“ISO 27000”

NORMAS ISO 27000

JAIME ANDRÉS MARTÍNEZ RODRÍGUEZ

EDISSON RAFAEL CAICEDO ROJAS

SEGURIDAD INFORMATICA
INGENIERÍA DE SISTEMAS
FACULTAD DE CIENCIAS NATURALES E INGENIERÍA
CHIQUINQUIRÁ- 24 DE MARZO DEL 2019
 “ISO 27000”

RESUMEN
Las normas ISO 27000 son un conjunto de buenas técnicas en las que facilitan el
marco de gestión de los sistemas de seguridad, cada norma tiene reservado una
número dentro de una serie que van desde 27000 hasta 27019 y de 27030 a 27044.
Vamos a realizar un repaso por todas las normas de la serie.
 “ISO 27000”

INTRODUCCIÓN

Desde tiempos memorables se ha necesitado optimizar la gestión de la seguridad de

la información en las empresas, por esta razón se crean diferentes normas o
protocolos que ayudan a cualquier empresa mediana o pequeña a facilitar este
marco de gestión, por ello se crean las normas ISO 27000 que son un conjunto de
estándares internacionales sobre la Seguridad de la Información. La familia ISO
27000 contiene un conjunto de buenas prácticas para el establecimiento,
implementación, mantenimiento y mejora de Sistemas de Gestión de la Seguridad
de la Información.
 “ISO 27000”

Sistema de gestión de la seguridad

Es un conjunto de políticas y procedimientos que sirven para estandarizar la gestión
de la Seguridad de la Información.

 ISO 27000: contiene el vocabulario en el que se apoyan el resto de normas.

Es similar a una guía/diccionario que describe los términos de todas las
normas de la familia.

 ISO 27001: L a última versión de esta norma fue publicada en el año 2013.
Es la norma principal de toda la serie ya que incluye todos los requisitos
del Sistema de Gestión de Seguridad de la Información en las
organizaciones. La ISO 27001 sustituye a la BS 7799-2 estableciendo unas
condiciones de adaptación para aquellas empresas que se encuentren
certificadas bajo esta última. En el Anexo A se enumeran los objetivos de
control y los análisis que desarrolla la norma ISO27001 para que se puedan
seleccionar las empresas durante el progreso de sus Sistemas de Gestión
de Seguridad de la Información. La empresa podrá argumentar el hecho
de no aplicar los controles que no se encuentren implementados ya que no
es obligatorio.

 ISO 27002: Es un manual de buenas prácticas en la que se describen los

objetivos de control y las evaluaciones recomendables en cuanto a la
seguridad de la información. Esta norma no es certificable. En ella podemos
encontrar 39 objetivos de control y 133 controles agrupados en 11 dominios
diferentes. Como se ha mencionado anteriormente, la norma ISO
27001 incluye un anexo que resume todos los controles que podemos
encontrar en la norma ISO 27002.

 ISO 27003: Es un manual para implementar un Sistema de Gestión de

Seguridad de la Información y además, nos da la información necesaria
para la utilización del ciclo PHVA (viene de las siglas Planificar, Hacer,
Verificar y Actuar, en inglés “Plan, Do, Check, Act”) y todos los requerimientos
de sus diferentes fases. El origen de esta norma se encuentra en el Anexo B
de la norma BS7799-2 y en la serie de documentos publicados a lo largo
de diferentes años con recomendaciones y guía de implementación.
 “ISO 27000”

 ISO 27004: En este estándar se especifican las técnicas de medida y las

métricas que son aplicables a la determinación de la eficacia de un Sistema
de Gestión de Seguridad de la Información y los controles relacionados.
Las métricas se utilizan para la medición de los componentes de las fases
“implementar y utilizar” del ciclo deming.

 ISO 27005: Esta normativa establece las diferentes directrices para

la gestión de los Riesgos en la Seguridad de la Información. Se trata
de una norma de apoyo a los conceptos generales que vienen especificados
en la ISO 27001 y se encuentra diseñada para ayudar a aplicar, de una forma
satisfactoria, la seguridad de la información basada en un enfoque de gestión
de riesgos. Para comprender a la perfección esta norma es necesario conocer
todos los conceptos, modelos, procesos y términos descritos en la
norma ISO-27001 e ISO 27002. Dicha norma se puede aplicar a todo tipo
de organizaciones que tienen la intención de gestionar todos los riesgos que
se puedan dar en la empresa en temas de seguridad de la información.

 ISO 27006: Este estándar específica todos los requisitos para lograr la
acreditación de las entidades de auditoría y certificación de Sistema de
Gestión de Seguridad de la Información. ISO 27006 se trata de una
versión revisada de la EA-7/03 (requisitos para la acreditación de entidades)
que añade a la ISO/IEC 17021 (requisitos para entidades de auditoría y
certificación de Sistemas de Gestión), los requisitos específicos de la ISO
27001 y los del Sistema de Gestión de Seguridad de la Información.
Asimismo, esta norma ayuda a interpretar todos los criterios de acreditación
de ISO/IEC 17021 cuando se aplican en organismos de certificación de la
norma ISO 27001, pero no se trata de una norma de acreditación por sí
misma.

 ISO 27007: Es un manual de auditoría de un Sistema de Gestión de

Seguridad de la Información. Es un estándar Internacional el cual ha sido
creado para proporcionar un modelo para establecer, implementar, operar,
monitorear, revisar, mantener y mejorar un Sistema de Gestión de Seguridad
de la Información (SGSI).

 ISO 27008 es una norma que orienta sobre la implementación y operación

de los controles. Se trata de una norma aplicable a cualquier tipo de
organización, tanto pública como privada, que realice revisiones y controles
relacionados con la seguridad de la información.
 “ISO 27000”

Cuadro principales características y objetivo de las ISO 27000

Aporte de las ISO 27000 a las organizaciones

ISO 27001: Son todos los requisitos ISO 27002: Este es un manual de
que tiene una empresa para poder buenas practicas en las que
implementar el sistema de gestión describen objetivos de control y
de seguridad, además es la única evaluación, esta norma no es
certificable de las normas, consta de certificable contiene 35 objetivos de
un ciclo de vida de mejora continua control y 134 controles agrupados
y un anexo. en 14 dominios diferentes, esta se
destaca por brindar mayor seguridad
y preservación de la integridad de
las personas y empresas.
ISO 27003: Es una guía de ayuda en ISO 27004: Describe una serie de
la implementación de un SGSI. Sirve recomendaciones sobre cómo
como apoyo a la norma 27001, realizar mediciones para la gestión
indicando las directivas generales de la Seguridad de la Información.
necesarias para la correcta Especifica cómo configurar métricas,
implementación de un SGSI. Incluye qué medir, con qué frecuencia,
instrucciones sobre cómo lograr la cómo medirlo y la forma de
implementación de un SGSI con conseguir objetivos
éxito, esta posee actividades como
establecer el sistema, implementar y
operar el sistema, mantener y
mejorar el sistema, monitorear y
revisar el sistema
ISO 27005: Es una guía de ISO 27006: Es un conjunto de
recomendaciones sobre cómo requisitos de acreditación para las
abordar la gestión de riesgos de organizaciones certificadoras.
seguridad de la información que
puedan comprometer a las
organizaciones. No especifica
ninguna metodología de análisis y
gestión de riesgos concreta, pero
incluye ejemplos de posibles
amenazas, vulnerabilidades e
impactos.
ISO 27007: Es una guía para auditar ISO 27008: Esta encaminada a la
SGSIs. Establece qué auditar y verificación de los controles de
cuándo, cómo asignar los auditores seguridad de la información.
adecuados, la planificación y
ejecución de la auditoría, las
actividades claves, etc.
 “ISO 27000”

Bibliografía

International Organization for Standardization. (24 de 03 de 2019). Obtenido de

https://www.iso.org/home.html

Iso 27000. (22 de 02 de 2018). Obtenido de ISO 27000 y el conjunto de estándares de Seguridad de
la Información: ISO27000.es

Petrelli, N. (21 de 21 de 2016). Iso TOOLS. Obtenido de

https://www.isotools.org/2015/01/21/familia-normas-iso-27000/