Norma ISO - IEC 27000 - 2018

NORMA ISO/IEC 27000:2018
ADVERTENCIA
Esta norma no forma parte

del material del curso. Es sólo
para uso interno de TÜV
Rheinland Group.
Por favor, destruya la misma
al finalizar el curso
NORMA INTERNACIONAL ISO/IEC 27000:2018(E)
Tecnologías de la información - Técnicas de seguridad -

Sistemas de gestión de la seguridad de la información -
Panorama y vocabulario
1 Alcance
Este documento proporciona una visión general de los sistemas de gestión de la seguridad de la
información (SGSI). También proporciona términos y definiciones de uso común en la familia de normas
SGSI. Este documento es aplicable a todos los tipos y tamaños de organización (por ejemplo, empresas
comerciales, agencias gubernamentales, organizaciones sin fines de lucro).
Los términos y definiciones que figuran en este documento
— abarcan términos y definiciones de uso común en la familia de normas del SGSI;
— no abarcan todos los términos y definiciones aplicados en la familia de normas del SGSI; y
— no limitan la familia de normas SGSI a la hora de definir nuevos términos de uso.
2 Referencias normativas
No hay referencias normativas en este documento.
3 Términos y definiciones
La ISO y la CEI mantienen bases de datos terminológicas para su uso en la normalización en las
siguientes direcciones:
— ISO Plataforma de navegación en línea: disponible en https://www.iso.org/obp
— IEC Electropedia: disponible en https://www.electropedia.org/
3.1
control de acceso
medios para garantizar que el acceso a los activos está autorizado y restringido en función de la
actividad empresarial y la seguridad.
requisitos (3,56)
3.2
ataque
intentar destruir, exponer, alterar, inutilizar, robar u obtener acceso no autorizado a un activo o hacer
un uso no autorizado del mismo
3.3
auditoría
proceso sistemático, independiente y documentado (3.54) para obtener pruebas de auditoría y
evaluarlas objetivamente para determinar en qué medida se cumplen los criterios de auditoría
Nota 1 a la entrada: Una auditoría puede ser una auditoría interna (primera parte) o una auditoría externa
(segunda o tercera parte), y puede ser una auditoría combinada (que combina dos o más disciplinas).
Nota 2 a la entrada: La auditoría interna es realizada por la propia organización o por una parte externa en su
n o m b r e . Nota 3 a la e n t r a d a : "Evidencia de auditoría" y "criterios de auditoría" se definen en la norma ISO
19011.
© ISO/IEC 2018 - Todos los derechos 1
reservados
ISO/IEC 27000:2018(E)
3.4
alcance de la auditoría
alcance y límites de una auditoría (3.3)
[FUENTE: ISO 19011:2011, 3.14, modificado - Se ha suprimido la nota 1 de la entrada].
3.5
autenticación
garantía de que una característica declarada de una entidad es correcta
3.6
autenticidad
propiedad de que una entidad es lo que dice ser
3.7
disponibilidad
propiedad de ser accesible y utilizable a petición de una entidad autorizada
3.8
medida base
medida (3.42) definida en función de un atributo y del método para cuantificarlo
Nota 1 a la entrada: Una medida base es funcionalmente independiente de otras medidas.
[FUENTE: ISO/IEC/IEEE 15939:2017, 3.3, modificado - Se ha suprimido la nota 2 de la entrada].

3.9
competencia
capacidad de aplicar los conocimientos y las competencias para lograr los resultados previstos
3.10
confidencialidad
propiedad que la información no se ponga a disposición ni se divulgue a personas, entidades o
procesos (3,54)
3.11
conformidad
cumplimiento de un requisito (3.56)
3.12
consecuencia
resultado de un acontecimiento (3.21) que afecta a los objetivos (3.49)
Nota 1 a la entrada: Un suceso puede acarrear una serie de consecuencias.
Nota 2 a la entrada: Una consecuencia puede ser cierta o incierta y, en el contexto de la seguridad de la
información, suele ser negativa.
Nota 3 a la entrada: Las consecuencias pueden expresarse cualitativa o
cuantitativamente. Nota 4 a la entrada: Las consecuencias iniciales pueden escalar
a través de efectos en cadena.
[FUENTE: Guía ISO 73:2009, 3.6.1.3, modificada - Se ha cambiado la nota 2 de la entrada después de "y"].
3.13
mejora continua
actividad recurrente para mejorar el rendimiento (3,52)
2 © ISO/IEC 2018 - Todos los derechos

reservados
ISO/IEC 27000:2018(E)
3.14
control
medida que modifica el riesgo (3.61)
Nota 1 a la entrada: Los controles incluyen cualquier proceso (3.54), política (3.53), dispositivo, práctica u otras
acciones que modifiquen
riesgo (3.61).
Nota 2 a la entrada: Es posible que los controles no siempre ejerzan el efecto modificador previsto o supuesto.
[FUENTE: Guía ISO 73:2009, 3.8.1.1 - Se ha modificado la nota 2 de la entrada].

3.15
objetivo de control
declaración en la que se describa lo que se pretende conseguir como resultado de la aplicación de los
controles (3.14)
3.16
corrección
acción para eliminar una no conformidad detectada (3.47)
3.17
medidas correctoras
acción para eliminar la causa de una no conformidad (3.47) y evitar que vuelva a producirse
3.18
medida derivada
medida (3.42) que se define como una función de dos o más valores de medidas base (3.8)
3.19
información documentada
la información que debe controlar y conservar una organización (3.50) y el soporte en el que está
contenida
Nota 1 a la entrada: La información documentada puede estar en cualquier formato y soporte y proceder de
cualquier fuente. Nota 2 a la entrada: La información documentada puede referirse a
— el sistema de gestión (3.41), incluidos los procesos relacionados (3.54);
— información creada para que la organización (3.50) funcione (documentación);
— pruebas de los resultados obtenidos (registros).
3.20
eficacia
grado de realización de las actividades previstas y de consecución de los resultados previstos
3.21
evento
ocurrencia o cambio de un conjunto particular de circunstancias
Nota 1 a la entrada: Un suceso puede ser una o varias ocurrencias, y puede tener varias
causas. Nota 2 a la entrada: Un suceso puede consistir en que algo no ocurra.
Nota 3 a la entrada: Un suceso puede denominarse a veces "incidente" o "accidente".
[FUENTE: Guía ISO 73:2009, 3.5.1.3, modificada - Se ha suprimido la nota 4 de la entrada].

reservados
ISO/IEC 27000:2018(E)
3.22
contexto externo
el entorno externo en el que la organización trata de alcanzar sus objetivos (3,49)
Nota 1 a la entrada: El contexto externo puede incluir lo siguiente:
— el entorno cultural, social, político, jurídico, reglamentario, financiero, tecnológico, económico, natural y
competitivo, ya sea internacional, nacional, regional o local;
— los principales impulsores y tendencias que repercuten en los objetivos de la organización (3,50);
— las relaciones con las partes interesadas externas, así como sus percepciones y valores (3.37).
[FUENTE: Guía ISO 73:2009, 3.3.1.1].

3.23
gobernanza de la seguridad de la información
sistema por el cual las actividades de seguridad de la información (3.28) de una o r g a n i z a c i ó n se dirigen
y
controlado
3.24
órgano rector
persona o grupo de personas que son responsables del rendimiento (3.52) y la conformidad de la
organización (3,50)
Nota 1 a la entrada: El órgano de gobierno puede ser, en algunas jurisdicciones, un consejo de administración.
3.25
indicador
medida (3.42) que proporciona una estimación o evaluación
3.26
necesidad de información
información necesaria para gestionar objetivos (3.49), metas, riesgos y
problemas [FUENTE: ISO/IEC/IEEE 15939:2017, 3.12].
3.27
instalaciones de tratamiento de la información
cualquier sistema, servicio o infraestructura de tratamiento de la información, o la ubicación física que lo alberga
3.28
seguridad de la información
preservación de la confidencialidad (3.10), integridad (3.36) y disponibilidad (3.7) de la información
Nota 1 a la entrada: Además, pueden intervenir otras propiedades, como la autenticidad (3.6), la rendición de
cuentas, el no repudio (3.48) y la fiabilidad (3.55).
3.29
continuidad de la seguridad de la información
procesos (3.54) y procedimientos para garantizar la continuidad de las operaciones de seguridad de la
información (3.28)
3.30
evento sobre seguridad de la información
aparición identificada de un estado del sistema, servicio o red que indique una posible violación de la
política de seguridad de la información (3.28) (3.53) o un fallo de los controles (3.14), o una situación
previamente desconocida que pueda ser relevante para la seguridad
3.31
incidente de seguridad de la información
un único evento o una serie de eventos de seguridad de la información no deseados o inesperados (3.30) que
tienen una probabilidad significativa de comprometer las operaciones de negocio y amenazar la seguridad de la
reservados
ISO/IEC 27000:2018(E)
información (3.28)

reservados
ISO/IEC 27000:2018(E)
3.32
gestión de incidentes de seguridad de la información
conjunto de procesos (3.54) para detectar, informar, evaluar, r e s p o n d e r , tratar y aprender
de incidentes relacionados con la seguridad de la información (3.31)
3.33
profesional del sistema de gestión de la seguridad de la información ( SGSI)
persona que establece, implanta, mantiene y mejora continuamente uno o más procesos del sistema de
gestión de la seguridad de la información (3.54)
3.34
comunidad de intercambio de información
grupo de organizaciones (3,50) que acuerdan compartir información
Nota 1 a la entrada: Una organización puede ser un individuo.
3.35
sistema de información
conjunto de aplicaciones, servicios, activos informáticos u otros componentes de tratamiento de la
información
3.36
integridad
propiedad de exactitud e integridad
3.37
parte interesada (término preferido)
parte interesada (término admitido)
persona u organización (3.50) que puede afectar, verse afectada o percibirse afectada por una decisión o
actividad
3.38
contexto interno
entorno interno en el que la organización (3,50) trata de alcanzar sus objetivos
Nota 1 a la entrada: El contexto interno puede incluir:
— gobernanza, estructura organizativa, funciones y responsabilidades;
— políticas (3.53), objetivos (3.49) y estrategias para alcanzarlos;
— las capacidades, entendidas en términos de recursos y conocimientos (por ejemplo, capital, tiempo, personas,
procesos (3.54), sistemas y tecnologías);
— sistemas de información (3.35), flujos de información y procesos de toma de decisiones (tanto formales como
informales);
— las relaciones con las partes interesadas internas, así como sus percepciones y valores (3.37);
— la cultura de la organización;
— normas, directrices y modelos adoptados por la o r g a n i z a c i ó n ;
— forma y alcance de las relaciones contractuales.
[FUENTE: Guía ISO 73:2009, 3.3.1.2].

3.39
nivel de riesgo
magnitud de un riesgo (3.61) expresada en términos de la combinación de consecuencias (3.12) y su
probabilidad (3,40)
[FUENTE: Guía ISO 73:2009, 3.6.1.8, modificado - "o combinación de riesgos" se ha eliminado en la
definición].

reservados
ISO/IEC 27000:2018(E)
3.40
probabilidad
posibilidad de que algo ocurra
[FUENTE: Guía ISO 73:2009, 3.6.1.1, modificada - Se han eliminado las notas 1 y 2 de la entrada].
3.41
sistema de gestión
conjunto de elementos interrelacionados o interactuantes de una organización (3.50) para establecer políticas
(3.53) y
objetivos (3.49) y procesos (3.54) para alcanzarlos
Nota 1 a la entrada: Un sistema de gestión puede abordar una sola d i s c i p l i n a o varias.
Nota 2 a la entrada: Los elementos del sistema incluyen la estructura de la organización, las funciones y
responsabilidades, la planificación y el funcionamiento.
Nota 3 a la entrada: El alcance de un sistema de gestión puede incluir la totalidad de la organización, funciones
específicas e identificadas de la organización, secciones específicas e identificadas de la organización, o una o más
funciones a través de un grupo de organizaciones.
3.42
medir
variable a la que se asigna un valor como resultado de una medición (3.43)
3.43
medición
proceso (3.54) para determinar un valor
3.44
función de medición
algoritmo o cálculo realizado para combinar dos o más medidas base (3.8)
[FUENTE: ISO/IEC/IEEE 15939:2017, 3.20].
3.45
método de medición
secuencia lógica de operaciones, descrita genéricamente, utilizada para cuantificar un atributo con respecto a una
escala especificada
Nota 1 a la entrada: El tipo de método de medición depende de la naturaleza de las operaciones utilizadas para
cuantificar un
(3.4). Pueden distinguirse dos tipos:
— subjetiva: cuantificación que implica un juicio humano; y
— objetivo: cuantificación basada en reglas numéricas.

3.46
control
determinar el estado de un sistema, un proceso (3.54) o una actividad
Nota 1 a la entrada: Para determinar el estado, puede ser necesario comprobar, supervisar u observar críticamente.
3.47
no conformidad
incumplimiento de un requisito (3.56)
3.48
no repudio

reservados
ISO/IEC 27000:2018(E)
capacidad para demostrar la ocurrencia de un hecho (3.21) o acción reivindicados y las entidades que los originaron

reservados
ISO/IEC 27000:2018(E)
3.49
objetivo
resultado que debe alcanzarse
Nota 1 a la entrada: Un objetivo puede ser estratégico, táctico u operativo.
Nota 2 a la entrada: Los objetivos pueden referirse a distintas disciplinas (como objetivos financieros, de salud
y seguridad, y medioambientales) y pueden aplicarse a distintos niveles [como estratégico, de toda la organización, de
proyecto, de producto y de proceso (3.54)].
Nota 3 a la entrada: Un objetivo puede expresarse de otras formas, por ejemplo, como un resultado previsto,
un propósito, un criterio operativo, como un objetivo de seguridad de la información o mediante el uso de otras palabras
con significado similar (por ejemplo, aim, goal o target).
Nota 4 a la entrada: En el contexto de los sistemas de gestión de la seguridad de la información, los objetivos de
seguridad de la información son establecidos por la o r g a n i z a c i ó n , en coherencia con la política de seguridad de
la información, para lograr resultados específicos.
3.50
organización
persona o grupo de personas que tiene sus propias funciones con responsabilidades, autoridades y
relaciones para lograr sus objetivos (3.49)
Nota 1 a la entrada: El concepto de organización incluye, entre otros, al comerciante individual, la sociedad, la
corporación, la firma, la empresa, la autoridad, la asociación, la organización benéfica o la institución, o parte o
combinación de ellas, estén o no constituidas en sociedad, sean públicas o privadas.
3.51
externalizar
llegar a un acuerdo por el que una organización externa (3.50) realice parte de la función de una
organización
o proceso (3.54)
Nota 1 a la entrada: Una organización externa queda fuera del alcance del sistema de gestión (3.41), aunque la
función o proceso externalizado está dentro del ámbito de aplicación.
3.52
rendimiento
resultado mensurable
Nota 1 a la entrada: El rendimiento puede referirse a resultados cuantitativos o cualitativos.
Nota 2 a la entrada: El rendimiento puede referirse a la gestión de actividades, procesos (3.54), productos
(incluidos los servicios), sistemas u organizaciones (3.50).
3.53
política
intenciones y dirección de una organización (3,50), expresadas formalmente por su alta dirección (3,75)
3.54
proceso
conjunto de actividades interrelacionadas o que interactúan entre sí y que transforman insumos en productos.
3.55
fiabilidad
propiedad del comportamiento y los resultados previstos coherentes
3.56
requisito
necesidad o expectativa declarada, generalmente implícita u obligatoria
Nota 1 a la entrada: "Generalmente implícita" significa que es costumbre o práctica común para la organización
y las partes interesadas que la necesidad o expectativa considerada esté implícita.

reservados
ISO/IEC 27000:2018(E)
Nota 2 a la entrada: Un requisito especificado es aquel que se enuncia, por ejemplo, en información documentada.

0 reservados
ISO/IEC 27000:2018(E)
3.57
riesgo residual
riesgo (3,61) restante tras el tratamiento del riesgo (3,72)
Nota 1 a la entrada: El riesgo residual puede contener riesgo no identificado.
Nota 2 a la entrada: El riesgo residual también puede denominarse "riesgo retenido".
3.58
revise
actividad realizada para determinar la idoneidad, adecuación y eficacia (3.20) de la materia para alcanzar
los objetivos establecidos (3.49)
[FUENTE: Guía ISO 73:2009, 3.8.2.2, modificada - Se ha suprimido la nota 1 de la entrada].
3.59
objeto de revisión
punto específico que se examina
3.60
objetivo de revisión
declaración en la que se describa lo que se pretende conseguir como resultado de una revisión (3.59)
3.61
riesgo
efecto de la incertidumbre en los objetivos (3.49)
Nota 1 a la entrada: Un efecto es una desviación de lo esperado, positiva o negativa.
Nota 2 a la entrada: La incertidumbre es el estado, incluso parcial, de deficiencia de información relacionada con, la
comprensión o el conocimiento de, un evento, su consecuencia o probabilidad.
Nota 3 a la entrada: El riesgo se caracteriza a menudo por referencia a "sucesos" potenciales (según se definen en
la Guía ISO 73:2009, 3.5.1.3) y "consecuencias" (según se definen en la Guía ISO 73:2009, 3.6.1.3), o a una
combinación de los mismos.
Nota 4 a la entrada: El riesgo se expresa a menudo en términos de una combinación de las consecuencias de un
suceso (incluidos los cambios en las circunstancias) y la "probabilidad" asociada (tal como se define en la Guía ISO 73:2009,
3.6.1.1) de que ocurra.
Nota 5 a la entrada: En el contexto de los sistemas de gestión de la seguridad de la información, los riesgos de
seguridad de la información pueden expresarse como efecto de la incertidumbre sobre los objetivos de seguridad de
la información.
Nota 6 a la entrada: El riesgo de seguridad de la información se asocia con el potencial de que las amenazas exploten las
vulnerabilidades de un activo de información o grupo de activos de información y, por lo tanto, causen daño a
una organización.
3.62
aceptación del riesgo
decisión informada de asumir un determinado riesgo (3,61)
Nota 1 a la entrada: La aceptación del riesgo puede producirse sin tratamiento del riesgo (3.72) o durante el
proceso (3.54) de tratamiento del riesgo.
Nota 2 a la entrada: Los riesgos aceptados están sujetos a seguimiento (3.46) y revisión (3.58).
[FUENTE: Guía ISO 73:2009, 3.7.1.6].

3.63
análisis de riesgos
proceso (3.54) para comprender la naturaleza del riesgo (3.61) y determinar el nivel de riesgo (3.39)
Nota 1 a la entrada: El análisis de riesgos proporciona la base para la evaluación de riesgos (3.67) y las decisiones sobre el
tratamiento de riesgos (3.72).
reservados
ISO/IEC 27000:2018(E)
Nota 2 a la entrada: El análisis de riesgos incluye la estimación de riesgos.
[FUENTE: Guía ISO 73:2009, 3.6.1].

2 reservados
ISO/IEC 27000:2018(E)
3.64
evaluación de riesgos
proceso global (3,54) de identificación de riesgos (3,68), análisis de riesgos (3,63) y evaluación de
riesgos (3,67)
[FUENTE: Guía ISO 73:2009, 3.4.1].
3.65
comunicación y consulta de riesgos
conjunto de procesos continuos e iterativos (3.54) que una organización lleva a cabo para proporcionar,
compartir u obtener información, y para entablar un diálogo con las partes interesadas (3.37) en relación con
la gestión del riesgo (3.61)
Nota 1 a la entrada: La información puede referirse a la existencia, naturaleza, forma, probabilidad (3.41),
importancia, evaluación, aceptabilidad y tratamiento del riesgo.
Nota 2 a la entrada: La consulta es un proceso bidireccional de comunicación informada entre una organización
(3.50) y sus partes interesadas sobre una cuestión antes de tomar una decisión o determinar una dirección al respecto.
La consulta es
— un proceso que influye en una decisión a través de la influencia y no del poder; y
— una aportación a la toma de decisiones, no una toma de decisiones conjunta.
3.66
criterios de riesgo
términos de referencia para evaluar la importancia del riesgo (3.61)
Nota 1 a la entrada: Los criterios de riesgo se basan en los objetivos de la organización y en el contexto externo
(3.22) e interno (3.38).
Nota 2 a la entrada: Los criterios de riesgo pueden derivarse de normas, leyes, políticas (3.53) y otros requisitos
(3.56).
[FUENTE: Guía ISO 73:2009, 3.3.1.3].

3.67
evaluación de riesgos
proceso (3.54) de comparación de los resultados del análisis de riesgos (3.63) con los criterios de
riesgo (3.66) para determinar si el riesgo (3.61) y/o su magnitud son aceptables o tolerables
Nota 1 a la entrada: La evaluación del riesgo ayuda en la decisión sobre el tratamiento del riesgo (3.72).
[FUENTE: Guía ISO 73:2009, 3.7.1].

3.68
identificación de riesgos
proceso (3.54) de búsqueda, reconocimiento y descripción de riesgos (3.61)
Nota 1 a la entrada: La identificación de riesgos implica la identificación de las fuentes de riesgo, los sucesos (3.21),
sus causas y sus posibles consecuencias (3.12).
Nota 2 a la entrada: La identificación de riesgos puede implicar datos históricos, análisis teóricos, opiniones
informadas y de expertos, y necesidades de las partes interesadas (3.37).
[FUENTE: Guía ISO 73:2009, 3.5.1].

3.69
gestión de riesgos
actividades coordinadas para dirigir y controlar una organización (3,50) con respecto al riesgo (3,61)
[FUENTE: Guía ISO 73:2009, 2.1].

reservados
ISO/IEC 27000:2018(E)
3.70
proceso de gestión de riesgos
aplicación sistemática de políticas de gestión (3.53), procedimientos y prácticas a las actividades de
comunicación, consulta, establecimiento del contexto e identificación, análisis, evaluación, tratamiento,
seguimiento y revisión del riesgo (3.61)
Nota 1 a la entrada: ISO/IEC 27005 utiliza el término "proceso" (3.54) para describir la gestión de riesgos en general. Los
elementos
dentro del proceso de gestión de riesgos (3.69) se denominan "actividades".
[FUENTE: Guía ISO 73:2009, 3.1, modificada - Se ha añadido la Nota 1 a la entrada].

3.71
titular del riesgo
persona o entidad con responsabilidad y autoridad para gestionar un riesgo (3.61)
[FUENTE: Guía ISO 73:2009, 3.5.1.5].
3.72
tratamiento del riesgo
proceso (3.54) para modificar el riesgo (3.61)
Nota 1 a la entrada: El tratamiento del riesgo puede implicar:
— evitar el riesgo decidiendo no iniciar o continuar con la actividad que lo origina;
— Asumir o aumentar el riesgo para aprovechar una oportunidad;
— eliminar la fuente de riesgo;
— cambiando la probabilidad (3.40);
— modificando las consecuencias (3.12);
— compartir el riesgo con otra u otras partes (incluidos los contratos y la financiación del riesgo);
— retener el riesgo mediante una elección informada.
Nota 2 a la entrada: Los tratamientos de riesgos que tratan las consecuencias negativas se denominan a veces
"mitigación de riesgos", " eliminación de riesgos", "prevención de riesgos" y " reducción de riesgos".
Nota 3 a la entrada: El tratamiento de riesgos puede crear nuevos riesgos o modificar l o s existentes.
[FUENTE: Guía ISO 73:2009, 3.8.1, modificada - "decisión" se ha sustituido por "elección" en la Nota 1 a la
entrada].
3.73
norma de aplicación de la seguridad
documento en el que se especifican las formas autorizadas de realizar la seguridad
3.74
amenaza
causa potencial de un incidente no deseado, que puede resultar perjudicial para un sistema o una organización
(3.50)
3.75
alta dirección
persona o grupo de personas que dirige y controla una organización (3,50) al más alto nivel
Nota 1 a la entrada: La alta dirección tiene poder para delegar autoridad y proporcionar recursos dentro de la
organización.
Nota 2 a la entrada: Si el alcance del sistema de gestión (3.41) abarca sólo una parte de una organización, la alta
dirección se refiere a quienes dirigen y controlan esa parte de la o r g a n i z a c i ó n .

4 reservados
ISO/IEC 27000:2018(E)
Nota 3 a la entrada: La alta dirección a veces se denomina dirección ejecutiva y puede incluir directores ejecutivos,
directores financieros, directores de información y funciones similares.
3.76
entidad de comunicación de información de confianza
organización autónoma (3.50) que apoya el intercambio de información dentro de una comunidad de
intercambio de información (3.34)
3.77
vulnerabilidad
debilidad de un activo o control (3.14) que puede ser explotada por una o más amenazas (3.74)
4 Sistemas de gestión de la seguridad de la información
4.1 General
Organizaciones de todo tipo y tamaño:
a) recoger, procesar, almacenar y transmitir información;
b) reconocer que la información y los procesos, sistemas, redes y personas relacionados con ella
son activos importantes para alcanzar los objetivos de la organización;
c) se enfrentan a una serie de riesgos que pueden afectar al funcionamiento de los activos
d) abordar su exposición al riesgo percibido mediante la aplicación de controles de seguridad de la
información.
Toda la información que posee y procesa una organización está sujeta a amenazas de ataque, error,
naturaleza (por ejemplo, inundaciones o incendios), etc., y está sujeta a vulnerabilidades inherentes a su
uso. El término seguridad de la información se basa generalmente en considerar la información como un
activo que tiene un valor que requiere una protección adecuada, por ejemplo, contra la pérdida de
disponibilidad, confidencialidad e integridad. Permitir que la información precisa y completa esté
disponible en el momento oportuno para quienes tengan una necesidad autorizada es un catalizador de la
eficacia empresarial.
Proteger los activos de información mediante la definición, consecución, mantenimiento y mejora
eficaz de la seguridad de la información es esencial para que una organización pueda alcanzar sus
objetivos y mantener y mejorar su cumplimiento legal y su imagen. Estas actividades coordinadas
que dirigen la aplicación de controles adecuados y tratan los riesgos inaceptables para la seguridad de la
información se conocen generalmente como elementos de la gestión de la seguridad de la información.
Dado que los riesgos para la seguridad de la información y la eficacia de los controles cambian en
función de las circunstancias, las organizaciones deben:
a) supervisar y evaluar la eficacia de los controles y procedimientos aplicados;
b) identificar los riesgos emergentes que deben tratarse
c) seleccionar, aplicar y mejorar los controles adecuados según sea necesario.
Para interrelacionar y coordinar estas actividades de seguridad de la información, cada organización debe
establecer su política y objetivos de seguridad de la información y alcanzarlos eficazmente mediante
un sistema de gestión.
4.2 ¿Qué es un SGSI?
4.2.1 Visión general y principios

Un SGSI consiste en las políticas, procedimientos, directrices y recursos y actividades asociados,
gestionados colectivamente por una organización, con el fin de proteger sus activos de información. Un
reservados
ISO/IEC 27000:2018(E)
SGSI es un enfoque sistemático para establecer, implementar, operar, supervisar, revisar, mantener

6 reservados
ISO/IEC 27000:2018(E)
y mejorar la seguridad de la información de una organización para alcanzar los objetivos

empresariales. Se basa en una evaluación de riesgos y en los niveles de aceptación de riesgos de la
organización, diseñados para tratar y gestionar eficazmente los riesgos. El análisis de los requisitos
para la protección de los activos de información y la aplicación de los controles adecuados para
garantizar la protección de estos activos de información, según sea necesario, contribuyen al éxito
de la implantación de un SGSI. Los siguientes principios fundamentales también contribuyen al
éxito de la implantación de un SGSI:
a) concienciación sobre la necesidad de la seguridad de la información;
b) asignación de responsabilidades en materia de seguridad de la información;
c) incorporando el compromiso de la dirección y los intereses de las partes interesadas;
d) potenciar los valores de la sociedad;
e) evaluaciones de riesgos que determinen los controles adecuados para alcanzar niveles de riesgo aceptables;
f) seguridad incorporada como elemento esencial de las redes y sistemas de información;
g) prevención y detección activas de incidentes de seguridad de la información;
h) garantizar un enfoque global de la gestión de la seguridad de la información;
i) reevaluación continua de la seguridad de la información y realización de las modificaciones oportunas.
4.2.2 Información
La información es un activo que, al igual que otros activos empresariales importantes, es esencial para la
actividad de una organización y, en consecuencia, debe protegerse adecuadamente. La información
puede almacenarse de muchas formas, entre ellas: forma digital (por ejemplo, archivos de datos
almacenados en soportes electrónicos u ópticos), forma material (por ejemplo, en papel), así como
información no representada en forma de conocimientos de los empleados. La información puede
transmitirse por diversos medios: mensajería, comunicación electrónica o verbal. Sea cual sea la forma
que adopte la información o el medio por el que se transmita, siempre necesita una protección adecuada.
En muchas organizaciones, la información depende de la tecnología de la información y las
comunicaciones. Esta tecnología suele ser un elemento esencial de la organización y contribuye a
facilitar la creación, el tratamiento, el almacenamiento, la transmisión, la protección y la destrucción de
la información.
4.2.3 Seguridad de la información
La seguridad de la información garantiza la confidencialidad, disponibilidad e integridad de la

información. La seguridad de la información implica la aplicación y gestión de controles apropiados que
implican la consideración de una amplia gama de amenazas, con el objetivo de garantizar el éxito y la
continuidad sostenidos del negocio, y minimizar las consecuencias de los incidentes de seguridad de la
información.
La seguridad de la información se consigue mediante la implantación de un conjunto de controles
aplicables, seleccionados a través del proceso de gestión de riesgos elegido y gestionados mediante un
SGSI, que incluye políticas, procesos, procedimientos, estructuras organizativas, software y hardware
para proteger los activos de información identificados. Estos controles deben ser especificados,
implementados, supervisados, revisados y mejorados cuando sea necesario, para garantizar que se
cumplen los objetivos específicos de seguridad de la información y de negocio de la organización.
Se espera que los controles de seguridad de la información pertinentes estén perfectamente
integrados en los procesos empresariales de una organización.
4.2.4 Gestión
La gestión implica actividades para dirigir, controlar y mejorar continuamente la organización dentro de
estructuras adecuadas. Las actividades de gestión incluyen el acto, la manera o la práctica de organizar,
reservados
ISO/IEC 27000:2018(E)
manejar, dirigir, supervisar y controlar los recursos. Las estructuras de gestión abarcan desde una persona
en una organización pequeña hasta jerarquías de gestión compuestas por muchas personas en
organizaciones grandes.

8 reservados
ISO/IEC 27000:2018(E)
En términos de un SGSI, la gestión implica la supervisión y la toma de decisiones necesarias para

alcanzar los objetivos empresariales mediante la protección de los activos de información de la
organización. La gestión de la seguridad de la información se expresa a través de la formulación y el uso
de políticas, procedimientos y directrices de seguridad de la información, que luego se aplican en toda la
organización por todos los individuos asociados con la organización.
4.2.5 Sistema de gestión
Un sistema de gestión utiliza un marco de recursos para alcanzar los objetivos de una organización. El
sistema de gestión incluye la estructura organizativa, las políticas, las actividades de planificación, las
responsabilidades, las prácticas, los procedimientos, los procesos y los recursos.
En términos de seguridad de la información, un sistema de gestión permite a una organización:
a) satisfacer los requisitos de seguridad de la información de los clientes y otras partes interesadas;
b) mejorar los planes y actividades de una organización;
c) cumplir los objetivos de seguridad de la información de la organización;
d) cumplir la normativa, la legislación y los mandatos del sector; y
e) gestionar los activos de información de una forma organizada que facilite la mejora continua y
el ajuste a los objetivos actuales de la organización.
4.3 Enfoque por procesos

Las organizaciones necesitan identificar y gestionar muchas actividades para funcionar con eficacia
y eficiencia. Cualquier actividad que utilice recursos debe gestionarse para permitir la transformación de
entradas en salidas mediante un conjunto de actividades interrelacionadas o que interactúan entre sí;
esto también se conoce como proceso. La salida de un proceso puede constituir directamente la
entrada de otro proceso y, por lo general, esta t r a n s f o r m a c i ó n se lleva a cabo en condiciones
planificadas y controladas. La aplicación de un sistema de procesos dentro de una organización,
junto con la identificación e interacciones de estos procesos, y su gestión, puede denominarse
"enfoque por procesos".
4.4 Por qué es importante un SGSI

Es necesario abordar los riesgos asociados a los activos de información de una organización. Lograr la
seguridad de la información requiere la gestión del riesgo, y abarca los riesgos de las amenazas físicas,
humanas y tecnológicas relacionadas con todas las formas de información dentro de la o r g a n i z a c i ó n
o utilizadas por ella.
Se espera que la adopción de un SGSI sea una decisión estratégica para una organización y es necesario
que esta decisión se integre, amplíe y actualice de acuerdo con las necesidades de la organización.
El diseño y la implantación del SGSI de una organización están influidos por las necesidades y los objetivos
de la organización, los requisitos de seguridad, los procesos empresariales empleados y el tamaño y
la estructura de la organización. El diseño y el funcionamiento de un SGSI deben reflejar los intereses y los
requisitos de seguridad de la información de todas las partes interesadas de la organización, incluidos los
clientes, proveedores, socios comerciales, accionistas y otros terceros pertinentes.
En un mundo interconectado, la información y los procesos, sistemas y redes relacionados constituyen
activos empresariales críticos. Las organizaciones y sus sistemas y redes de información se enfrentan a
amenazas a la seguridad procedentes de una amplia gama de fuentes, como el fraude asistido por
ordenador, el espionaje, el sabotaje, el vandalismo, los incendios y las inundaciones. Los daños causados
a los sistemas y redes de información por códigos maliciosos, piratería informática y ataques de
denegación de servicio son cada vez más frecuentes, ambiciosos y sofisticados.
Un SGSI es importante tanto para las empresas del sector público como para las del privado. En
cualquier sector, un SGSI es un habilitador que apoya el comercio electrónico y es esencial para las
reservados
ISO/IEC 27000:2018(E)
actividades de gestión de riesgos. La interconexión d e redes públicas y privadas y el uso compartido de
activos de información aumentan la dificultad de controlar

0 reservados
ISO/IEC 27000:2018(E)
acceso a la información y su manipulación. Además, la distribución de dispositivos de almacenamiento

móviles que contienen activos de información puede debilitar la eficacia de los controles tradicionales.
Cuando las organizaciones adoptan la familia de normas SGSI, la capacidad de aplicar principios de
seguridad de la información coherentes y mutuamente reconocibles puede demostrarse a los socios
comerciales y otras partes interesadas.
La seguridad de la información no siempre se tiene en cuenta en el diseño y desarrollo de los
sistemas de información. Además, a menudo se piensa que la seguridad de la información es una
solución técnica. Sin embargo, la seguridad de la información que puede lograrse por medios
técnicos es limitada y puede resultar ineficaz si no se apoya en una gestión y unos procedimientos
adecuados en el contexto de un SGSI. Integrar la seguridad en un sistema de información funcionalmente
completo puede resultar difícil y costoso. Un SGSI implica identificar qué controles existen y requiere una
planificación cuidadosa y atención a los detalles. P o r ejemplo, los controles de acceso, que pueden ser
técnicos (lógicos), físicos, administrativos (de gestión) o una combinación de ambos, proporcionan un
medio para garantizar que el acceso a los activos de información está autorizado y restringido en
función de los requisitos de seguridad de la empresa y de la información.
La adopción con éxito de un SGSI es importante para proteger los activos de información que permiten a una
organización:
a) lograr una mayor seguridad de que sus activos de información están adecuadamente protegidos
contra las amenazas de forma continua;
b) mantener un marco estructurado y completo para identificar y evaluar los riesgos para la
seguridad de la información, seleccionar y aplicar los controles aplicables, y medir y mejorar su
eficacia;
c) mejorar continuamente su entorno de control; y
d) lograr eficazmente el cumplimiento legal y reglamentario.
4.5 Establecer, supervisar, mantener y mejorar un SGSI
4.5.1 Visión general
Una organización necesita llevar a cabo los siguientes pasos para establecer, supervisar, mantener y
mejorar su SGSI:
a) identificar los activos de información y sus requisitos de seguridad de la información asociados (véase 4.5.2);
b) evaluar los riesgos para la seguridad de la información (véase 4 .5.3) y tratar los riesgos para la seguridad de la
información (véase 4.5.4);
c) seleccionar y aplicar los controles pertinentes para gestionar los riesgos inaceptables (véase 4.5.5);
d) supervisar, mantener y mejorar la eficacia de los controles asociados a los activos de información de
la organización (véase 4.5.6).
Para garantizar que el SGSI protege eficazmente los activos de información de la organización de forma
continua, es necesario que los pasos a) a d) se repitan continuamente para identificar cambios en los
riesgos o en las estrategias u objetivos empresariales de la organización.
4.5.2 Determinación de los requisitos de seguridad de la información

Dentro de la estrategia global y los objetivos empresariales de la organización, su tamaño y extensión
geográfica, los requisitos de seguridad de la información pueden identificarse mediante la
comprensión de lo siguiente:
a) activos de información identificados y su valor;
b) necesidades empresariales de tratamiento, almacenamiento y comunicación de la información;

reservados
ISO/IEC 27000:2018(E)
c) requisitos legales, reglamentarios y contractuales.
Llevar a cabo una evaluación metódica de los riesgos asociados a los activos de información de la
o r g a n i z a c i ó n implica analizar las amenazas a los activos de información, las vulnerabilidades y la
probabilidad de que se produzca una amenaza

2 reservados
ISO/IEC 27000:2018(E)
materializarse en l o s activos de información, y el impacto potencial de cualquier incidente de

seguridad de la información en los activos de información. Se espera que el gasto en controles
pertinentes sea proporcional al impacto empresarial percibido de la materialización del riesgo.
4.5.3 Evaluación de los riesgos para la seguridad de la información

La gestión de los riesgos para la seguridad de la información requiere un método adecuado de
evaluación y tratamiento de riesgos que puede incluir una estimación de los costes y beneficios, los
requisitos legales, las preocupaciones de las partes interesadas y otras entradas y variables, según
proceda.
La evaluación de riesgos debe identificar, cuantificar y priorizar los riesgos en relación con los
criterios de aceptación de riesgos y los objetivos pertinentes para la organización. Los resultados
deben guiar y determinar las acciones y prioridades de gestión apropiadas para gestionar los riesgos
de seguridad de la información y para implementar los controles seleccionados para proteger contra
estos riesgos.
La evaluación de riesgos debe incluir:
— el enfoque sistemático de estimación de la magnitud de los riesgos (análisis de riesgos); y
— el proceso de comparar los riesgos estimados con los criterios de riesgo para determinar la
importancia de los riesgos (evaluación de riesgos).
La evaluación de riesgos debe realizarse periódicamente para abordar los cambios en los requisitos de
seguridad de la información y en la situación de riesgo, por ejemplo en los activos, las amenazas, las
vulnerabilidades, los impactos, la evaluación de riesgos, y cuando se produzcan cambios significativos.
Estas evaluaciones de riesgos deben llevarse a cabo de forma metódica y capaz de producir resultados
comparables y reproducibles.
La evaluación de riesgos para la seguridad de la información debe tener un alcance claramente
definido para ser eficaz y debe incluir relaciones con evaluaciones de riesgos en otras áreas, si
procede.
La norma ISO/IEC 27005 ofrece orientaciones sobre la gestión de riesgos para la seguridad de la
información, incluidos consejos sobre la evaluación de riesgos, el tratamiento de riesgos, la aceptación de
riesgos, la notificación de riesgos, la supervisión de riesgos y la revisión de riesgos. También se incluyen
ejemplos de metodologías de evaluación de riesgos.
4.5.4 Tratamiento de los riesgos para la seguridad de la información
Antes de considerar el tratamiento de un riesgo, la organización debe definir criterios para determinar si
los riesgos pueden aceptarse o no. Los riesgos pueden aceptarse si, por ejemplo, se considera que el
riesgo es bajo o que el coste del tratamiento no es rentable para la organización. Tales decisiones deben
quedar registradas.
Para cada uno de los riesgos identificados tras la evaluación de riesgos, hay que tomar una decisión
de tratamiento del riesgo. Entre las posibles opciones de tratamiento del riesgo figuran las
siguientes:
a) aplicar controles adecuados para reducir los riesgos;
b) aceptar riesgos de forma consciente y objetiva, siempre que satisfagan claramente la política y los
criterios de la organización para la aceptación de riesgos;
c) evitar los riesgos no permitiendo acciones que los p r o v o q u e n ;
d) compartir los riesgos asociados con otras partes, por ejemplo aseguradoras o proveedores.
Para aquellos riesgos en los que la decisión de tratamiento del riesgo haya sido aplicar controles
adecuados, estos controles deben seleccionarse y aplicarse.

reservados
ISO/IEC 27000:2018(E)
4.5.5 Selección y aplicación de controles
Una vez que se han identificado los requisitos de seguridad de la información (véase 4.5.2), se han
determinado y evaluado los riesgos de seguridad de la información para los activos de información
identificados (véase 4.5.3) y se han tomado las decisiones para el

4 reservados
ISO/IEC 27000:2018(E)
se ha realizado el tratamiento de los riesgos para la seguridad de la información (véase 4.5.4), a

continuación se aplican la selección y la aplicación de controles para la reducción de riesgos.
Los controles deben garantizar que los riesgos se reducen a un nivel aceptable teniendo en c u e n t a lo siguiente:
a) requisitos y limitaciones de la legislación y la normativa nacionales e internacionales;
b) objetivos de la organización;
c) requisitos y limitaciones operativas;
d) su coste de aplicación y funcionamiento en relación con los riesgos que se reducen, y que sigan
siendo proporcionales a las necesidades y limitaciones de la organización;
e) sus objetivos de supervisar, evaluar y mejorar la eficiencia y eficacia de los controles de
seguridad de la información para apoyar los objetivos de la organización. La selección y aplicación de
los controles debe documentarse en una declaración de aplicabilidad para facilitar el
cumplimiento de los requisitos;
f) la necesidad de equilibrar la inversión en la aplicación y el funcionamiento de los controles con
las pérdidas que pueden derivarse de los incidentes relacionados con la seguridad de la
información.
Los controles especificados en ISO/IEC 27002 son reconocidos como las mejores prácticas
aplicables a la mayoría de las organizaciones y fácilmente adaptables para acomodar organizaciones
de varios tamaños y complejidades. Otras normas de la familia de normas SGSI proporcionan
orientación sobre la selección y aplicación de los controles ISO/IEC 27002 para el SGSI.
Los controles de seguridad de la información deben tenerse en cuenta en la fase de especificación y
diseño de los requisitos de los sistemas y proyectos. No hacerlo puede acarrear costes adicionales y
soluciones menos eficaces y, en el peor de los casos, la incapacidad de lograr una seguridad adecuada.
Los controles pueden seleccionarse a partir de la norma ISO/IEC 27002 o de otros conjuntos de
controles. Alternativamente, se pueden diseñar nuevos controles para satisfacer las necesidades
específicas de la organización. Es necesario reconocer la posibilidad de que algunos controles no sean
aplicables a todos los sistemas de información o entornos, y no sean practicables para todas las
organizaciones.
A veces, la aplicación de un conjunto de controles elegido lleva tiempo y, durante ese tiempo, el nivel de
riesgo puede ser superior al tolerable a largo plazo. Los criterios de riesgo deben cubrir la tolerabilidad
de los riesgos a corto plazo mientras se aplican los controles. Las partes interesadas deben ser
informadas de los niveles de riesgo que se estiman o prevén en diferentes momentos a medida que se
implantan progresivamente los controles.
Debe tenerse en cuenta que ningún conjunto de controles puede lograr una seguridad de la información
completa. Deben aplicarse medidas de gestión adicionales para supervisar, evaluar y mejorar la eficiencia
y eficacia de los controles de seguridad de la información para apoyar los objetivos de la organización.
La selección y la aplicación de los controles deben documentarse en una declaración de aplicabilidad para
facilitar el cumplimiento de los requisitos.
4.5.6 Supervisar, mantener y mejorar la eficacia del SGSI.
Una organización necesita mantener y mejorar el SGSI a través del seguimiento y la evaluación del
desempeño frente a las políticas y objetivos de la organización, e informar de los resultados a la
dirección para su revisión. Esta revisión del SGSI comprueba que el SGSI incluye controles
especificados que son adecuados para tratar los riesgos dentro del alcance del SGSI. Además, basándose
en los registros de estas áreas supervisadas, proporciona pruebas de verificación y trazabilidad de las
acciones correctivas, preventivas y de mejora.
4.5.7 Mejora continua
El objetivo de la mejora continua de un SGSI es aumentar la probabilidad de alcanzar los objetivos

reservados
ISO/IEC 27000:2018(E)
relativos a la preservación de la confidencialidad, disponibilidad e integridad de la información. El
objetivo de la mejora continua es buscar oportunidades de mejora y no asumir que las actividades de
gestión existentes son lo suficientemente buenas o tan buenas como pueden serlo.

6 reservados
ISO/IEC 27000:2018(E)
Entre las acciones de mejora figuran las siguientes:

a) analizar y evaluar la situación existente para determinar los ámbitos susceptibles de mejora;
b) establecer los objetivos de mejora;
c) búsqueda de posibles soluciones para alcanzar los objetivos;
d) evaluar estas soluciones y hacer una selección;
e) aplicar la solución seleccionada;
f) medir, verificar, analizar y evaluar los resultados de la aplicación para determinar si se han cumplido los
objetivos;
g) formalizar los cambios.
Los resultados se revisan, en caso necesario, para determinar nuevas oportunidades de mejora. De este
modo, la mejora es una actividad continua, es decir, las acciones se repiten con frecuencia. Los
comentarios de los clientes y otras partes interesadas, las auditorías y la revisión del sistema de gestión
de la seguridad de la información también pueden utilizarse para identificar oportunidades de mejora.
4.6 Factores críticos de éxito del SGSI

Un gran número de factores son críticos para el éxito de la implantación de un SGSI que permita a
una organización cumplir sus objetivos empresariales. Algunos ejemplos de factores críticos para el éxito son
los siguientes:
a) política de seguridad de la información, objetivos y actividades alineados con los objetivos;
b) un enfoque y un marco para diseñar, implantar, supervisar, mantener y mejorar la seguridad de la
información en consonancia con la cultura de la organización;
c) apoyo y compromiso visibles de todos los niveles de gestión, especialmente de la alta dirección;
d) la comprensión de los requisitos de protección de los activos de información mediante la
aplicación de la gestión de riesgos de seguridad de la información (véase ISO/IEC 27005);
e) un programa eficaz de sensibilización, formación y educación en materia de seguridad de la
información, que informe a todos los empleados y otras partes interesadas de sus obligaciones
en materia de seguridad de la información establecidas en las políticas de seguridad de la
información, normas, etc., y les motive para actuar en consecuencia;
f) un proceso eficaz de gestión de incidentes de seguridad de la información;
g) un enfoque eficaz de gestión de la continuidad de las actividades;
h) un sistema de medición utilizado para evaluar el rendimiento en la gestión de la seguridad de la
información y aportar sugerencias de mejora.
Un SGSI aumenta la probabilidad de que una organización logre sistemáticamente los factores críticos de
éxito necesarios para proteger sus activos de información.
4.7 Ventajas de la familia de normas SGSI

Los beneficios de implantar un SGSI se derivan principalmente de la reducción de los riesgos para la
seguridad de la información (es decir, de la reducción de la probabilidad de que se produzcan incidentes
relacionados con la seguridad de la información y/o del impacto causado por los mismos).
Específicamente, los beneficios obtenidos para que una organización logre un éxito sostenible a partir de
la adopción de la familia de normas del SGSI incluyen los siguientes:
a) un marco estructurado de apoyo al proceso de especificación, implantación, funcionamiento y
mantenimiento de un SGSI completo, rentable, generador de valor, integrado y alineado que
reservados
ISO/IEC 27000:2018(E)
satisfaga las necesidades de la organización en las diferentes operaciones y emplazamientos;

8 reservados
ISO/IEC 27000:2018(E)
b) asistencia a la dirección para que gestione de forma coherente y responsable su enfoque de la

gestión de la seguridad de la información, en el contexto de la gestión de riesgos y la gobernanza
corporativas, incluida la educación y formación de los propietarios de empresas y sistemas sobre la
gestión holística de la seguridad de la información;
c) promoción de buenas prácticas de seguridad de la información aceptadas en todo el mundo de forma no
prescriptiva, dando a las organizaciones la libertad de adoptar y mejorar los controles pertinentes
que se adapten a sus circunstancias específicas y de mantenerlos frente a los cambios internos y
externos;
d) proporcionar un lenguaje común y una base conceptual para la seguridad de la información,
facilitando la confianza en los socios comerciales con un SGSI conforme, especialmente si requieren
la certificación de la norma ISO/IEC 27001 por un organismo de certificación acreditado;
e) aumento de la confianza de las partes interesadas en la organización;
f) satisfacer las necesidades y expectativas de la sociedad;
g) una gestión económica más eficaz de las inversiones en seguridad de la información.
5 Familia de normas SGSI
5.1 Información general

La familia de normas SGSI está formada por normas interrelacionadas, ya publicadas o en fase de
desarrollo, y contiene una serie de componentes estructurales significativos. Estos componentes se
centran en:
— normas que describen los requisitos del SGSI (ISO/IEC 27001);
— requisitos de los organismos de certificación (ISO/IEC 27006) para los que certifican la conformidad con
ISO/IEC 27001; y
— marco de requisitos adicionales para la aplicación del SGSI en sectores específicos (ISO/IEC 27009).
Otros documentos ofrecen orientaciones sobre diversos aspectos de la implantación de un SGSI,
abordando un proceso genérico así como orientaciones específicas para cada sector.
Las relaciones entre la familia de normas del SGSI se ilustran en la Figura 1.

reservados
ISO/IEC 27000:2018(E)
Norma de
vocabulario -
27000
Cláusula 5.2
Requisito
normas - 27001 27006 27009
Cláusula
Familia de normas SGSI
5.3
27002 27003 27004 27005 27007 TR 27008

Normas de orientación
-
Artículo 5.4 27013 27014 TR 27016 27021
Directrices sectoriales
- Cláusula 5.5 27010 27011 27017 27018 27019
Normas de directrices específicas de 2703x 2704x

control
(fuera del ámbito de este documento)
Figura 1 - ISMS famil y of standards relationships
Cada una de las normas de la familia SGSI se describe a continuación por su tipo (o función) dentro
de la familia de normas SGSI y su número de referencia.
5.2 Norma que describe una visión general y la terminología: ISO/IEC 27000 (este
documento)
Tecnologías de la información - Técnicas de seguridad - Sistemas de gestión de la seguridad de la
información - Panorama y vocabulario
Ámbito de aplicación: Este documento proporciona a organizaciones e individuos:
a) una visión general de la familia de normas del SGSI;
b) una introducción a los sistemas de gestión de la seguridad de la información
c) términos y definiciones utilizados en toda la familia de normas del SGSI.
Propósito: Este documento describe los fundamentos de los sistemas de gestión de la seguridad de
la información, que constituyen el objeto de la familia de normas SGSI, y define los términos
relacionados.
5.3 Normas que especifican los requisitos
5.3.1 ISO/IEC 27001
Tecnología de la información - Técnicas de seguridad - Sistemas de gestión de la seguridad de la

información - Requisitos
Alcance: Este documento especifica los requisitos para establecer, implementar, operar, monitorear, revisar,
mantener y mejorar los sistemas formalizados de gestión de seguridad de la información (SGSI) dentro del
contexto de los riesgos empresariales generales de la organización. Especifica los requisitos para la
implementación de controles de seguridad de la información adaptados a las necesidades de
0 reservados
ISO/IEC 27000:2018(E)
organizaciones individuales o partes de las mismas. Este documento puede ser utilizado por todas
las organizaciones, independientemente de su tipo, tamaño y naturaleza.

reservados
ISO/IEC 27000:2018(E)
Propósito: ISO/IEC 27001 proporciona requisitos normativos para el desarrollo y operación d e un

SGSI, incluyendo un conjunto de controles para el control y mitigación de los riesgos asociados con los
activos de información que la organización busca proteger operando su SGSI. Las organizaciones que
o p e r a n u n S G S I pueden tener su conformidad auditada y certificada. Los objetivos de control y los
controles de la norma ISO/IEC 27001:2013, Anexo A, se seleccionarán como parte de este proceso del
SGSI según corresponda para cubrir los requisitos identificados. Los objetivos de control y los controles
enumerados en la norma ISO/IEC 27001:2013, Tabla A.1 se derivan directamente de los enumerados en
la norma ISO/IEC 27002:2013, cláusulas 5 a 18, y están alineados con ellos.
5.3.2 ISO/IEC 27006

Tecnología de la información - Técnicas de seguridad - Requisitos para los organismos de auditoría y certificación
de los sistemas de gestión de la seguridad de la información
Alcance: Este documento especifica los requisitos y proporciona orientación para los organismos que
proporcionan auditoría y certificación de SGSI de acuerdo con la norma ISO/IEC 27001, además de los
requisitos contenidos en la norma ISO/IEC 17021. Su objetivo principal es apoyar la acreditación de los
organismos de certificación que proporcionan la certificación del SGSI de acuerdo con la norma
ISO/IEC 27001.
Los requisitos contenidos en este documento deben ser demostrados en términos de competencia y
fiabilidad por cualquier persona que proporcione la certificación del SGSI, y la orientación contenida en
este documento proporciona una interpretación adicional de estos requisitos para cualquier persona que
proporcione la certificación del SGSI.
Propósito: ISO/IEC 27006 complementa ISO/IEC 17021 al proporcionar los requisitos por los
cuales las organizaciones de certificación son acreditadas, permitiendo así a estas organizaciones
proporcionar certificaciones de cumplimiento de manera consistente contra los requisitos
establecidos en ISO/IEC 27001.
5.3.3 ISO/IEC 27009

Tecnología de la información - Técnicas de seguridad - Aplicación sectorial de la norma ISO/IEC 27001 -
Requisitos
Ámbito de aplicación: Este documento define los requisitos para el uso de ISO/IEC 27001 en
cualquier sector específico (campo, área de aplicación o sector de mercado). Explica cómo incluir
requisitos adicionales a los de ISO/IEC 27001, cómo refinar cualquiera de los requisitos de ISO/IEC 27001
y cómo incluir controles o conjuntos de controles además de ISO/IEC 27001:2013, Anexo A.
Finalidad: La norma ISO/IEC 27009 garantiza que los requisitos adicionales o perfeccionados no
entren en conflicto con los requisitos de la norma ISO/IEC 27001.
5.4 Normas que describen directrices generales
5.4.1 ISO/IEC 27002

Tecnología de la información - Técnicas de seguridad - Código de buenas prácticas para los controles de seguridad de
la información
Alcance: Este documento proporciona una lista de objetivos de control comúnmente aceptados y
controles de mejores prácticas para ser utilizados como guía de implementación al seleccionar e
implementar controles para lograr la seguridad de la información.
Propósito: ISO/IEC 27002 proporciona orientación sobre la implementación de controles de
seguridad de la información. Específicamente, las cláusulas 5 a 18 proporcionan consejos
específicos de implementación y orientación sobre las mejores prácticas en apoyo de los controles
especificados en ISO/IEC 27001:2013, A.5 a A.18.
5.4.2 ISO/IEC 27003

2 reservados
ISO/IEC 27000:2018(E)
Tecnología de la información - Técnicas de seguridad - Gestión de la seguridad de la información -Orientación
Ámbito de aplicación: Este documento proporciona explicaciones y orientaciones sobre la norma ISO/IEC
27001:2013.

reservados
ISO/IEC 27000:2018(E)
Propósito: ISO/IEC 27003 proporciona una base para la implementación exitosa del SGSI de
acuerdo con ISO/IEC 27001.
5.4.3 ISO/IEC 27004

Tecnología de la información - Técnicas de seguridad - Gestión de la seguridad de la información -
Seguimiento, medición, análisis y evaluación
Alcance: Este documento proporciona directrices destinadas a ayudar a las organizaciones a evaluar el
desempeño de la seguridad de la información y la eficacia del SGSI con el fin de cumplir con los
requisitos de la norma ISO/IEC 27001:2013, 9.1. Aborda:
a) el seguimiento y la medición del rendimiento de la seguridad de la información;
b) el seguimiento y la medición de la eficacia de un sistema de gestión de la seguridad de la
información (SGSI), incluidos sus procesos y controles;
c) el análisis y la evaluación de los resultados del seguimiento y la medición.
Objetivo: La norma ISO/IEC 27004 proporciona un marco que permite medir y evaluar la eficacia del
SGSI de conformidad con la norma ISO/IEC 27001.
5.4.4 ISO/IEC 27005
Tecnología de la información - Técnicas de seguridad - Gestión de riesgos para la seguridad de la

información
Ámbito de aplicación: Este documento proporciona directrices para la gestión de riesgos de
seguridad de la información. El enfoque descrito en este documento apoya los conceptos generales
especificados en la norma ISO/IEC 27001.
Propósito: ISO/IEC 27005 proporciona orientación sobre la implementación de un enfoque de gestión
de riesgos orientado a procesos para ayudar a implementar y cumplir satisfactoriamente los requisitos de
gestión de riesgos de seguridad de la información de ISO/IEC 27001.
5.4.5 ISO/IEC 27007

Tecnología de la información - Técnicas de seguridad - Directrices para la auditoría de los sistemas de
gestión de la seguridad de la información
Ámbito de aplicación: Este documento proporciona orientación sobre la realización de auditorías de
SGSI, así como orientación sobre la competencia de los auditores de sistemas de gestión de seguridad de
la información, además de la orientación contenida en la norma ISO 19011, que es aplicable a los
sistemas de gestión en general.
Propósito: ISO/IEC 27007 proporcionará orientación a las organizaciones que necesiten llevar a
cabo auditorías internas o externas de un SGSI o gestionar un programa de auditoría del SGSI en relación
con los requisitos especificados en la norma ISO/IEC 27001.
5.4.6 ISO/IEC TR 27008
Tecnología de la información - Técnicas de seguridad - Directrices para auditores sobre controles de

Alcance: Este documento proporciona orientación sobre la revisión de la implementación y el
funcionamiento de los controles, incluida la comprobación del cumplimiento técnico de los
controles del sistema de información, de conformidad con las normas de seguridad de la
información establecidas por una organización.
Objeto: El presente documento se centra en la revisión de los controles de seguridad de la información,
incluida la comprobación de la conformidad técnica, con respecto a una norma de aplicación de seguridad de

4 reservados
ISO/IEC 27000:2018(E)
la información establecida por la organización. No pretende proporcionar ninguna orientación específica sobre
la comprobación del cumplimiento en relación con la medición, la evaluación de riesgos o la auditoría de
un SGSI, tal como se especifica en las normas ISO/IEC 27004, ISO/IEC 27005 o ISO/IEC 27007,
respectivamente. Este documento no está destinado a auditorías de sistemas de gestión.

reservados
ISO/IEC 27000:2018(E)
5.4.7 ISO/IEC 27013

Tecnología de la información - Técnicas de seguridad - Orientaciones para la aplicación integrada de
ISO/IEC 27001 e ISO/IEC 20000-1
Ámbito de aplicación: Este documento proporciona orientación sobre la implementación integrada
de ISO/IEC 27001 e ISO/IEC 20000-1 para las organizaciones que pretendan:
a) implementar ISO/IEC 27001 cuando ISO/IEC 20000-1 ya está implementada, o viceversa;
b) aplicar conjuntamente las normas ISO/IEC 27001 e ISO/IEC 20000-1;
c) integrar los sistemas de gestión existentes basados en las normas ISO/IEC 27001 e ISO/IEC 20000-1.
Este documento se centra exclusivamente en la implantación integrada de un sistema de gestión de la
seguridad de la información (SGSI), tal y como se especifica en la norma ISO/IEC 27001, y un sistema de
gestión de servicios (SGS), tal y como se especifica en la norma ISO/IEC 20000-1.
En la práctica, ISO/IEC 27001 e ISO/IEC 20000-1 también pueden integrarse con otras normas de sistemas
de gestión, como ISO 9001 e ISO 14001.
Propósito: Proporcionar a las organizaciones una mejor comprensión de las características,
similitudes y diferencias de ISO/IEC 27001 e ISO/IEC 20000-1 para ayudar en la planificación de un
sistema de gestión integrado que se ajuste a ambas Normas Internacionales.
5.4.8 ISO/IEC 27014

Tecnologías de la información - Técnicas de seguridad - Gobernanza de la seguridad de la información
Ámbito de aplicación: Este documento proporcionará orientación sobre los principios y procesos
para el gobierno de la seguridad de la información, mediante los cuales las organizaciones pueden
evaluar, dirigir y supervisar la gestión de la seguridad de la información.
Objetivo: La seguridad de la información se ha convertido en una cuestión clave para las
organizaciones. No sólo hay cada vez más requisitos normativos, sino que el fallo de las medidas de
seguridad de la información de una o r g a n i z a c i ó n puede tener un impacto directo en la reputación de
la misma. Por lo tanto, los órganos de gobierno, como parte de sus responsabilidades de gobernanza,
están cada vez más obligados a supervisar la seguridad de la información para garantizar el logro de los
objetivos de la organización.
5.4.9 ISO/IEC TR 27016

Tecnología de la información - Técnicas de seguridad - Gestión de la seguridad de la información -
Economía de las organizaciones
Alcance: Este documento proporciona una metodología que permite a las organizaciones
comprender mejor económicamente cómo valorar con mayor precisión sus activos de información
identificados, valorar los riesgos potenciales para dichos activos de información, apreciar el valor
que los controles de protección de la información aportan a estos activos de información y
determinar el nivel óptimo de recursos que deben aplicarse para asegurar estos activos de
información.
Propósito: Este documento complementa la familia de normas SGSI superponiendo una perspectiva
económica en la protección de los activos de información de una organización en el contexto del entorno
social más amplio en el que opera una organización y proporcionando orientación sobre cómo aplicar la
economía organizacional de la seguridad de la información mediante el uso de modelos y ejemplos.
5.4.10 ISO/IEC 27021

Tecnología de la información - Técnicas de seguridad - Gestión de la seguridad de la información - Competencia
requisitos para los profesionales de los sistemas de gestión de la seguridad de la información

6 reservados
ISO/IEC 27000:2018(E)
Alcance: Este documento especifica los requisitos de competencia para los profesionales del SGSI que
dirigen o participan en el establecimiento, implementación, mantenimiento y mejora continua de uno o
más procesos del sistema de gestión de la seguridad de la información que se ajusta a la norma ISO/IEC
27001:2013.
Objeto: El presente documento está destinado a:
a) personas que deseen demostrar su competencia como profesionales de sistemas de gestión de la
seguridad de la información (SGSI), o que deseen comprender y alcanzar la competencia necesaria
para trabajar en este ámbito, así como que deseen ampliar sus conocimientos,
b) organizaciones que buscan posibles candidatos profesionales para el SGSI, con el fin de definir
las competencias necesarias para ocupar puestos relacionados con el SGSI,
c) organismos que desarrollen certificaciones para los profesionales del SGSI que necesiten un cuerpo
de conocimientos (BOK) para las fuentes de examen, y
d) organizaciones de educación y formación, como universidades e instituciones de formación
profesional, para que adapten sus planes de estudios y cursos a los requisitos de competencia de
los profesionales del SGSI.
5.5 Normas que describen directrices sectoriales
5.5.1 ISO/IEC 27010
Tecnología de la información - Técnicas de seguridad - Gestión de la seguridad de la información para

las comunicaciones intersectoriales e interorganizativas
Ámbito de aplicación: Este documento proporciona directrices adicionales a las ofrecidas en la familia
de normas ISO/IEC 27000 para implementar la gestión de la seguridad de la información en las
comunidades que comparten información.
Este documento proporciona controles y orientación específicamente relacionados con el inicio, la
implementación, el mantenimiento y la mejora de la seguridad de la información en las comunicaciones
entre organizaciones y entre sectores.
Objeto: El presente documento es aplicable a todas las formas de intercambio y puesta en común de
información sensible, t a n t o pública como privada, a escala nacional e internacional, dentro de un
mismo sector industrial o de mercado o entre sectores. En particular, puede ser aplicable a los
intercambios y puesta en común de información relativa al suministro, mantenimiento y protección de las
infraestructuras críticas de una organización o de un Estado.
5.5.2 ISO/IEC 27011

Tecnología de la información - Técnicas de seguridad - Código de buenas prácticas para los controles de
seguridad de la información basados en
sobre la norma ISO/IEC 27002 para organismos de telecomunicaciones
Ámbito de aplicación: Este documento proporciona directrices que apoyan la implementación de
controles de seguridad de la información en las organizaciones de telecomunicaciones.
Objeto: La norma ISO/IEC 27011 permite a las organizaciones de telecomunicaciones cumplir los
requisitos básicos de gestión de la seguridad de la información en materia de confidencialidad,
integridad, disponibilidad y cualquier otra propiedad de seguridad pertinente.
5.5.3 ISO/IEC 27017

Tecnología de la información - Técnicas de seguridad - Código de buenas prácticas para los controles de
seguridad de la información basados en
sobre ISO/IEC 27002 para servicios en nube

reservados
ISO/IEC 27000:2018(E)
Ámbito de aplicación: ISO/IEC 27017 da directrices para los controles de seguridad de la información
aplicables a la prestación y el uso de servicios en la nube proporcionando:
- orientación adicional para la aplicación de los controles pertinentes especificados en la norma ISO/IEC
27002;

8 reservados
ISO/IEC 27000:2018(E)
- controles adicionales con orientaciones de aplicación que se refieren específicamente a los servicios en nube.
Propósito: Este documento proporciona controles y guías de implementación tanto para
proveedores de servicios en la nube como para clientes de servicios en la nube.
5.5.4 ISO/IEC 27018

Tecnología de la información - Técnicas de seguridad - Código de buenas prácticas para la protección de los
datos de identificación personal
(PII) en nubes públicas que actúan como procesadores de PII
Alcance: ISO/IEC 27018 establece objetivos de control comúnmente aceptados, controles y
directrices para implementar medidas para proteger la información de identificación personal (PII)
de acuerdo con los principios de privacidad en ISO/IEC 29100 para el entorno de computación en nube
pública.
Finalidad: Este documento es aplicable a las organizaciones, incluidas empresas públicas y privadas,
entidades gubernamentales y organizaciones sin ánimo de lucro, que prestan servicios de tratamiento de
la información como procesadores de IIP a través de la computación en nube bajo contrato con otras
organizaciones. Las directrices de este documento también pueden ser relevantes para las organizaciones
que actúan como responsables del tratamiento de la IIP. Sin embargo, es posible que los responsables del
tratamiento de la IIP estén sujetos a legislación, reglamentos y obligaciones de protección de la IIP
adicionales, que no se aplican a los encargados del tratamiento de la IIP, y que no se tratan en el presente
documento.
5.5.5 ISO/IEC 27019

Tecnología de la información - Técnicas de seguridad - Controles de seguridad de la información para la
industria de servicios energéticos
Ámbito de aplicación: Este documento proporciona orientación basada en la norma ISO/IEC
27002:2013 aplicada a los sistemas de control de procesos utilizados por la industria de servicios públicos
de energía para controlar y supervisar la producción o generación, transmisión, almacenamiento y
distribución de energía eléctrica, gas, petróleo y calor, y para el control de los procesos de apoyo
asociados. Esto incluye, en particular, lo siguiente
— tecnología central y distribuida de control, supervisión y automatización de procesos, así como
sistemas de información utilizados para su funcionamiento, como dispositivos de programación y
parametrización;
— controladores digitales y componentes de automatización, como dispositivos de control y de
campo o controladores lógicos programables (PLC), incluidos elementos digitales de sensores y
actuadores;
— todos los sistemas de información de apoyo utilizados en el ámbito del control de procesos, por ejemplo,
para tareas complementarias de visualización de datos y para fines de control, supervisión, archivo de
datos, registro histórico, elaboración de informes y documentación;
— tecnología de comunicación utilizada en el ámbito del control de procesos, por ejemplo, redes,
telemetría, aplicaciones de telecontrol y tecnología de control remoto;
— componentes de infraestructura de medición avanzada (AMI), por ejemplo, contadores inteligentes;
— dispositivos de medición, por ejemplo para los valores de emisión;
— sistemas digitales de protección y seguridad, por ejemplo, relés de protección, PLC de seguridad,
mecanismos de gobernadores de emergencia;
— sistemas de gestión de la energía, por ejemplo de recursos energéticos distribuidos (DER),
infraestructuras de carga eléctrica, en hogares particulares, edificios residenciales o
instalaciones de clientes industriales;

reservados
ISO/IEC 27000:2018(E)
— componentes distribuidos de entornos de redes inteligentes, por ejemplo, en redes de energía, en
hogares particulares, edificios residenciales o instalaciones de clientes industriales;
— todo el software, firmware y aplicaciones instalados en los sistemas mencionados, por ejemplo,
aplicaciones DMS (sistema de gestión de la distribución) u OMS (sistema de gestión de cortes);
— cualquier local que albergue los equipos y sistemas mencionados;

0 reservados
ISO/IEC 27000:2018(E)
— sistemas de mantenimiento a distancia para los sistemas mencionados.

Este documento no se aplica al ámbito del control de procesos de las instalaciones nucleares. Este ámbito
está cubierto por la norma IEC 62645.
Este documento también incluye el requisito de adaptar los procesos de evaluación y tratamiento de
riesgos descritos en la norma ISO/IEC 27001:2013 a las orientaciones específicas para el sector de
los servicios públicos de energía proporcionadas en este documento.
Propósito: Además de los objetivos y medidas de seguridad que se establecen en la norma ISO/IEC
27002, este documento proporciona directrices para los sistemas utilizados por las empresas de servicios
públicos de energía y los proveedores de energía sobre los controles de seguridad de la información que
abordan otros requisitos especiales.
5.5.6 ISO 27799
Informática sanitaria - Gestión de la seguridad de la información sanitaria mediante la norma ISO/IEC 27002
Ámbito de aplicación: Este documento proporciona directrices para las normas de seguridad de la
información de la organización y las prácticas de gestión de seguridad de la información, incluyendo
la selección, implementación y gestión de controles teniendo en cuenta el entorno de riesgo de
seguridad de la información de la organización (s).
Este documento proporciona orientaciones para la aplicación de los controles descritos en la norma
ISO/IEC 27002 y los complementa cuando es necesario, de modo que puedan utilizarse eficazmente
para gestionar la seguridad de la información sanitaria.
Finalidad: La norma ISO 27799 ofrece a las organizaciones sanitarias una adaptación de las directrices
ISO/IEC 27002 exclusiva para su sector industrial que es adicional a la orientación proporcionada
para cumplir los requisitos de la norma ISO/IEC 27001:2013, anexo A.

reservados
ISO/IEC 27000:2018(E)
Bibliografía
[1] ISO 9000:2015, Sistemas de gestión de la calidad - Fundamentos y vocabulario

[2] ISO/IEC/IEEE 15939:2017, Ingeniería de sistemas y software - Proceso de medición.
[3] ISO/IEC 17021, Evaluación de la conformidad - Requisitos para los organismos de auditoría y certificación
de sistemas de gestión
[4] ISO 19011:2011, Directrices para la auditoría de sistemas de gestión
[5] ISO/IEC 20000-1:2011, Tecnología de la información - Gestión de servicios - Parte 1: Servicio
requisitos del sistema de gestión
[6] ISO/IEC 27001, Tecnología de la información - Técnicas de seguridad - Sistemas de gestión de la
seguridad de la información - Requisitos
[7] ISO/IEC 27002, Tecnología de la información - Técnicas de seguridad - Código de buenas prácticas para la
información
controles de seguridad
[8] ISO/IEC 27003, Tecnología de la información - Técnicas de seguridad - Gestión de la seguridad de la
información
- Orientación
[9] ISO/IEC 27004, Tecnología de la información - Técnicas de seguridad - Gestión de la seguridad
de la información - Seguimiento, medición, análisis y evaluación
[10] ISO/IEC 27005, Tecnología de la información - Técnicas de seguridad - Gestión de riesgos para
la seguridad de la información
[11] ISO/IEC 27006, Tecnología de la información - Técnicas de seguridad - Requisitos para organismos
auditoría y certificación de sistemas de gestión de la seguridad de la información
[12] ISO/IEC 27007, Tecnología de la información - Técnicas de seguridad - Directrices para la
auditoría de los sistemas de gestión de la seguridad de la información
[13] ISO/IEC TR 27008, Tecnología de la información - Técnicas de seguridad - Directrices para
auditores sobre controles de seguridad de la información
[14] ISO/IEC 27009, Tecnología de la información - Técnicas de seguridad - Aplicación sectorial
específica de la norma ISO/IEC 27001 - Requisitos
[15] ISO/IEC 27010, Information technology - Security techniques - Information security management
for inter-sector and inter-organizational communications (Tecnología de la información -
Técnicas de seguridad - Gestión de la seguridad de la información para comunicaciones
intersectoriales e interorganizacionales).
[16] ISO/IEC 27011, Information technology - Security techniques - Code of practice for information
security controls based on ISO/IEC 27002 for telecommunications organizations (Tecnología de
la información - Técnicas de seguridad - Código de buenas prácticas para los controles de
seguridad de la información basados en ISO/IEC 27002 para organizaciones de
telecomunicaciones).
[17] ISO/IEC 27013, Information technology - Security techniques - Guidance on the integrated
aplicación de las normas ISO/IEC 27001 e ISO/IEC 20000-1
[18] ISO/IEC 27014, Tecnología de la información - Técnicas de seguridad - Gobierno de la
[19] ISO/IEC TR 27016, Tecnología de la información - Técnicas de seguridad - Gestión de la
2 reservados
ISO/IEC 27000:2018(E)
seguridad de la información - Economía de la organización
[20] ISO/IEC 27017, Information technology - Security techniques - Code of practice for information
security controls based on ISO/IEC 27002 for cloud services (Tecnología de la información -
Técnicas de seguridad - Código de buenas prácticas para los controles de seguridad de la
información basados en ISO/IEC 27002 para los servicios en nube)
[21] ISO/IEC 27018, Information technology - Security techniques - Code of practice for protection of
personally identifiable information (PII) in public clouds acting as PII processors (Tecnología de
la información - Técnicas de seguridad - Código de prácticas para la protección de la información
de identificación personal (PII) en nubes públicas que actúan como procesadores de PII).

reservados
ISO/IEC 27000:2018(E)
[22] ISO/IEC 27019, Tecnología de la información - Técnicas de seguridad - Controles de seguridad

de la información para la industria de servicios energéticos
[23] ISO/IEC 27021, Tecnología de la información - Técnicas de seguridad - Requisitos de
competencia para
profesionales de los sistemas de gestión de la seguridad de la información
[24] ISO 27799, Health informatics - Information security management in health using ISO/IEC 27002
(Informática sanitaria - Gestión de la seguridad de la información sanitaria mediante ISO/IEC 27002)
[25] Guía ISO 73:2009, Gestión de riesgos - Vocabulario

4 reservados

Norma ISO - IEC 27000 - 2018

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Norma ISO - IEC 27000 - 2018

Cargado por

Copyright:

Formatos disponibles

NORMA ISO/IEC 27000:2018

Esta norma no forma parte

Tecnologías de la información - Técnicas de seguridad -

n o m b r e . Nota 3 a la e n t r a d a : "Evidencia de auditoría" y "criterios de auditoría" se definen en la norma ISO

[FUENTE: ISO/IEC/IEEE 15939:2017, 3.3, modificado - Se ha suprimido la nota 2 de la entrada].

Nota 3 a la entrada: Las consecuencias pueden expresarse cualitativa o

cuantitativamente. Nota 4 a la entrada: Las consecuencias iniciales pueden escalar

a través de efectos en cadena.

2 © ISO/IEC 2018 - Todos los derechos

[FUENTE: Guía ISO 73:2009, 3.8.1.1 - Se ha modificado la nota 2 de la entrada].

cualquier fuente. Nota 2 a la entrada: La información documentada puede referirse a

— el sistema de gestión (3.41), incluidos los procesos relacionados (3.54);

— información creada para que la organización (3.50) funcione (documentación);

— pruebas de los resultados obtenidos (registros).

causas. Nota 2 a la entrada: Un suceso puede consistir en que algo no ocurra.

Nota 3 a la entrada: Un suceso puede denominarse a veces "incidente" o "accidente".

[FUENTE: Guía ISO 73:2009, 3.5.1.3, modificada - Se ha suprimido la nota 4 de la entrada].

© ISO/IEC 2018 - Todos los derechos 3

[FUENTE: Guía ISO 73:2009, 3.3.1.1].

© ISO/IEC 2018 - Todos los derechos 5

— gobernanza, estructura organizativa, funciones y responsabilidades;

— políticas (3.53), objetivos (3.49) y estrategias para alcanzarlos;

— normas, directrices y modelos adoptados por la o r g a n i z a c i ó n ;

— forma y alcance de las relaciones contractuales.

[FUENTE: Guía ISO 73:2009, 3.3.1.2].

6 © ISO/IEC 2018 - Todos los derechos

— subjetiva: cuantificación que implica un juicio humano; y

— objetivo: cuantificación basada en reglas numéricas.

[FUENTE: ISO/IEC/IEEE 15939:2017, 3.21, modificado - Se ha suprimido la nota 2 de la entrada].

© ISO/IEC 2018 - Todos los derechos 7

8 © ISO/IEC 2018 - Todos los derechos

© ISO/IEC 2018 - Todos los derechos 9

1 © ISO/IEC 2018 - Todos los derechos

Nota 2 a la entrada: El riesgo residual también puede denominarse "riesgo retenido".

[FUENTE: Guía ISO 73:2009, 3.7.1.6].

[FUENTE: Guía ISO 73:2009, 3.6.1].

1 © ISO/IEC 2018 - Todos los derechos

— un proceso que influye en una decisión a través de la influencia y no del poder; y

— una aportación a la toma de decisiones, no una toma de decisiones conjunta.

[FUENTE: Guía ISO 73:2009, 3.3.1.3].

[FUENTE: Guía ISO 73:2009, 3.7.1].

[FUENTE: Guía ISO 73:2009, 3.5.1].

© ISO/IEC 2018 - Todos los derechos 13

[FUENTE: Guía ISO 73:2009, 3.1, modificada - Se ha añadido la Nota 1 a la entrada].

— evitar el riesgo decidiendo no iniciar o continuar con la actividad que lo origina;

— Asumir o aumentar el riesgo para aprovechar una oportunidad;

— eliminar la fuente de riesgo;

— cambiando la probabilidad (3.40);

— modificando las consecuencias (3.12);

— retener el riesgo mediante una elección informada.

1 © ISO/IEC 2018 - Todos los derechos

4 Sistemas de gestión de la seguridad de la información

4.2 ¿Qué es un SGSI?

4.2.1 Visión general y principios

1 © ISO/IEC 2018 - Todos los derechos

y mejorar la seguridad de la información de una organización para alcanzar los objetivos

4.2.3 Seguridad de la información

La seguridad de la información garantiza la confidencialidad, disponibilidad e integridad de la

1 © ISO/IEC 2018 - Todos los derechos

En términos de un SGSI, la gestión implica la supervisión y la toma de decisiones necesarias para

4.2.5 Sistema de gestión

4.3 Enfoque por procesos

4.4 Por qué es importante un SGSI