Familia ISO 27xxx

Parte 2

Fecha 26/05/2023

COMENZAREMOS A LAS 12:00

 Familia ISO 27xxx
Parte 2

Fecha 26/05/2023

COMENZAREMOS EN 5 MINUTOS
Familia ISO 27xxx
Parte 2

Fecha 26/05/2023
Contenido

• 01 Introducción
• 02 ISO/IEC 27000:2018
• 03 ISO/IEC 27001:2022
• 04 ISO/IEC 27002:2022
• 05 ISO/IEC 27003:2017
• 06 ISO/IEC 27004:2016
• 07 ISO/IEC 27005:2022
• 08 ISO/IEC 27006:2015
• 09 ISO/IEC 27007:2020
• 10 ISO/IEC 27008:2019
• 09 ISO/IEC 27009:2020
01. Introducción
01. Introducción
• ISO: La Organización Internacional de Normalización es una
organización para la creación de estándares internacionales
compuesta por diversas organizaciones nacionales de
normalización.

• Norma ISO: Norma definida por la Organización Internacional de

Normalización que se aplica a productos y servicios.

• Dentro de ISO, el comité técnico JTC 1, y más concretamente el

subcomité 27, se encarga de desarrollas todas las normas
relacionadas con la seguridad de la información, ciberseguridad y
protección de la privacidad.

• Además de la familia ISO 27000, existen otros estándares

relacionados:
• ISO/IEC TR 5895:2022: Gestión de vulnerabilidades
• ISO/IEC 9797( de 1 a 3): Códigos de autenticación de
mensajes
• ISO/IEC 10118 (de 1 a 4): Funciones hash
• Etc.
01. Introducción
01. Introducción

• Estos estándares pueden implantarse en cualquier tipo de

organización, permitiendo:
• Que todas las organizaciones empleen un lenguaje común
• Una implementación flexible de la seguridad en base a las
necesidades de cada organización.

• La familia de normas ISO 27000 está dirigida a la gestión de la

seguridad de la información.

• Está compuesta por más de 48 estándares.

01. Introducción
01. Introducción

• Estándares retirados o ajenos:

• ISO/IEC TR 27015:2012 Information technology — Security
techniques — Information security management guidelines
for financial services [Withdrawn]
• ISO 27020:2019 Dentistry — Brackets and tubes for use in
orthodontics
• ISO/DIS 27025 Space systems — Programme management
— Quality assurance requirements [Under development]
• ISO 27027:2014 Aerospace — Solid-state remote power
controllers — General performance requirements
• ISO/IEC DIS 27034-4 Information technology — Security
techniques — Application security — Part 4: Validation and
verification [Deleted]
• ISO/IEC WD 27045 Information technology — Big data
security and privacy — Processes [Deleted]
02. ISO 27000:2018

• Única de carácter gratuito.

• Proporciona una descripción general de los sistemas de gestión de
seguridad de la información (SGSI). También proporciona términos y
definiciones comúnmente utilizados en la familia de estándares
SGSI. Este documento es aplicable a todos los tipos y tamaños de
organizaciones (por ejemplo: empresa privada, Administración
Pública, organizaciones sin ánimo de lucro).
• Los términos y definiciones proporcionados en este documento no
pretenden:
• cubrir todos los términos y definiciones aplicados dentro de la
familia de estándares SGSI;
• limitar la familia de estándares SGSI en la definición de nuevos
términos de uso.
03. Apartados ISO 27000:2018

• 3. Definición de 77 términos.
• 4. Descripción de un SGSI
• 4. Introducción a la implantación de un SGSI
• 5.3. Requisitos específicos del estándar
• 27001: Certificable
• 27006: Requisitos para la certificación.
• 27009: Forma de incluir requisitos adicionales a los de la ISO
27001.
• 5.4. Descripción de requisitos generales
• 27002: Guía de buenas prácticas para la implementación del
anexo A de la ISO 27001.
• 27003: Guía para la implantación de la ISO 27001
• 27004: Directrices para el buen cumplimiento del punto “9.1
Seguimiento, medición, análisis y evaluación”
03. ISO / IEC 27001:2022

• Seguridad de la información, ciberseguridad y protección de la

privacidad — Sistemas de gestión de la seguridad de la información
— Requisitos
• Norma de seguridad de la información por excelencia desarrollada
por la Organización Internacional para la Estandarización (ISO:
“International Organization for Standardization”) y por la Comisión
Electrotécnica Internacional (IEC: “International Electrotechnical
Commission”).
• La estructura de la ISO 27001 es común con la de otras normas de
referencia como ISO 9001 (calidad), ISO 14001 (medio ambiente),
etc. y otras específicas de TI como, por ejemplo: Servicios de TI
(ISO 20000-1)
• Es la base para implantar el conjunto de normas relacionadas con
Seguridad de la Información, como pueden ser ISO 27017
(seguridad en la nube), ISO 27018 (Protección y seguridad de la
información), o ISO 27701 (privacidad de la información).
03. ISO / IEC 27001:2022

• Se puede aplicar en cualquier tipo de organización (empresa de

producción, empresa de servicios, administración pública,
organización sin ánimo de lucro, etc.).

• Su objetivo es establecer un modelo de Sistema de Gestión con

reconocimiento internacional, que asegure la confidencialidad,
integridad y disponibilidad de la información de una organización y
de los sistemas y aplicaciones que la tratan.

• Se basa en implementar una metodología de trabajo teniendo en

cuenta los siguientes principios:
• Enfoque al cliente
• Liderazgo
• Participación del personal
• Enfoque basado en procesos
• Enfoque de sistema para la gestión
• Mejora continua
• Toma de decisiones basada en la evidencia
• Gestión de las relaciones
03. ISO / IEC 27001:2022. Apartados

• 4. Contexto de la organización: Contexto, necesidades de partes

interesadas, alcance y SGSI
• 5. Liderazgo: Liderazgo y compromiso; política; roles,
responsabilidades y autoridades.
• 6. Planificación:
• 6.1 Acciones para abordar riesgos y oportunidades: General;
evaluación de riesgos de seguridad de la información;
tratamiento de riesgos de seguridad de la información.
• 6.2 Objetivos de seguridad de la información y planificación
para lograrlos.
• 6.3 Planificación de cambios.
• 7. Apoyo: Recursos, competencia, Concienciación, Comunicación
información documentada
03. ISO / IEC 27001:2022. Apartados

• 8. Operación:
• 8.1 Planificación y control operacional
• 8.2 Apreciación de los riesgos de seguridad de la información
• 8.3 Tratamiento de los riesgos de seguridad de la información

• 9. Evaluación del desempeño: Seguimiento, evaluación, análisis y

medición; auditoría interna; Revisión por la dirección..
• 10. Mejora: Mejora continua; no conformidades y acciones
correctivas
• Anexo A (Se corresponde con ISO/IEC 27002:2022):
• Controles organizacionales
• Controles relativos a personal
• Controles físicos
• Controles tecnológicos
04. ISO / IEC 27002:2022.

• Seguridad de la información, ciberseguridad y protección de la

privacidad — Controles de seguridad de la información
• Guía de buenas prácticas.
• Describe los objetivos de control y controles recomendables en
cuanto a seguridad de la información.
• No es certificable.
• Consta de 93 controles:
• 37 relativos a organización.
• 8 relativos a personal.
• 14 relativos a infraestructura física
• 24 relativos a tecnología.
05. ISO / IEC 27003:2017

• Tecnología de la información — Técnicas de seguridad — Sistemas

de gestión de la seguridad de la información — Orientación

• Guía para la implantación de un SGSI

• Orientación sobre los requisitos para un sistema de gestión de

seguridad de la información (SGSI) como se especifica en ISO / IEC
27001 y proporciona recomendaciones (‘debería’), posibilidades
(‘puede’) y permisos (‘puede’) en relación con ellos.

• Las cláusulas 4 a 10 de este documento reflejan la estructura de

ISO / IEC 27001: 2013 (UNE de 2017).
06. ISO / IEC 27004:2016

• ISO/IEC 27004:2016 Tecnología de la información — Técnicas de

seguridad — Gestión de la seguridad de la información —
Monitoreo, medición, análisis y evaluación.

• No es certificable.

• Guía para el desarrollo y utilización de técnicas de medida y

métricas que son aplicables a la determinación de la eficacia de
un Sistema de Gestión de Seguridad de la Información y los
controles relacionados.
• Establece:
• Monitorización y medición del rendimiento de la seguridad de la
información.
• Monitorización y medición de la efectividad de un Sistema de Gestión de
la Seguridad de la Información (SGSI), incluidos procesos y controles.
• Análisis y evaluación de los resultados de monitorización y medición.
06. ISO / IEC 27004:2016

• Etapas planteadas por ISO-27004 con el fin de medir y evaluar la

eficacia de la seguridad de la información:
1. Elegir los objetivos y procesos de medición.
2. Describir las líneas principales.
3. Elegir los datos.
4. Desarrollo del sistema de medición.
5. Interpretar los valores medidos.
6. Notificar dichos valores.
07. ISO / IEC 27005:2022

• Seguridad de la información, ciberseguridad y protección de la

privacidad: orientación sobre la gestión de los riesgos de seguridad
de la información.

• Establece las diferentes directrices para la gestión de los Riesgos en

la Seguridad de la Información.

• Se alinea la terminología con ISO 31000:2018.

• Se consideran escenarios de riesgos con enfoque para la

identificación de los riesgos.

• Se puede aplicar a todo tipo de organizaciones que tienen la

intención de gestionar todos los riesgos que se puedan dar en la
empresa en temas de seguridad de la información.
07. ISO / IEC 27005:2022
07. ISO / IEC 27005:2022

• ISO 27005 no facilita una metodología concreta de análisis de

riesgos: describe mediante sus cláusulas el proceso
recomendado de análisis incluyendo las fases que lo conforman:
08. ISO / IEC 27006:2015

• Tecnología de la información. Técnicas de seguridad. Requisitos

para los organismos que proporcionan auditoría y certificación de los
sistemas de gestión de la seguridad de la información.
• Establece requisitos formales para las organizaciones acreditadas
que certifican que otras organizaciones cumplen con ISO/IEC 27001
• Conocimientos requeridos a los auditores sobre:
•Monitoreo, medición, análisis y evaluación del SGSI.
•Seguridad de información.
•Sistemas de gestión.
•Principios de auditoría.
•Conocimiento técnico de los sistemas a auditar.
•Gestión empresarial.
• Requisitos legales y reglamentarios.
• Requisitos para personal que revisa auditorías y/o realiza tomas de
decisión.
09. ISO / IEC 27007:2020

• Seguridad de la información, ciberseguridad y protección de la

privacidad. Directrices para la auditoría de los sistemas de gestión
de la seguridad de la información.
• Guía de auditoría de un Sistema de Gestión de Seguridad de la
información, complemento de la norma 19011, de aplicación general
a auditorías de sistemas de gestión.
• No es certificable.
• Estándar tanto para auditorías internas como externas.
• Cubre todas las partes específicas de un SGSI:
• Control del programa de auditoría del SGSI (determinar los
puntos de la auditoría, cómo y cuándo hacer la auditoría,
encontrar los riesgos de la auditoría, decidir quién debe
hacerla, etc.).
• Ejecución de un sistema de gestión de la auditoría (realización
de una planificación y posterior implementación con los
respectivos informes y resultados).
• Gestión de los auditores (competencias, habilidades, atributos,
evaluación).
10. ISO / IEC TS 27008:2019

• Tecnología de la información. Técnicas de seguridad. Directrices

para la evaluación de los controles de seguridad de la información.
• Es una especificación técnica (TS)
• Guía de auditoría de un Sistema de Gestión de Seguridad de la
información, complemento de la norma 19011 de aplicación general
a auditorías de sistemas de gestión.
• No es certificable.
• Estándar tanto para auditorías internas como externas.
• Ofrece orientación sobre cómo revisar y evaluar los controles de
seguridad de la información que se gestionan a través de un
Sistema de gestión de seguridad de la información especificado por
ISO/IEC 27001.
• Explica cómo evaluar los controles de seguridad de la información
de una organización frente objetivos de gestión del riesgo, entre
otros, para confirmar que son adecuados para su propósito,
efectivos y eficientes (brindar garantía) o para identificar la
necesidad de cambios (oportunidades de mejora). .
11. ISO / IEC 27009:2020

• Seguridad de la información, ciberseguridad y protección de la

privacidad — Aplicación específica del sector de ISO/IEC 27001 —
Requisitos.

• No es certificable.

• Define los requisitos para el uso de la norma ISO/IEC 27001 en

cualquier sector específico (campo, área de aplicación o sector
industrial).

• Explica cómo refinar e incluir requisitos adicionales a los de la

norma ISO/IEC 27001 y cómo incluir controles o conjuntos de
control adicionales a los del Anexo A.
Resumen de estándares
de la familia ISO 27x
Resumen de estándares
de la familia ISO 27x
 hono.diez@eqa.es

DIRECCIÓN TELÉFONO EMAIL

Calle Joaquín Bau nº 2 | 1ª Planta 913078648 info@eqa.es

Escalera Derecha | 28036 Madrid

EQAGrupo grupo-eqa grupo-eqa