PROYECTO DENORMA TCNICA COLOMBIANA NTC-ISO 27005 DE 174/08

PRLOGO
ISO (la Organizacin Internacional para la Normalizacin) e IEC (Comisin
ElectrotcnicaInternacional) forman el sistema especializado de normalizacin mundial. Los
organismosnacionales que son miembros de ISO o de IEC participan en el desarrollo de
normasinternacionales a travs de los comits establecidos por la respectiva organizacin
paratratar los campos particulares de la actividad tcnica. Los comits tcnicos de ISO e
IECcolaboran en los campos de inters mutuo. Otras organizaciones
internacionales,gubernamentales y no gubernamentales, en unin con ISO e IEC, tambin
toman parte enel trabajo. En el campo de la tecnologa de la informacin, ISO e IEC han
establecido uncomit tcnico conjunto, el comit ISO/IEC JTC 1.Las normas internacionales
se redactan de acuerdo con las reglas establecidas en laParte 2 de las directrices de
ISO/IEC.La principal labor del comit tcnico conjunto es preparar normas internacionales.
Lasversiones preliminares de las normas internacionales adoptadas por el comit
tcnicoconjunto se dan a conocer a todos los organismos nacionales para la votacin.
Lapublicacin como una Norma Internacional requiere la aprobacin de 75 % mnimo de
losorganismos miembro que votan.Se llama la atencin sobre la posibilidad de que algunos
de los elementos de estedocumento puedan estar sujetos a derechos de patente. ISO e IEC
no asumenresponsabilidad por la identificacin de cualquiera o todos los derechos de
patente.La norma ISO/IEC 27005 fue elaborada por el Comit Tcnico Conjunto ISO/ IEC JTC
1,
Tecnologa de la informacin
, Subcomit SC 27,
Tcnicas de seguridad en la tecnologa de la informacin.
La primera edicin de la norma ISO/IEC 27005 cancela y reemplaza a las normasISO/IEC TR
13335-3:1998, e ISO/IEC TR 13335-4:2000, de las cuales constituye unarevisin tcnica.

PROYECTO DENORMA TCNICA COLOMBIANA NTC-ISO 27005 DE 174/08

CONTENIDOPginaINTRODUCCIN
................................................................................................................... 11. OBJETO Y
CAMPO DE APLICACIN ...................................................................... 12. REFERENCIAS
NORMATIVAS ................................................................................. 23. TRMINOS Y
DEFINICIONES ................................................................................... 24. ESTRUCTURA DE
ESTA NORMA ............................................................................ 35. INFORMACIN GENERAL
....................................................................................... 46. VISIN GENERAL DEL PROCESO

DE GESTIN DEL RIESGO ENLA SEGURIDAD DE LA INFORMACIN

.................................................................. 57. ESTABLECIMIENTO DEL CONTEXTO
..................................................................... 77.1 CONSIDERACIONES GENERALES
......................................................................... 77.2 CRITERIOS BSICOS
............................................................................................... 87.3 EL ALCANCE Y LOS LMITES
................................................................................ 107.4 ORGANIZACIN PARA LA GESTIN
DEL RIESGO EN LA SEGURIDADDE LA INFORMACIN
............................................................................................ 118. EVALUACIN DEL RIESGO EN
LA SEGURIDAD DE LA INFORMACIN ........... 118.1 DESCRIPCIN GENERAL DE LA
EVALUACIN DEL RIESGOEN LA SEGURIDAD DE LA INFORMACIN
.......................................................... 118.2 ANLISIS DEL RIESGO
.......................................................................................... 128.3 EVALUACIN DEL RIESGO
................................................................................... 21

PROYECTO DENORMA TCNICA COLOMBIANA NTC-ISO 27005 DE 174/08

Pgina9. TRATAMIENTO DEL RIESGO EN LA SEGURIDAD DE LA INFORMACIN ......... 229.1
DESCRIPCIN GENERAL DEL TRATAMIENTO DEL RIESGO ............................. 229.2
REDUCCIN DEL RIESGO ..................................................................................... 249.3
RETENCIN DEL RIESGO ..................................................................................... 259.4
EVITACIN DEL RIESGO ....................................................................................... 259.5
TRANSFERENCIA DEL RIESGO ............................................................................ 2510.
ACEPTACIN DEL RIESGO EN LA SEGURIDAD DE LA INFORMACIN ........... 2611.
COMUNICACIN DE LOS RIESGOS PARA LA SEGURIDADDE LA INFORMACIN
............................................................................................ 2712. MONITOREO Y REVISIN
DEL RIESGO EN LA SEGURIDADDE LA INFORMACIN
............................................................................................ 2812.1 MONITOREO Y REVISIN
DE LOS FACTORES DE RIESGO ............................... 2812.2 MONITOREO, REVISIN Y MEJORA
DE LA GESTIN DEL RIESGO .................. 29DOCUMENTO DE REFERENCIA
....................................................................................... 67BIBLIOGRAFA
................................................................................................................... 66FIGURASFigura 1.
Proceso de gestin del riesgo en la seguridad de la informacin ................... 5Figura 2.
Actividad para el tratamiento del riesgo ........................................................... 22TABLA

Tabla 1. Alineamiento del SGSI y el proceso de gestin del riesgoen la seguridad de la

informacin ...................................................................................... 7