Serie "27000"

Documentación publicada hasta el momento por ISO directamente relacionada con los requisitos de la norma ISO/IEC 27001

Guías de referencia útiles para la implantación, mantenimiento, auditoría y certificación de los Sistemas de Gestión de la Seguridad de la Información


Introducción

Partiendo de los requisitos del estándar ISO/IEC 27001 que indican "qué debe tener un SGSI" pero no "cómo" se pueden cubrir estos requisitos, los miembros de los grupos de trabajo relaconados con este estándar publican guías de implementación bajo la misma numeración "270xx" orientadas precisamente a servir de ayuda en aspectos prácticos relacionados directa y/o indirectamente con cláusulas concretas de la norma ISO/IEC 27001.

Aunque no son la única referencia útil, las publicaciones de esta serie "270xx" sí evitan en mayor o menor medida "reinventar la rueda" con el sustancial ahorro de tiempo en la implantación, mantenimiento y mejora de los SGSI,


Los rangos de numeración reservados por ISO van de 27000 a 27019 y de 27030 a 27044 con 27799 finalizando la serie formalmente en estos momentos.


Normas y descripción

En este apartado se resumen las distintas normas que componen la serie ISO 27000 y se indica cómo puede una organización implantar un sistema de gestión de seguridad de la información (SGSI) basado en ISO 27001 en conjunto con otras normas de la serie 27k pero también con otros sistemas de gestión.

Si desea acceder a los textos completos de las normas, debe saber que éstas no son de libre difusión sino que han de ser adquiridas y están protegidas por leyes de protección intelectual.

Las originales siempre en idioma inglés se pueden adquirir online en la tienda virtual de la propia organización con posibilidad de previsualizar la estructura del contenido y sus primeras páginas antes de la compra.

Las normas en español pueden adquirirse tras la traducción posterior del original realizada por cada entidad nacional. Esto explica la típica salida de publicaciones traducidas tan dispar en el tiempo y según el país, así como, la disponibilidad de múltiples traducciones del estándar al español (una por cada entidad nacional responsable) o la falta de traducciones de publicaciones de guías de la serie según el criterio/recursos de cada entidad normalizadora.

0

ISO/IEC 27000

Publicada el 1 de Mayo de 2009, revisada con una segunda edición de 01 de Diciembre de 2012, una tercera edición de 14 de Enero de 2014 y una cuarta en Febrero de 2016. Esta norma proporciona una visión general de las normas que componen la serie 27000, indicando para cada una de ellas su alcance de actuación y el propósito de su publicación. Recoge todas las definiciones para la serie de normas 27000 y aporta las bases de por qué es importante la implantación de un SGSI, una introducción a los Sistemas de Gestión de Seguridad de la Información, una breve descripción de los pasos para el establecimiento, monitorización, mantenimiento y mejora de un SGSI (la última edición no aborda ya el ciclo Plan-Do-Check-Act para evitar convertirlo en el único marco de referencia para la mejora continua). Existen versiones traducidas al español aunque hay que prestar atención a la versión descargada. El original en inglés y su traducción al francés en su versión de 2018 puede descargarse gratuitamente.

1

ISO/IEC 27001

Publicada el 15 de Octubre de 2005, revisada el 25 de Septiembre de 2013 segunda edición). Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 (que ya quedó anulada) y es la norma con arreglo a la cual se certifican por auditores externos los SGSIs de las organizaciones. En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005, para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no ser obligatoria la implementación de todos los controles enumerados en dicho anexo, la organización deberá argumentar sólidamente la no aplicabilidad de los controles no implementados.

Desde el 12 de Noviembre de 2014, esta norma está publicada en España como UNE-ISO/IEC 27001:2014 y puede adquirirse online en UNE. En 2015, se publicó un documento adicional de modificaciones (UNE-ISO/IEC 27001:2014/Cor 1:2015) y en Diciembre de 2015 una segunda modificación (ISO/IEC 27001:2013/Cor.2:2015) esta última matizando especificaciones en la declaración de aplicabilidad. Otros países donde también está publicada en español son, por ejemplo, Colombia (NTC-ISO-IEC 27001), Chile (NCh-ISO27001) o Uruguay (UNIT-ISO/IEC 27001). El original en inglés y la traducción al francés pueden adquirirse en iso.org.

Existe una reciente edición puesta a libre disposición pública por "Industria Conectada 4.0" de la versión UNE-ISO/IEC 27001:2017 que es una edición consolidada de la traducción del 2013 y que incorpora las correcciones de 2015.

2

ISO/IEC 27002

Publicada desde el 1 de Julio de 2007, renombra la norma ya publicada ISO 17799:2005, manteniendo 2005 como año de edición. Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su apartado correspondiente, la norma ISO 27001 contiene un anexo que resume los controles de ISO 27002:2005. Publicada en España como UNE-ISO/IEC 27002:2009 desde el 9 de Diciembre de 2009 también está publicada en español por, entre otros, Colombia (NTC-ISO-IEC 27002), Venezuela (Fondonorma ISO/IEC 27002), Argentina (IRAM-ISO-IEC 27002), Chile (NCh-ISO27002) o Uruguay (UNIT-ISO/IEC 27002).

La última edición de 2013 este estándar fue actualizada reestructurando el contenido en un total de 14 Dominios, 35 Objetivos de Control y 114 Controles. 

Puede descargarse una lista actualizada para la versión 2013 de todos los controles de esta norma en una práctica única página como mejor referencia.

Existe una reciente edición puesta a libre disposición pública por "Industria Conectada 4.0" de la versión UNE-ISO/IEC 27002:2017 que es una edición consolidada de la traducción del 2013 y que incorpora las correcciones de 2015.

3

ISO/IEC 27003

Publicada el 01 de Febrero de 2010 y actualizada el 12 de Abril de 2017. No certificable. Es una guía que se centra en los aspectos críticos necesarios para el diseño e implementación con éxito de un SGSI de acuerdo ISO/IEC 27001. Describe el proceso de especificación y diseño desde la concepción hasta la puesta en marcha de planes de implementación, así como el proceso de obtención de aprobación por la dirección para implementar un SGSI. Tiene su origen en el anexo B de la norma BS 7799-2 y en la serie de documentos publicados por BSI a lo largo de los años con recomendaciones y guías de implantación.

4

ISO/IEC 27004

Publicada el 15 de Diciembre de 2009 y revisada en Diciembre de 2016. No certificable. Es una guía para el desarrollo y utilización de métricas y técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles o grupos de controles implementados según ISO/IEC 27001.

5

ISO/IEC 27005

Publicada la tercera edición en Julio de 2018 con actualizaciones respecto a requisitos de norma ISO/IEC 27001:2013. La segunda edición es de 1 de Junio de 2011 y la primera edición del 15 de Junio de 2008. No certificable. Proporciona directrices para la gestión del riesgo en la seguridad de la información. Apoya los conceptos generales especificados en la norma ISO/IEC 27001 y está diseñada para ayudar a la aplicación satisfactoria de la seguridad de la información basada en un enfoque de gestión de riesgos. Su primera publicación revisó y retiró las normas ISO/IEC TR 13335-3:1998 e ISO/IEC TR 13335-4:2000.

6

ISO/IEC 27006

Publicada en segunda edición el 1 de Diciembre de 2011 (primera edición del 1 de Marzo de 2007) y revisada el 30 de Septiembre de 2015 con una adenda del 27 de Marzo de 2020. Especifica los requisitos para la acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información. Es una versión revisada de EA-7/03 (Requisitos para la acreditación de entidades que operan certificación/registro de SGSIs) que añade a ISO/IEC 17021 (Requisitos para las entidades de auditoría y certificación de sistemas de gestión) los requisitos específicos relacionados con ISO 27001:2005 y los SGSIs. Es decir, ayuda a interpretar los criterios de acreditación de ISO/IEC 17021 cuando se aplican a entidades de certificación de ISO 27001, pero no es una norma de acreditación por sí misma.

7

ISO/IEC 27007

Publicada el 14 de Noviembre de 2011, revisada el 09 de Octubre de 2017 y con una última versión de 21 de Enero de 2020. No certificable. Es una guía de auditoría de un SGSI, como complemento a lo especificado en ISO 19011.

8

ISO/IEC TS 27008

Publicada el 15 de Octubre de 2011 como ISO/IEC TR 27008 (Technical Report) es sustituido con una primera edición como "TS" (Technical Specification) desde el 14 de Enero de 2019. No certificable. Es una guía de auditoría de los controles seleccionados en el marco de implantación de un SGSI.

9

ISO/IEC 27009

Publicada inicialmente el 15 de Junio de 2016, revisada el 21 de Abril de 2020. No certificable. define los requisitos para el uso de la norma ISO/IEC 27001 en cualquier sector específico (campo, área de aplicación o sector industrial). El documento explica cómo refinar e incluir requisitos adicionales a los de la norma ISO/IEC 27001 y cómo incluir controles o conjuntos de control adicionales a los del Anexo A.

10

ISO/IEC 27010

Publicada el 20 de Octubre de 2012 y revisada el 10 de Noviembre de 2015. Consiste en una guía para la gestión de la seguridad de la información cuando se comparte entre organizaciones o sectores. ISO/IEC 27010:2012 es aplicable a todas las formas de intercambio y difusión de información sensible, tanto públicas como privadas, a nivel nacional e internacional, dentro de la misma industria o sector de mercado o entre sectores. En particular, puede ser aplicable a los intercambios de información y participación en relación con el suministro, mantenimiento y protección de una organización o de la infraestructura crítica de los estados y naciones. Actualmente en proceso de revisión para su actualización.

11

ISO/IEC 27011

Publicada el 15 de Diciembre de 2008 y revisada en Diciembre de 2016. Es una guía de interpretación de la implementación y gestión de la seguridad de la información en organizaciones del sector de telecomunicaciones basada en ISO/IEC 27002. Está publicada también como norma ITU-T X.1051.

13

ISO/IEC 27013

Publicada el 15 de Octubre de 2012 y actualizada el 24 de Noviembre de 2015. Es una guía de implementación integrada de ISO/IEC 27001:2005 (gestión de seguridad de la información) y de ISO/IEC 20000-1 (gestión de servicios TI).

14

ISO/IEC 27014

Publicada el 23 de Abril de 2013 y actualizada en segunda edición en Diciembre 2020 consiste en una guía de gobierno corporativo de la seguridad de la información, la ciberseguridad y privacidad.

15

ISO/IEC TR 27015

Publicada el 23 de Noviembre de 2012. Es una guía de SGSI orientada a organizaciones del sector financiero y de seguros y como complemento a ISO/IEC 27002:2005. Desde 24 de Julio, de 2017 se anuncia que no será actualizada en relación a las novedades de la norma ISO/IEC 27002:2013 aunque sigue disponible para su adquisición por parte de los interesados.

16

ISO/IEC TR 27016

Publicada el 20 de Febrero de 2014. Es una guía de valoración de los aspectos financieros de la seguridad de la información.

17

ISO/IEC 27017

Publicada el 15 de Diciembre de 2015. Es una guía de seguridad para Cloud Computing alineada con ISO/IEC 27002 y con controles adicionales específicos de estos entornos de nube. Es posible la certificación en esta norma en conjunto con la implantación de un SGSI en base a los requisitos indicados en ISO/IEC 27001.  

18

ISO/IEC 27018

Publicada el 29 de Julio de 2014 y revisada el 15 de Enero de 2019, es un código de buenas prácticas en controles de protección de datos para aquellos proveedores de servicios de computación en cloud computing. Es posible la certificación en esta norma en conjunto con la implantación de un SGSI en base a los requisitos indicados en ISO/IEC 27001.

19

ISO/IEC TR 27019

Publicada el 17 de Julio de 2013. Guía con referencia a ISO/IEC 27002:2005 para el proceso de sistemas de control específicos relacionados con el sector de la industria de la energía. Actualizada como ISO/IEC 27019:2017 en Octubre de 2017 para su alineación con ISO/IEC 27002:2013, además de la aplicación a los sistemas de control de procesos (p.ej. PLCs) utilizados por la industria de la energía para controlar y monitorear la producción o generación, transmisión, almacenamiento y distribución de energía eléctrica, gas, petróleo y calor y para el control de los procesos de soporte asociados, también incluye un requisito para adaptar los procesos de evaluación y tratamiento de riesgos descritos en ISO/IEC 27001:2013 a la orientación específica del sector de servicios de energía.

21

ISO/IEC 27021

Publicada el 31 de Octubre de 2017 especifica los requisitos de competencia para aquellos profesionales que lideran o participan en el establecimiento, implementación, mantenimiento y mejora continua de uno o más procesos del sistema de gestión de seguridad de la información (SGSI) que cumplan con ISO/IEC 27001.

22

ISO/IEC 27022

Publicada el 11 de Marzo de 2021, define un modelo de referencia de procesos para el dominio de la gestión de seguridad de la información con el objetivo de guiar a los usuarios de ISO/IEC 27001 a incorporar el enfoque de proceso tal y como se describe en ISO/IEC 27000:2018 (4.3 - SGSI) y de modo alineado con otras normas de la familia ISO/IEC 27000 desde la perspectiva de la operación de los procesos SGSI. Este documento complementa la perspectiva orientada a los requisitos de ISO/IEC 27003 con un punto de vista operativo y orientado a procesos.

23

ISO/IEC TR 27023

Publicada el 02 de Julio de 2015. No certificable. Es una guía de correspondencias entre las versiones del 2013 de las normas ISO/IEC 27001 y ISO/IEC 27002 como apoyo a la transición de las versiones publicadas en 2005.

30

ISO/IEC 27030

En fase de desarrollo cubrirá la seguridad y privacidad en principios, riesgos y controles aplicables al Internet de las Cosas (IoT - Internet of Things).

31

ISO/IEC 27031

Publicada el 01 de Marzo de 2011. No certificable. Es una guía de apoyo para la adecuación de las tecnologías de información y comunicación (TIC) de una organización para la continuidad del negocio. El documento toma como referencia el estándar BS 25777.

32

ISO/IEC 27032

Publicada el 16 de Julio de 2012. Proporciona orientación para la mejora del estado de seguridad cibernética, extrayendo los aspectos únicos de esa actividad y de sus dependencias en otros dominios de seguridad, concretamente: Información de seguridad, seguridad de las redes, seguridad en Internet e información de protección de infraestructuras críticas (CIIP). Cubre las prácticas de seguridad a nivel básico para los interesados en el ciberespacio. Esta norma establece una descripción general de Seguridad Cibernética, una explicación de la relación entre la ciberseguridad y otros tipos de garantías, una definición de las partes interesadas y una descripción de su papel en la seguridad cibernética, una orientación para abordar problemas comunes de Seguridad Cibernética y un marco que permite a las partes interesadas a que colaboren en la solución de problemas en la ciberseguridad.

33

ISO/IEC 27033

Parcialmente desarrollada. Norma dedicada a la seguridad en redes, consistente en 6 partes: 27033-1, conceptos generales (Publicada el 15 de Diciembre de 2009 y revisada el 10 de Octubre de 2015); 27033-2, directrices de diseño e implementación de seguridad en redes (Publicada el 27 de Julio de 2012); 27033-3, escenarios de referencia de redes (Publicada el 3 de Diciembre de 2010); 27033-4, aseguramiento de las comunicaciones entre redes mediante gateways de seguridad (Publicada el 21 de Febrero de 2014); 27033-5, aseguramiento de comunicaciones mediante VPNs (Publicada el 29 de Julio de 2013); 27033-6, securización de redes IP wireless (Publicada en Junio de 2016).

34

ISO/IEC 27034

Parcialmente desarrollada. Norma dedicada la seguridad en aplicaciones informáticas, consistente en 7 partes: 27034-1, conceptos generales (Publicada el 21 de Noviembre de 2011); 27034-2, marco normativo de la organización (Publicada el 15 de Agosto de 2015); 27034-3, proceso de gestión de seguridad en aplicaciones (publicada en Mayo 2018); 27034-4, validación de la seguridad en aplicaciones (en fase de desarrollo); 27034-5, estructura de datos y protocolos y controles de seguridad de aplicaciones (Publicada el 09 de Octubre de 2017); 27034-6, guía de seguridad para aplicaciones de uso específico (Publicada en Octubre de 2016); 27034-7, marco predictivo de en la seguridad (publicada en Mayo 2018).

35

ISO/IEC 27035

Publicada el 17 de Agosto de 2011. Proporciona una guía sobre la gestión de incidentes de seguridad en la información. Consta de 3 partes: 27035-1, Principios en la gestión de incidentes (Publicada en Noviembre de 2016); 27035-2, guías para la elaboración de un plan de respuesta a incidentes (Publicada en Noviembre de 2016); 27035-3, guía de operaciones en la respuesta a incidentes (Publicada en Septiembre de 2020).

36

ISO/IEC 27036

Guía en cuatro partes de seguridad en las relaciones con proveedores: 27036-1, visión general y conceptos (Publicada el 24 de Marzo de 2014); 27036-2, requisitos comunes (Publicada el 27 de Febrero de 2014); 27036-3, seguridad en la cadena de suministro TIC (Publicada el 08 de Noviembre de 2013); 27036-4, guía de seguridad para entornos de servicios Cloud (Publicada en Octubre de 2016).

37

ISO/IEC 27037

Publicada el 15 de Octubre de 2012. Es una guía que propociona directrices para las actividades relacionadas con la identificación, recopilación, consolidación y preservación de evidencias digitales potenciales localizadas en teléfonos móviles, tarjetas de memoria, dispositivos electrónicos personales, sistemas de navegación móvil, cámaras digitales y de video, redes TCP/IP, entre otros dispositvos y para que puedan ser utilizadas con valor probatorio y en el intercambio entre las diferentes jurisdicciones.

38

ISO/IEC 27038

Publicada el 13 de Marzo de 2014. Es una guía de especificación para seguridad en la redacción digital.

39

ISO/IEC 27039

Publicada el 11 de Febrero de 2015. Es una guía para la selección, despliege y operativa de sistemas de detección y prevención de intrusión (IDS/IPS). Existe una corrección al contenido inicial de 28 de Abril de 2016.

40

ISO/IEC 27040

Publicada el 05 de Enero de 2015, es una guía para la seguridad en medios de almacenamiento.                   

41

ISO/IEC 27041

Publicada el 19 de Junio de 2015, es una guía para la garantizar la la idoneidad y adecuación de los métodos de investigación.

42

ISO/IEC 27042

Publicada el 19 de Junio de 2015. Es una guía con directrices para el análisis e interpretación de las evidencias digitales.

43

ISO/IEC 27043

Publicada el 04 de Marzo de 2015. Desarrolla principios y procesos de investigación para la recopilación de evidencias digitales.

45

ISO/IEC 27045

En fase de desarrollo, el proyecto se inició en 2018 y cubrirá procesos de seguridad y privacidad en sistemas de big data.

50

ISO/IEC 27050

Norma desarrollada en tres partes sobre la información almacenada en dispositivos electrónicos en relación a su identificación, preservación, recolección, procesamiento, revisión, análisis y producción: 27050-1, conceptos generales (Publicada en Noviembre de 2016 y con descarga gratuita); 27050-2, Guía para el gobierno y gestión (publicada en Octubre de 2018); 27050-3, código de buenas prácticas (publicada en Octubre de 2017 y en fase avanzada de revisión). Existe la posible extensión a una cuarta parte con orientaciones sobre la tecnología eDiscovery, es decir, las herramientas y sistemas forenses que respaldan la recopilación, el almacenamiento, la recopilación, la búsqueda, el análisis y la producción de ESI (Electronically Stored Information), además de los procesos relacionados.

70

ISO/IEC 27070

En fase de desarrollo, establecerá requisitos de seguridad para establecer raíces virtualizadas de confianza en la nube, es decir, para la provisión de entornos informáticos confiables en la nube, donde las máquinas virtuales se crean dinámicamente para proporcionar servicios en la nube.

71

ISO/IEC 27071

En fase de desarrollo, recomendará controles de seguridad para establecer conexiones confiables entre dispositivos y servicios en la nube.

99

ISO/IEC 27099

En fase de desarrollo, identificará los requisitos de gestión de seguridad de la información para los proveedores de servicios de confianza de PKI.

00

ISO/IEC 27100

Publicada el 22 de Diciembre de 2020. Este documento proporciona una descripción de la ciberseguridad y los conceptos relevantes, incluida la forma en que se relaciona y se diferencia de la seguridad de la información.  Adicionalmente, establece el contexto de la ciberseguridad cubriendo parte de los términos y definiciones aplicables a la ciberseguridad sin excluir definiciones procedentes de otros estándares o nuevos términos de uso relacionados.

02

ISO/IEC 27102

Publicada el 13 de Agosto de 2019. Este documento proporciona pautas en el momento de considerar la contratar un ciberseguro como una opción de tratamiento de riesgos para gestionar el impacto de un ciberincidente dentro del marco de gestión de riesgos de seguridad de la información de la organización.  

03

ISO/IEC TR 27103

Publicada el 22 de Febrero de 2018. Norma desarrollada Primera edición para proporcionar orientación sobre cómo aprovechar las normas existentes en un marco de ciberseguridad.

10

ISO/IEC TS 27110

Publicada el 16 de Febrero de 2021. La audiencia de este documento son los creadores de marcos de ciberseguridad con el objetivo de este documento es garantizar que se utilice un conjunto mínimo de conceptos para definir los marcos de ciberseguridad ayudando a aliviar la carga de los creadores de marcos de ciberseguridad y de los usuarios de estos marcos. Los principios de este documento son la flexibilidad (para permitir la existencia de múltiples tipos de marcos de ciberseguridad), la compatibilidad (para permitir la alineación de múltiples marcos de ciberseguridad) y la interoperabilidad (para permitir que los usos múltiples de un marco de ciberseguridad sean válidos).

50

ISO/IEC TR 27550

Publicada por primera vez en Septiembre de 2019, cubre aspectos de privacidad en ingeniería de sistemas TIC (Tecnologías de la Información y Comunicaciones).

51

ISO/IEC 27551

En fase de desarrollo, especificará los requisitos para la autenticación de entidad no enlazable basada en atributos.

53

ISO/IEC 27553

En fase de desarrollo, especificará los requisitos para la autenticación biométrica en dispositivos móviles.

54

ISO/IEC AWI 27554

En fase de desarrollo, asesorará sobre el uso de ISO 31000 para evaluar el riesgo relacionado con la gestión de identidad.

55

ISO/IEC 27555

En fase de desarrollo, ofrecerá orientación sobre la eliminación de datos personales (PII).

56

ISO/IEC AWI 27556

En fase de desarrollo, generará un marco centrado en el usuario para manejar la PII en función de las preferencias de privacidad.

70

ISO/IEC TS 27570

Publicada por primera vez el 28 de Enero de 2021 este documento ofrece orientación sobre la privacidad de los ciudadanos como punto de atención principal en el desarrollo de ecosistemas para las denominadas ciudades inteligentes (smart cities). Este documento es aplicable a todo tipo y tamaño de organizaciones, incluidas empresas públicas y privadas, entidades gubernamentales y organizaciones sin fines de lucro que brindan servicios en entornos de ciudades inteligentes.

701

ISO/IEC 27701

Publicada por primera vez en Agosto de 2019 este documento especifica los requisitos y proporciona orientación para establecer, implementar, mantener y mejorar continuamente un Sistema de gestión de información de privacidad (PIMS) a modo de extensión de ISO/IEC 27001 e ISO/IEC 27002 para la gestión de privacidad dentro del contexto de la organización. Especifica los requisitos relacionados con PIMS y proporciona orientación para los controladores y procesadores de PII que tienen la responsabilidad y la responsabilidad del procesamiento de PII.

99

ISO 27799

Publicada el 12 de Junio de 2008 dispone de una segunda revisión actualizada desde Julio 2016. Es una norma que proporciona directrices para apoyar la interpretación y aplicación en el sector sanitario de ISO/IEC 27002, en cuanto a la seguridad de la información sobre los datos de salud de los pacientes. Esta norma, al contrario que las anteriores, no la desarrolla el subcomité JTC1/SC27, sino el comité técnico TC 215.

© 2005 Aviso Legal - Términos de uso información iso27000.es