Familia ISO 27xxx

Parte 3

Fecha 23/06/2023

COMENZAREMOS A LAS 10:00

 Familia ISO 27xxx
Parte 3

Fecha 23/06/2023

COMENZAREMOS EN 5 MINUTOS
Familia ISO 27xxx
Parte 3

Fecha 23/06/2023
Contenido
• 01 Introducción
• 02 ISO/IEC 27000:2018
• 03 ISO/IEC 27001:2022
• 04 ISO/IEC 27002:2022
• 05 ISO/IEC 27010:2015
• 06 ISO/IEC 27011:2016
• 07 ISO/IEC 27013:2021
• 08 ISO/IEC 27014:2020
• 09 ISO/IEC 27015:2012
• 10 ISO/IEC 27016:2014
• 09 ISO/IEC 27017:2015
• 10 ISO/IEC 27018:2019
• 11 ISO/IEC 27019:2017
01. Introducción
01. Introducción
• ISO: La Organización Internacional de Normalización es una
organización para la creación de estándares internacionales
compuesta por diversas organizaciones nacionales de
normalización.

• Norma ISO: Norma definida por la Organización Internacional de

Normalización que se aplica a productos y servicios.

• Dentro de ISO, el comité técnico JTC 1, y más concretamente el

subcomité 27, se encarga de desarrollas todas las normas
relacionadas con la seguridad de la información, ciberseguridad y
protección de la privacidad.

• Además de la familia ISO 27000, existen otros estándares

relacionados:
• ISO/IEC TR 5895:2022: Gestión de vulnerabilidades
• ISO/IEC 9797( de 1 a 3): Códigos de autenticación de
mensajes
• ISO/IEC 10118 (de 1 a 4): Funciones hash
• Etc.
01. Introducción

• Estos estándares pueden implantarse en cualquier tipo de

organización, permitiendo:
• Que todas las organizaciones empleen un lenguaje común
• Una implementación flexible de la seguridad en base a las
necesidades de cada organización.

• La familia de normas ISO 27000 está dirigida a la gestión de la

seguridad de la información.

• Está compuesta por más de 48 estándares.

02. ISO 27000:2018

• Única de carácter gratuito.

• Proporciona una descripción general de los sistemas de gestión de
seguridad de la información (SGSI). También proporciona términos y
definiciones comúnmente utilizados en la familia de estándares
SGSI. Este documento es aplicable a todos los tipos y tamaños de
organizaciones (por ejemplo: empresa privada, Administración
Pública, organizaciones sin ánimo de lucro).
• Los términos y definiciones proporcionados en este documento no
pretenden:
• cubrir todos los términos y definiciones aplicados dentro de la
familia de estándares SGSI;
• limitar la familia de estándares SGSI en la definición de nuevos
términos de uso.
03. ISO / IEC 27001:2022

• Seguridad de la información, ciberseguridad y protección de la

privacidad — Sistemas de gestión de la seguridad de la información
— Requisitos
• Norma de seguridad de la información por excelencia desarrollada
por la Organización Internacional para la Estandarización (ISO:
“International Organization for Standardization”) y por la Comisión
Electrotécnica Internacional (IEC: “International Electrotechnical
Commission”).
• La estructura de la ISO 27001 es común con la de otras normas de
referencia como ISO 9001 (calidad), ISO 14001 (medio ambiente),
etc. y otras específicas de TI como, por ejemplo: Servicios de TI
(ISO 20000-1)
• Es la base para implantar el conjunto de normas relacionadas con
Seguridad de la Información, como pueden ser ISO 27017
(seguridad en la nube), ISO 27018 (Protección y seguridad de la
información), o ISO 27701 (privacidad de la información).
04. ISO / IEC 27002:2022.

• Seguridad de la información, ciberseguridad y protección de la

privacidad — Controles de seguridad de la información
• Guía de buenas prácticas.
• Describe los objetivos de control y controles recomendables en
cuanto a seguridad de la información.
• No es certificable.
• Consta de 93 controles:
• 37 relativos a organización.
• 8 relativos a personal.
• 14 relativos a infraestructura física
• 24 relativos a tecnología.
05. ISO / IEC 27010:2015

• Tecnologías de la información — Técnicas de seguridad — Gestión

de la seguridad de la información para las comunicaciones
intersectoriales e interinstitucionales.
• Se revisó y confirmó en 2021, por lo que es la versión vigente.
• Guía y principios generales sobre los métodos, modelos, procesos,
controles y demás mecanismos para realizar el intercambio de
información de una manera segura, garantizando la confianza y el
entendimiento, respetando los principios de seguridad de la
información.
• Es aplicable a todas las formas de intercambio y difusión de
información sensible, tanto públicas como privadas, a nivel nacional
e internacional, dentro de la misma industria o sector de mercado o
entre sectores. En particular, puede ser aplicable a los intercambios
de información y participación en relación con el suministro,
mantenimiento y protección de una organización o de
infraestructuras críticas.
• Las pautas contenidas en este estándar se suman y complementan
a las recogidas en ISO27001 y 27002.
06. ISO / IEC 27011:2016

• Tecnología de la información — Técnicas de seguridad — Código de

prácticas para los controles de seguridad de la información basado
en ISO/IEC 27002 para organizaciones de telecomunicaciones.

• En fase de borrador 27011:2023 (Q3).

• Nuevo subtítulo:
• Seguridad de la información, ciberseguridad y protección de la
privacidad—Controles de seguridad de la información basados
en ISO/IEC 27002 para organizaciones de telecomunicaciones

• Facilita controles y orientación para su implementación en empresas

de telecomunicaciones. Consolida la privacidad, disponibilidad e
integridad de las infraestructuras y servicios de estas empresas.
07. ISO / IEC 27013:2021

• Seguridad de la información, ciberseguridad y protección de la

privacidad: orientación sobre la implementación integrada de
ISO/IEC 27001 e ISO/IEC 20000-1.

• Está orientado a:

a) implementar ISO/IEC27001 cuando ISO/IEC 20000-1 ya

está implementado, o viceversa;

b) implementar ISO/IEC27001 e ISO/IEC 20000-1 juntas;

c) integrar los sistemas de gestión existentes basados en

ISO/IEC27001 e ISO/IEC 20000-1.
07. ISO / IEC 27013:2021

Beneficios de la implantación conjunta:

• Proporcionar servicio a clientes externos e internos de una
organización de TI, con calidad, ciberseguridad y sostenibilidad.
• Reforzar la confianza de los clientes internos o externos en la
eficiencia y la seguridad de los servicios de TI de una organización.
• Orientación de la seguridad de los sistemas de información a los
servicios de TI.
• Integración en el análisis de riesgos de los servicios y de los activos
que sustentan estos servicios (servicios/activos/análisis y gestión de
riesgos/controles a aplicar).
• Integración del ciclo de mejora continua (PDCA) para los dos
sistemas, considerando los servicios de TI.
• Menor coste al integrar dos sistemas de gestión.
• Eliminación de la duplicidad innecesaria de procesos.
07. ISO / IEC 27014:2020

• Seguridad de la información, ciberseguridad y protección de la

privacidad — Gobernanza de la seguridad de la información

• Proporciona orientación sobre conceptos, objetivos y procesos para

el gobierno de la seguridad de la información, mediante los cuales
las organizaciones pueden evaluar, dirigir, monitorear y comunicar
sus procesos relacionados con la seguridad de la información.
• Indica seis principios de gobiernos de la seguridad de información:
1.Establecer seguridad de la información en toda la empresa.
2.Seguir un enfoque basado en el riesgo
3.Establecer la dirección de las decisiones de inversión
4.Confirmar el cumplimento de los requisitos externos e internos.
5.Promover un ambiente de seguridad positiva.
6.Evidenciar el rendimiento en relación con los resultados del
negocio.
07. ISO / IEC 27014:2020

• Beneficios:
• Ofrecer un valor empresarial a las personas interesadas.
• Conseguir el cumplimiento de los requisitos contractuales y
reglamentarios.
• Fomentar la supervisión a nivel de consejo de seguridad de la
información
• Conseguir una gestión que sea eficaz
• Invertir en seguridad de la información de una forma más
efectiva y focalizada.
07. ISO / IEC TR 27015:2012

• Tecnología de la información - Técnicas de seguridad - Directrices de

gestión de la seguridad de la información para los servicios
financieros.

• Proporciona orientación sobre seguridad de la información que

complementa y además de los controles de seguridad de la
información definidos en ISO/IEC 27002:2005 para iniciar,
implementar, mantener y mejorar la seguridad de la información
dentro de las organizaciones que brindan servicios financieros.
08. ISO / IEC TR 27016:2014

• Tecnología de la información — Técnicas de seguridad — Gestión de

la seguridad de la información — Economía organizacional

• Es un informe técnico (technical report – TR), no un estándar.

• Proporciona pautas sobre cómo una organización puede tomar

decisiones para proteger la información y comprender las
consecuencias económicas de estas decisiones en el contexto de
requisitos competitivos de recursos.

• Busca ser de ayuda para:

• Analizar iniciativas de gestión de la seguridad de la información

• Predecir resultados financieros de las decisiones tomadas

respecto a seguridad de la información
09. ISO / IEC 27017:2015

• Tecnología de la información — Técnicas de seguridad — Código de

prácticas para controles de seguridad de la información basado en
ISO/IEC 27002 para servicios en la nube

• Esta versión se revisó y confirmó en 2021, por lo que permanece

vigente.

• Guía para la implantación de los controles de seguridad de la

información aplicables a la provisión y el uso de servicios en la nube,
tanto para proveedores de servicios en la nube como para clientes.

• Proporciona:

• Orientación de implementación adicional para los controles

relevantes especificados en ISO/IEC 27002;

• Controles adicionales que se relacionan específicamente con

los servicios en la nube.
09. ISO / IEC 27017:2015

Estructurado de forma similar a ISO/IEC 27002:

• Cuando los objetivos y controles especificados en la ISO / IEC 27002

son aplicables sin necesidad de información adicional, solo se
proporciona una referencia a la ISO 27002.

• Cuando se necesita un control con guía de implementación además

de los de ISO / IEC 27002, se incluyen en el Anexo A: Conjunto de
control extendido del servicio de Cloud Computing.
09. ISO / IEC 27017:2015

Presenta siete nuevos controles relacionados con los siguientes

aspectos:
• Qué responsabilidades corresponden al proveedor de servicios
en la nube y cuáles a sus clientes
• Retirada y devolución de recursos cuando finaliza un contrato
• Protección y separación del entorno virtual del cliente
• Configuración de máquinas virtuales
• Operaciones y procedimientos administrativos asociados con el
entorno en la nube
• Monitorización de las actividades en la nube por parte de los
clientes
• Alineación de entornos de red virtuales y en la nube
10. ISO / IEC 27018:2019

• Tecnología de la información — Técnicas de seguridad — Código de

prácticas para la protección de información de identificación personal
(PII) en nubes públicas que actúan como procesadores de PII Es una
especificación técnica (TS)

• Establece objetivos de control, controles y pautas comúnmente

aceptados para implementar medidas para proteger la información
de identificación personal (PII) en línea con los principios de
privacidad en ISO/IEC 29100 para el entorno de computación en la
nube pública. NO
• Estas pautas pueden ser relevantes para las organizaciones que
actúan como controladores de PII. Sin embargo, los controladores de
PII pueden estar sujetos a leyes, reglamentos y obligaciones
adicionales de protección de PII, que no se aplican a los
procesadores de PII. Este documento no pretende cubrir tales
obligaciones adicionales.
10. ISO / IEC 27018:2019

Estructurado de forma similar a ISO/IEC 27002:

• Cuando los objetivos y controles especificados en la ISO / IEC 27002

son aplicables sin necesidad de información adicional, solo se
proporciona una referencia a la ISO 27002.

• Cuando se necesita un control con guía de implementación además

de los de ISO / IEC 27002, se incluyen en el mismo control
10. ISO / IEC 27018:2019

Contine ocho nuevos principios o controles específicos de

privacidad de la información, aplicables al gestor de datos en la
nube y el modo de implantarlos
• Consentimiento y elección
• Propósito de legitimidad y especificación
• Minimización de los datos
• Límite de uso, retención y divulgación
• Apertura, trasparencia y notificación
• Responsabilidad
• Seguridad de la Información
• Cumplimiento de la privacidad
11. ISO / IEC 27019:2017

• Tecnología de la información. Técnicas de seguridad. Controles de

seguridad de la información para la industria de servicios públicos de
energía.
• Esta versión se revisó y confirmó en 2022, por lo que permanece
vigente.
• Proporciona una guía basada en ISO/IEC 27002:2013 aplicada a los
sistemas de control de procesos utilizados por la industria de
servicios públicos de energía para controlar y monitorear la
producción o generación, transmisión, almacenamiento y distribución
de energía eléctrica, gas, petróleo y calor, y para el control de
procesos de apoyo asociados.

• No se aplican al dominio de control de procesos de las instalaciones

nucleares. Este dominio está cubierto por IEC 62645.
11. ISO / IEC 27019:2017

Esto incluye, ente otro, lo siguiente:

• Tecnología de control, supervisión y automatización de procesos
centralizados y distribuidos, (dispositivos de programación y
parametrización, etc.);
• Controladores digitales y componentes de automatización, como
dispositivos de control y de campo o controladores lógicos
programables (PLC), incluidos sensores digitales y elementos
actuadores;
• Todos los demás sistemas de información de apoyo utilizados en el
dominio de control de procesos;
• Tecnología de comunicación utilizada en el dominio de control de
procesos, p. redes, telemetría, aplicaciones de telecontrol y
tecnología de control remoto;
• Componentes de infraestructura de medición avanzada (AMI), p.
contadores inteligentes;
11. ISO / IEC 27019:2017

• Dispositivos de medición, p. para valores de emisión

• Sistemas digitales de protección y seguridad, p. relés de protección,
PLCs de seguridad, mecanismos de gobernador de emergencia;
• Sistemas de gestión de la energía, p. de Recursos Energéticos
Distribuidos (DER), infraestructuras de carga eléctrica, en viviendas
particulares, edificios residenciales o instalaciones de clientes
industriales;generación de informes y documentación;
• Componentes distribuidos de entornos de redes inteligentes, p. en redes
de energía, en viviendas particulares, edificios residenciales o
instalaciones de clientes industriales;
• Todo el software, firmware y aplicaciones instaladas en los sistemas
mencionados anteriormente, p. aplicaciones DMS (Distribution
Management System) u OMS (Outage Management System);
• Cualquier local que albergue los equipos y sistemas antes mencionados;
• Sistemas de telemantenimiento de los sistemas mencionados.
Resumen de estándares
de la familia ISO 27x
Resumen de estándares
de la familia ISO 27x
 hono.diez@eqa.es

DIRECCIÓN TELÉFONO EMAIL

Calle Joaquín Bau nº 2 | 1ª Planta 913078648 info@eqa.es

Escalera Derecha | 28036 Madrid

EQAGrupo grupo-eqa grupo-eqa