Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ADVERTENCIA
1 Alcance
Este documento proporciona una visión general de los sistemas de gestión de la seguridad de la
información (SGSI). También proporciona términos y definiciones de uso común en la familia de normas
SGSI. Este documento es aplicable a todos los tipos y tamaños de organización (por ejemplo, empresas
comerciales, agencias gubernamentales, organizaciones sin fines de lucro).
Los términos y definiciones que figuran en este documento
— abarcan términos y definiciones de uso común en la familia de normas del SGSI;
— no abarcan todos los términos y definiciones aplicados en la familia de normas del SGSI; y
— no limitan la familia de normas SGSI a la hora de definir nuevos términos de uso.
2 Referencias normativas
No hay referencias normativas en este documento.
3 Términos y definiciones
La ISO y la CEI mantienen bases de datos terminológicas para su uso en la normalización en las
siguientes direcciones:
— ISO Plataforma de navegación en línea: disponible en https://www.iso.org/obp
— IEC Electropedia: disponible en https://www.electropedia.org/
3.1
control de acceso
medios para garantizar que el acceso a los activos está autorizado y restringido en función de la
actividad empresarial y la seguridad.
requisitos (3,56)
3.2
ataque
intentar destruir, exponer, alterar, inutilizar, robar u obtener acceso no autorizado a un activo o hacer
un uso no autorizado del mismo
3.3
auditoría
proceso sistemático, independiente y documentado (3.54) para obtener pruebas de auditoría y
evaluarlas objetivamente para determinar en qué medida se cumplen los criterios de auditoría
Nota 1 a la entrada: Una auditoría puede ser una auditoría interna (primera parte) o una auditoría externa
(segunda o tercera parte), y puede ser una auditoría combinada (que combina dos o más disciplinas).
Nota 2 a la entrada: La auditoría interna es realizada por la propia organización o por una parte externa en su
19011.
© ISO/IEC 2018 - Todos los derechos 1
reservados
ISO/IEC 27000:2018(E)
3.4
alcance de la auditoría
alcance y límites de una auditoría (3.3)
[FUENTE: ISO 19011:2011, 3.14, modificado - Se ha suprimido la nota 1 de la entrada].
3.5
autenticación
garantía de que una característica declarada de una entidad es correcta
3.6
autenticidad
propiedad de que una entidad es lo que dice ser
3.7
disponibilidad
propiedad de ser accesible y utilizable a petición de una entidad autorizada
3.8
medida base
medida (3.42) definida en función de un atributo y del método para cuantificarlo
Nota 1 a la entrada: Una medida base es funcionalmente independiente de otras medidas.
Nota 2 a la entrada: Una consecuencia puede ser cierta o incierta y, en el contexto de la seguridad de la
información, suele ser negativa.
[FUENTE: Guía ISO 73:2009, 3.6.1.3, modificada - Se ha cambiado la nota 2 de la entrada después de "y"].
3.13
mejora continua
actividad recurrente para mejorar el rendimiento (3,52)
3.14
control
medida que modifica el riesgo (3.61)
Nota 1 a la entrada: Los controles incluyen cualquier proceso (3.54), política (3.53), dispositivo, práctica u otras
acciones que modifiquen
riesgo (3.61).
Nota 2 a la entrada: Es posible que los controles no siempre ejerzan el efecto modificador previsto o supuesto.
3.20
eficacia
grado de realización de las actividades previstas y de consecución de los resultados previstos
3.21
evento
ocurrencia o cambio de un conjunto particular de circunstancias
Nota 1 a la entrada: Un suceso puede ser una o varias ocurrencias, y puede tener varias
3.22
contexto externo
el entorno externo en el que la organización trata de alcanzar sus objetivos (3,49)
Nota 1 a la entrada: El contexto externo puede incluir lo siguiente:
— el entorno cultural, social, político, jurídico, reglamentario, financiero, tecnológico, económico, natural y
competitivo, ya sea internacional, nacional, regional o local;
— los principales impulsores y tendencias que repercuten en los objetivos de la organización (3,50);
— las relaciones con las partes interesadas externas, así como sus percepciones y valores (3.37).
3.25
indicador
medida (3.42) que proporciona una estimación o evaluación
3.26
necesidad de información
información necesaria para gestionar objetivos (3.49), metas, riesgos y
problemas [FUENTE: ISO/IEC/IEEE 15939:2017, 3.12].
3.27
instalaciones de tratamiento de la información
cualquier sistema, servicio o infraestructura de tratamiento de la información, o la ubicación física que lo alberga
3.28
seguridad de la información
preservación de la confidencialidad (3.10), integridad (3.36) y disponibilidad (3.7) de la información
Nota 1 a la entrada: Además, pueden intervenir otras propiedades, como la autenticidad (3.6), la rendición de
cuentas, el no repudio (3.48) y la fiabilidad (3.55).
3.29
continuidad de la seguridad de la información
procesos (3.54) y procedimientos para garantizar la continuidad de las operaciones de seguridad de la
información (3.28)
3.30
evento sobre seguridad de la información
aparición identificada de un estado del sistema, servicio o red que indique una posible violación de la
política de seguridad de la información (3.28) (3.53) o un fallo de los controles (3.14), o una situación
previamente desconocida que pueda ser relevante para la seguridad
3.31
incidente de seguridad de la información
un único evento o una serie de eventos de seguridad de la información no deseados o inesperados (3.30) que
tienen una probabilidad significativa de comprometer las operaciones de negocio y amenazar la seguridad de la
4 © ISO/IEC 2018 - Todos los derechos
reservados
ISO/IEC 27000:2018(E)
información (3.28)
3.32
gestión de incidentes de seguridad de la información
conjunto de procesos (3.54) para detectar, informar, evaluar, r e s p o n d e r , tratar y aprender
de incidentes relacionados con la seguridad de la información (3.31)
3.33
profesional del sistema de gestión de la seguridad de la información ( SGSI)
persona que establece, implanta, mantiene y mejora continuamente uno o más procesos del sistema de
gestión de la seguridad de la información (3.54)
3.34
comunidad de intercambio de información
grupo de organizaciones (3,50) que acuerdan compartir información
Nota 1 a la entrada: Una organización puede ser un individuo.
3.35
sistema de información
conjunto de aplicaciones, servicios, activos informáticos u otros componentes de tratamiento de la
información
3.36
integridad
propiedad de exactitud e integridad
3.37
parte interesada (término preferido)
parte interesada (término admitido)
persona u organización (3.50) que puede afectar, verse afectada o percibirse afectada por una decisión o
actividad
3.38
contexto interno
entorno interno en el que la organización (3,50) trata de alcanzar sus objetivos
Nota 1 a la entrada: El contexto interno puede incluir:
— las capacidades, entendidas en términos de recursos y conocimientos (por ejemplo, capital, tiempo, personas,
procesos (3.54), sistemas y tecnologías);
— sistemas de información (3.35), flujos de información y procesos de toma de decisiones (tanto formales como
informales);
— las relaciones con las partes interesadas internas, así como sus percepciones y valores (3.37);
— la cultura de la organización;
3.40
probabilidad
posibilidad de que algo ocurra
[FUENTE: Guía ISO 73:2009, 3.6.1.1, modificada - Se han eliminado las notas 1 y 2 de la entrada].
3.41
sistema de gestión
conjunto de elementos interrelacionados o interactuantes de una organización (3.50) para establecer políticas
(3.53) y
objetivos (3.49) y procesos (3.54) para alcanzarlos
Nota 1 a la entrada: Un sistema de gestión puede abordar una sola d i s c i p l i n a o varias.
Nota 2 a la entrada: Los elementos del sistema incluyen la estructura de la organización, las funciones y
responsabilidades, la planificación y el funcionamiento.
Nota 3 a la entrada: El alcance de un sistema de gestión puede incluir la totalidad de la organización, funciones
específicas e identificadas de la organización, secciones específicas e identificadas de la organización, o una o más
funciones a través de un grupo de organizaciones.
3.42
medir
variable a la que se asigna un valor como resultado de una medición (3.43)
[FUENTE: ISO/IEC/IEEE 15939:2017, 3.15, modificado - Se ha suprimido la nota 2 de la entrada].
3.43
medición
proceso (3.54) para determinar un valor
3.44
función de medición
algoritmo o cálculo realizado para combinar dos o más medidas base (3.8)
[FUENTE: ISO/IEC/IEEE 15939:2017, 3.20].
3.45
método de medición
secuencia lógica de operaciones, descrita genéricamente, utilizada para cuantificar un atributo con respecto a una
escala especificada
Nota 1 a la entrada: El tipo de método de medición depende de la naturaleza de las operaciones utilizadas para
cuantificar un
(3.4). Pueden distinguirse dos tipos:
3.47
no conformidad
incumplimiento de un requisito (3.56)
3.48
no repudio
3.49
objetivo
resultado que debe alcanzarse
Nota 1 a la entrada: Un objetivo puede ser estratégico, táctico u operativo.
Nota 2 a la entrada: Los objetivos pueden referirse a distintas disciplinas (como objetivos financieros, de salud
y seguridad, y medioambientales) y pueden aplicarse a distintos niveles [como estratégico, de toda la organización, de
proyecto, de producto y de proceso (3.54)].
Nota 3 a la entrada: Un objetivo puede expresarse de otras formas, por ejemplo, como un resultado previsto,
un propósito, un criterio operativo, como un objetivo de seguridad de la información o mediante el uso de otras palabras
con significado similar (por ejemplo, aim, goal o target).
Nota 4 a la entrada: En el contexto de los sistemas de gestión de la seguridad de la información, los objetivos de
seguridad de la información son establecidos por la o r g a n i z a c i ó n , en coherencia con la política de seguridad de
la información, para lograr resultados específicos.
3.50
organización
persona o grupo de personas que tiene sus propias funciones con responsabilidades, autoridades y
relaciones para lograr sus objetivos (3.49)
Nota 1 a la entrada: El concepto de organización incluye, entre otros, al comerciante individual, la sociedad, la
corporación, la firma, la empresa, la autoridad, la asociación, la organización benéfica o la institución, o parte o
combinación de ellas, estén o no constituidas en sociedad, sean públicas o privadas.
3.51
externalizar
llegar a un acuerdo por el que una organización externa (3.50) realice parte de la función de una
organización
o proceso (3.54)
Nota 1 a la entrada: Una organización externa queda fuera del alcance del sistema de gestión (3.41), aunque la
función o proceso externalizado está dentro del ámbito de aplicación.
3.52
rendimiento
resultado mensurable
Nota 1 a la entrada: El rendimiento puede referirse a resultados cuantitativos o cualitativos.
Nota 2 a la entrada: El rendimiento puede referirse a la gestión de actividades, procesos (3.54), productos
(incluidos los servicios), sistemas u organizaciones (3.50).
3.53
política
intenciones y dirección de una organización (3,50), expresadas formalmente por su alta dirección (3,75)
3.54
proceso
conjunto de actividades interrelacionadas o que interactúan entre sí y que transforman insumos en productos.
3.55
fiabilidad
propiedad del comportamiento y los resultados previstos coherentes
3.56
requisito
necesidad o expectativa declarada, generalmente implícita u obligatoria
Nota 1 a la entrada: "Generalmente implícita" significa que es costumbre o práctica común para la organización
y las partes interesadas que la necesidad o expectativa considerada esté implícita.
3.57
riesgo residual
riesgo (3,61) restante tras el tratamiento del riesgo (3,72)
Nota 1 a la entrada: El riesgo residual puede contener riesgo no identificado.
3.58
revise
actividad realizada para determinar la idoneidad, adecuación y eficacia (3.20) de la materia para alcanzar
los objetivos establecidos (3.49)
[FUENTE: Guía ISO 73:2009, 3.8.2.2, modificada - Se ha suprimido la nota 1 de la entrada].
3.59
objeto de revisión
punto específico que se examina
3.60
objetivo de revisión
declaración en la que se describa lo que se pretende conseguir como resultado de una revisión (3.59)
3.61
riesgo
efecto de la incertidumbre en los objetivos (3.49)
Nota 1 a la entrada: Un efecto es una desviación de lo esperado, positiva o negativa.
Nota 2 a la entrada: La incertidumbre es el estado, incluso parcial, de deficiencia de información relacionada con, la
comprensión o el conocimiento de, un evento, su consecuencia o probabilidad.
Nota 3 a la entrada: El riesgo se caracteriza a menudo por referencia a "sucesos" potenciales (según se definen en
la Guía ISO 73:2009, 3.5.1.3) y "consecuencias" (según se definen en la Guía ISO 73:2009, 3.6.1.3), o a una
combinación de los mismos.
Nota 4 a la entrada: El riesgo se expresa a menudo en términos de una combinación de las consecuencias de un
suceso (incluidos los cambios en las circunstancias) y la "probabilidad" asociada (tal como se define en la Guía ISO 73:2009,
3.6.1.1) de que ocurra.
Nota 5 a la entrada: En el contexto de los sistemas de gestión de la seguridad de la información, los riesgos de
seguridad de la información pueden expresarse como efecto de la incertidumbre sobre los objetivos de seguridad de
la información.
Nota 6 a la entrada: El riesgo de seguridad de la información se asocia con el potencial de que las amenazas exploten las
vulnerabilidades de un activo de información o grupo de activos de información y, por lo tanto, causen daño a
una organización.
3.62
aceptación del riesgo
decisión informada de asumir un determinado riesgo (3,61)
Nota 1 a la entrada: La aceptación del riesgo puede producirse sin tratamiento del riesgo (3.72) o durante el
proceso (3.54) de tratamiento del riesgo.
Nota 2 a la entrada: Los riesgos aceptados están sujetos a seguimiento (3.46) y revisión (3.58).
3.64
evaluación de riesgos
proceso global (3,54) de identificación de riesgos (3,68), análisis de riesgos (3,63) y evaluación de
riesgos (3,67)
[FUENTE: Guía ISO 73:2009, 3.4.1].
3.65
comunicación y consulta de riesgos
conjunto de procesos continuos e iterativos (3.54) que una organización lleva a cabo para proporcionar,
compartir u obtener información, y para entablar un diálogo con las partes interesadas (3.37) en relación con
la gestión del riesgo (3.61)
Nota 1 a la entrada: La información puede referirse a la existencia, naturaleza, forma, probabilidad (3.41),
importancia, evaluación, aceptabilidad y tratamiento del riesgo.
Nota 2 a la entrada: La consulta es un proceso bidireccional de comunicación informada entre una organización
(3.50) y sus partes interesadas sobre una cuestión antes de tomar una decisión o determinar una dirección al respecto.
La consulta es
3.66
criterios de riesgo
términos de referencia para evaluar la importancia del riesgo (3.61)
Nota 1 a la entrada: Los criterios de riesgo se basan en los objetivos de la organización y en el contexto externo
(3.22) e interno (3.38).
Nota 2 a la entrada: Los criterios de riesgo pueden derivarse de normas, leyes, políticas (3.53) y otros requisitos
(3.56).
Nota 2 a la entrada: La identificación de riesgos puede implicar datos históricos, análisis teóricos, opiniones
informadas y de expertos, y necesidades de las partes interesadas (3.37).
3.70
proceso de gestión de riesgos
aplicación sistemática de políticas de gestión (3.53), procedimientos y prácticas a las actividades de
comunicación, consulta, establecimiento del contexto e identificación, análisis, evaluación, tratamiento,
seguimiento y revisión del riesgo (3.61)
Nota 1 a la entrada: ISO/IEC 27005 utiliza el término "proceso" (3.54) para describir la gestión de riesgos en general. Los
elementos
dentro del proceso de gestión de riesgos (3.69) se denominan "actividades".
— compartir el riesgo con otra u otras partes (incluidos los contratos y la financiación del riesgo);
Nota 2 a la entrada: Los tratamientos de riesgos que tratan las consecuencias negativas se denominan a veces
"mitigación de riesgos", " eliminación de riesgos", "prevención de riesgos" y " reducción de riesgos".
Nota 3 a la entrada: El tratamiento de riesgos puede crear nuevos riesgos o modificar l o s existentes.
[FUENTE: Guía ISO 73:2009, 3.8.1, modificada - "decisión" se ha sustituido por "elección" en la Nota 1 a la
entrada].
3.73
norma de aplicación de la seguridad
documento en el que se especifican las formas autorizadas de realizar la seguridad
3.74
amenaza
causa potencial de un incidente no deseado, que puede resultar perjudicial para un sistema o una organización
(3.50)
3.75
alta dirección
persona o grupo de personas que dirige y controla una organización (3,50) al más alto nivel
Nota 1 a la entrada: La alta dirección tiene poder para delegar autoridad y proporcionar recursos dentro de la
organización.
Nota 2 a la entrada: Si el alcance del sistema de gestión (3.41) abarca sólo una parte de una organización, la alta
dirección se refiere a quienes dirigen y controlan esa parte de la o r g a n i z a c i ó n .
Nota 3 a la entrada: La alta dirección a veces se denomina dirección ejecutiva y puede incluir directores ejecutivos,
directores financieros, directores de información y funciones similares.
3.76
entidad de comunicación de información de confianza
organización autónoma (3.50) que apoya el intercambio de información dentro de una comunidad de
intercambio de información (3.34)
3.77
vulnerabilidad
debilidad de un activo o control (3.14) que puede ser explotada por una o más amenazas (3.74)
4.1 General
Organizaciones de todo tipo y tamaño:
a) recoger, procesar, almacenar y transmitir información;
b) reconocer que la información y los procesos, sistemas, redes y personas relacionados con ella
son activos importantes para alcanzar los objetivos de la organización;
c) se enfrentan a una serie de riesgos que pueden afectar al funcionamiento de los activos
d) abordar su exposición al riesgo percibido mediante la aplicación de controles de seguridad de la
información.
Toda la información que posee y procesa una organización está sujeta a amenazas de ataque, error,
naturaleza (por ejemplo, inundaciones o incendios), etc., y está sujeta a vulnerabilidades inherentes a su
uso. El término seguridad de la información se basa generalmente en considerar la información como un
activo que tiene un valor que requiere una protección adecuada, por ejemplo, contra la pérdida de
disponibilidad, confidencialidad e integridad. Permitir que la información precisa y completa esté
disponible en el momento oportuno para quienes tengan una necesidad autorizada es un catalizador de la
eficacia empresarial.
Proteger los activos de información mediante la definición, consecución, mantenimiento y mejora
eficaz de la seguridad de la información es esencial para que una organización pueda alcanzar sus
objetivos y mantener y mejorar su cumplimiento legal y su imagen. Estas actividades coordinadas
que dirigen la aplicación de controles adecuados y tratan los riesgos inaceptables para la seguridad de la
información se conocen generalmente como elementos de la gestión de la seguridad de la información.
Dado que los riesgos para la seguridad de la información y la eficacia de los controles cambian en
función de las circunstancias, las organizaciones deben:
a) supervisar y evaluar la eficacia de los controles y procedimientos aplicados;
b) identificar los riesgos emergentes que deben tratarse
c) seleccionar, aplicar y mejorar los controles adecuados según sea necesario.
Para interrelacionar y coordinar estas actividades de seguridad de la información, cada organización debe
establecer su política y objetivos de seguridad de la información y alcanzarlos eficazmente mediante
un sistema de gestión.
4.2.2 Información
La información es un activo que, al igual que otros activos empresariales importantes, es esencial para la
actividad de una organización y, en consecuencia, debe protegerse adecuadamente. La información
puede almacenarse de muchas formas, entre ellas: forma digital (por ejemplo, archivos de datos
almacenados en soportes electrónicos u ópticos), forma material (por ejemplo, en papel), así como
información no representada en forma de conocimientos de los empleados. La información puede
transmitirse por diversos medios: mensajería, comunicación electrónica o verbal. Sea cual sea la forma
que adopte la información o el medio por el que se transmita, siempre necesita una protección adecuada.
En muchas organizaciones, la información depende de la tecnología de la información y las
comunicaciones. Esta tecnología suele ser un elemento esencial de la organización y contribuye a
facilitar la creación, el tratamiento, el almacenamiento, la transmisión, la protección y la destrucción de
la información.
4.2.4 Gestión
La gestión implica actividades para dirigir, controlar y mejorar continuamente la organización dentro de
estructuras adecuadas. Las actividades de gestión incluyen el acto, la manera o la práctica de organizar,
© ISO/IEC 2018 - Todos los derechos 17
reservados
ISO/IEC 27000:2018(E)
manejar, dirigir, supervisar y controlar los recursos. Las estructuras de gestión abarcan desde una persona
en una organización pequeña hasta jerarquías de gestión compuestas por muchas personas en
organizaciones grandes.
Un sistema de gestión utiliza un marco de recursos para alcanzar los objetivos de una organización. El
sistema de gestión incluye la estructura organizativa, las políticas, las actividades de planificación, las
responsabilidades, las prácticas, los procedimientos, los procesos y los recursos.
En términos de seguridad de la información, un sistema de gestión permite a una organización:
a) satisfacer los requisitos de seguridad de la información de los clientes y otras partes interesadas;
b) mejorar los planes y actividades de una organización;
c) cumplir los objetivos de seguridad de la información de la organización;
d) cumplir la normativa, la legislación y los mandatos del sector; y
e) gestionar los activos de información de una forma organizada que facilite la mejora continua y
el ajuste a los objetivos actuales de la organización.
Una organización necesita llevar a cabo los siguientes pasos para establecer, supervisar, mantener y
mejorar su SGSI:
a) identificar los activos de información y sus requisitos de seguridad de la información asociados (véase 4.5.2);
b) evaluar los riesgos para la seguridad de la información (véase 4 .5.3) y tratar los riesgos para la seguridad de la
información (véase 4.5.4);
c) seleccionar y aplicar los controles pertinentes para gestionar los riesgos inaceptables (véase 4.5.5);
d) supervisar, mantener y mejorar la eficacia de los controles asociados a los activos de información de
la organización (véase 4.5.6).
Para garantizar que el SGSI protege eficazmente los activos de información de la organización de forma
continua, es necesario que los pasos a) a d) se repitan continuamente para identificar cambios en los
riesgos o en las estrategias u objetivos empresariales de la organización.
Antes de considerar el tratamiento de un riesgo, la organización debe definir criterios para determinar si
los riesgos pueden aceptarse o no. Los riesgos pueden aceptarse si, por ejemplo, se considera que el
riesgo es bajo o que el coste del tratamiento no es rentable para la organización. Tales decisiones deben
quedar registradas.
Para cada uno de los riesgos identificados tras la evaluación de riesgos, hay que tomar una decisión
de tratamiento del riesgo. Entre las posibles opciones de tratamiento del riesgo figuran las
siguientes:
a) aplicar controles adecuados para reducir los riesgos;
b) aceptar riesgos de forma consciente y objetiva, siempre que satisfagan claramente la política y los
criterios de la organización para la aceptación de riesgos;
c) evitar los riesgos no permitiendo acciones que los p r o v o q u e n ;
d) compartir los riesgos asociados con otras partes, por ejemplo aseguradoras o proveedores.
Para aquellos riesgos en los que la decisión de tratamiento del riesgo haya sido aplicar controles
adecuados, estos controles deben seleccionarse y aplicarse.
Una vez que se han identificado los requisitos de seguridad de la información (véase 4.5.2), se han
determinado y evaluado los riesgos de seguridad de la información para los activos de información
identificados (véase 4.5.3) y se han tomado las decisiones para el
Una organización necesita mantener y mejorar el SGSI a través del seguimiento y la evaluación del
desempeño frente a las políticas y objetivos de la organización, e informar de los resultados a la
dirección para su revisión. Esta revisión del SGSI comprueba que el SGSI incluye controles
especificados que son adecuados para tratar los riesgos dentro del alcance del SGSI. Además, basándose
en los registros de estas áreas supervisadas, proporciona pruebas de verificación y trazabilidad de las
acciones correctivas, preventivas y de mejora.
Norma de
vocabulario -
27000
Cláusula 5.2
Requisito
normas - 27001 27006 27009
Cláusula
Familia de normas SGSI
5.3
Directrices sectoriales
- Cláusula 5.5 27010 27011 27017 27018 27019
Cada una de las normas de la familia SGSI se describe a continuación por su tipo (o función) dentro
de la familia de normas SGSI y su número de referencia.
5.2 Norma que describe una visión general y la terminología: ISO/IEC 27000 (este
documento)
Tecnologías de la información - Técnicas de seguridad - Sistemas de gestión de la seguridad de la
información - Panorama y vocabulario
Ámbito de aplicación: Este documento proporciona a organizaciones e individuos:
a) una visión general de la familia de normas del SGSI;
b) una introducción a los sistemas de gestión de la seguridad de la información
c) términos y definiciones utilizados en toda la familia de normas del SGSI.
Propósito: Este documento describe los fundamentos de los sistemas de gestión de la seguridad de
la información, que constituyen el objeto de la familia de normas SGSI, y define los términos
relacionados.
Propósito: ISO/IEC 27003 proporciona una base para la implementación exitosa del SGSI de
acuerdo con ISO/IEC 27001.
Alcance: Este documento especifica los requisitos de competencia para los profesionales del SGSI que
dirigen o participan en el establecimiento, implementación, mantenimiento y mejora continua de uno o
más procesos del sistema de gestión de la seguridad de la información que se ajusta a la norma ISO/IEC
27001:2013.
Objeto: El presente documento está destinado a:
a) personas que deseen demostrar su competencia como profesionales de sistemas de gestión de la
seguridad de la información (SGSI), o que deseen comprender y alcanzar la competencia necesaria
para trabajar en este ámbito, así como que deseen ampliar sus conocimientos,
b) organizaciones que buscan posibles candidatos profesionales para el SGSI, con el fin de definir
las competencias necesarias para ocupar puestos relacionados con el SGSI,
c) organismos que desarrollen certificaciones para los profesionales del SGSI que necesiten un cuerpo
de conocimientos (BOK) para las fuentes de examen, y
d) organizaciones de educación y formación, como universidades e instituciones de formación
profesional, para que adapten sus planes de estudios y cursos a los requisitos de competencia de
los profesionales del SGSI.
- controles adicionales con orientaciones de aplicación que se refieren específicamente a los servicios en nube.
Propósito: Este documento proporciona controles y guías de implementación tanto para
proveedores de servicios en la nube como para clientes de servicios en la nube.
Informática sanitaria - Gestión de la seguridad de la información sanitaria mediante la norma ISO/IEC 27002
Ámbito de aplicación: Este documento proporciona directrices para las normas de seguridad de la
información de la organización y las prácticas de gestión de seguridad de la información, incluyendo
la selección, implementación y gestión de controles teniendo en cuenta el entorno de riesgo de
seguridad de la información de la organización (s).
Este documento proporciona orientaciones para la aplicación de los controles descritos en la norma
ISO/IEC 27002 y los complementa cuando es necesario, de modo que puedan utilizarse eficazmente
para gestionar la seguridad de la información sanitaria.
Finalidad: La norma ISO 27799 ofrece a las organizaciones sanitarias una adaptación de las directrices
ISO/IEC 27002 exclusiva para su sector industrial que es adicional a la orientación proporcionada
para cumplir los requisitos de la norma ISO/IEC 27001:2013, anexo A.
Bibliografía