidad y cualquier otra propiedad de seguridad
relevante.
Alcance:ISO/IEC 27017 brinda pautas para los controles de seguridad de la información aplicables a la provisión y el uso de
Alcance:ISO/IEC
servicios en la nube al proporcionar:
— orientación de implementación adicional para los controles relevantes especificados en ISO/IEC 27002;
— controles adicionales con orientación de implementación que se relacionan específicamente con los servicios en la nube.
Objetivo: Este documento proporciona controles y orientación de implementación tanto para proveedores de servicios en la nube
Objetivo:Este
como para clientes de servicios en la nube.
Alcance:ISO/IEC 27018 establece objetivos de control, controles y pautas comúnmente aceptados para
Alcance:ISO/IEC
implementar medidas para proteger la información de identificación personal (PII) de acuerdo con los principios de
privacidad de ISO/IEC 29100 para el entorno de computación en la nube pública.
Objetivo: Este documento es aplicable a organizaciones, incluidas empresas públicas y privadas, entidades gubernamentales y
Objetivo:Este
organizaciones sin fines de lucro, que brindan servicios de procesamiento de información como procesadores de PII a través de la
computación en la nube bajo contrato con otras organizaciones. Las pautas de este documento también pueden ser relevantes
para las organizaciones que actúan como controladores de PII. Sin embargo, es posible que los controladores de PII estén sujetos
a leyes, reglamentos y obligaciones adicionales de protección de PII, que no se aplican a los procesadores de PII, y estos no están
cubiertos en este documento.
Alcance:Este documento proporciona una guía basada en ISO/IEC 27002:2013 aplicada a los sistemas de control de
procesos utilizados por la industria de servicios públicos de energía para controlar y monitorear la producción o
generación, transmisión, almacenamiento y distribución de energía eléctrica,
eléctrica, gas, petróleo y calor, y para la control de los
procesos de soporte asociados. Esto incluye en particular lo siguiente:
— tecnología de control, supervisión y automatización de procesos centralizados y distribuidos, así como sistemas
de información utilizados para su funcionamiento, como dispositivos de programación y parametrización;
— controladores digitales y componentes de automatización, como dispositivos de control y de campo o controladores
lógicos programables (PLC), incluidos sensores digitales y elementos actuadores;
— todos los sistemas de información de apoyo adicionales utilizados en el dominio de control de procesos, por ejemplo, para tareas de
visualización de datos suplementarios y para fines de control, seguimiento, archivo de datos, registro histórico, elaboración de
informes y documentación;
— tecnología de comunicación utilizada en el dominio de control de procesos, por ejemplo, redes, telemetría, aplicaciones
de telecontrol y tecnología de control remoto;
— sistemas digitales de protección y seguridad, por ejemplo, relés de protección, PLC de seguridad, mecanismos reguladores de
emergencia;
— sistemas de gestión de la energía, por ejemplo, de recursos energéticos distribuidos (DER), infraestructuras
inf raestructuras de
carga eléctrica, en viviendas particulares, edificios residenciales o instalaciones de clientes industriales;
— componentes distribuidos de entornos de redes inteligentes, por ejemplo, en redes de energía, en hogares privados,
edificios residenciales o instalaciones de clientes industriales;
— todo el software, el firmware y las aplicaciones instaladas en los sistemas mencionados anteriormente, por ejemplo, aplicaciones DMS
(sistema de gestión de distribución) u OMS (sistema de gestión de interrupciones);
Este documento también incluye un requisito para adaptar los procesos de evaluación y tratamiento de riesgos descritos en ISO/
IEC 27001:2013 a la orientación específica del sector de la industria de servicios públicos de energía proporcionada en este
documento.
Objetivo:Además de los objetivos y medidas de seguridad que se establecen en ISO/IEC 27002, este documento proporciona
Objetivo:Además
pautas para los sistemas utilizados por las empresas de energía y los proveedores de energía sobre controles de seguridad de la
información que abordan requisitos especiales adicionales.
Alcance:Este documento brinda pautas para los estándares de seguridad de la información de la organización y las
Alcance:Este
prácticas de gestión de la seguridad de la información, incluida la selección, implementación y gestión de controles
teniendo en cuenta los entornos de riesgo de seguridad de la información de la organización.
Este documento proporciona una guía de implementación para los controles descritos en ISO/IEC 27002 y los
complementa donde sea necesario, para que puedan usarse de manera efectiva para administrar la seguridad de la
información de salud.
Objetivo:ISO 27799 brinda a las organizaciones de salud una adaptación de las pautas de ISO/IEC
27002 únicas para sus u sector industrial, que son adicionales a la orientación brindada para cumplir con
los requisitos de ISO/IEC 27001:2013, Anexo A.
Bibliografía
[3] ISO/CEI 17021,Evaluación de la conformidad: requisitos para los organismos que proporcionan auditoría y certificación
de sistemas de gestión
[11] ISO/CEI 27006,Tecnología de la información. Técnicas de seguridad. Requisitos para los organismos que proporcionan
auditoría y certificación de los sistemas de gestión de la seguridad de la información.
[12] ISO/CEI 27007,Tecnología de la información. Técnicas de seguridad. Directrices para la auditoría de los sistemas de
gestión de la seguridad de la información.
[13] ISO/CEI TR 27008,Tecnología de la información. Técnicas de seguridad. Directrices para los auditores sobre los controles de
seguridad de la información.
[16] ISO/CEI 27011,Tecnología de la información. Técnicas de seguridad. Código de prácticas para los controles de seguridad de la
información basado en ISO/IEC 27002 para organizaciones de telecomunicaciones.
[20] ISO/CEI 27017,Tecnología de la información — Técnicas de seguridad — Código de prácticas para los controles de seguridad de la
información basado en ISO/IEC 27002 para servicios en la nube
[21] ISO/CEI 27018,Tecnología de la información — Técnicas de seguridad — Código de prácticas para la protección de
información de identificación personal (PII) en nubes públicas que actúan como procesadores de PII
[22] ISO/CEI 27019,Tecnología de la información. Técnicas de seguridad. Controles de seguridad de la información para la industria de
servicios públicos de energía.
[24] ISO 27799,Informática de la salud — Gestión de la seguridad de la información en salud utilizando ISO/IEC 27002