Serie "27000"

Documentación publicada hasta el momento por ISO directamente relacionada con los requisitos de la norma ISO/IEC 27001

Guías de referencia útiles para la implantación, mantenimiento, auditoría y certificación de los Sistemas de Gestión de la Seguridad de la Información


Introducción

Partiendo de los requisitos del estándar ISO/IEC 27001 que indican "qué debe tener un SGSI" pero no "cómo" se pueden cubrir estos requisitos, los miembros de los grupos de trabajo relaconados con este estándar publican guías de implementación bajo la misma numeración "270xx" orientadas precisamente a servir de ayuda en aspectos prácticos relacionados directa y/o indirectamente con cláusulas concretas de la norma ISO/IEC 27001.

Aunque no son la única referencia útil, las publicaciones de esta serie "270xx" sí evitan en mayor o menor medida "reinventar la rueda" con el sustancial ahorro de tiempo en la implantación, mantenimiento y mejora de los SGSI,


Los rangos de numeración reservados por ISO van de 27000 a 27019 y de 27030 a 27044 con 27799 finalizando la serie formalmente en estos momentos.


Inicios de la serie

La norma BS 7799 de BSI apareció por primera vez en 1995.

El objetivo era proporcionar a cualquier empresa -británica o no- un conjunto de buenas prácticas para la gestión de la seguridad de su información.

A semejanza de otras normas internacionales, la serie "270xx" es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.

Las entidades de normalización tienen por objeto desarrollar actividades para establecer, ante problemas reales o potenciales, disposiciones destinadas a usos comunes y repetidos, con el fin de obtener un nivel de ordenamiento óptimo en un contexto dado, que puede ser tecnológico, político, o económico.

Existe típicamente una única entidad normalizadore en cada país que traduce aquellas normas internacionales (ISO) que son de interés en su territorio, además de crear grupos "espejo" de los comités ISO que participan en las reuniones internacionales para el desarrollo de cada publicación. 

Desde 1901, la primera entidad de normalización a nivel mundial, BSI (British Standards Institution) ha sido responsable de la publicación de importantes normas nacionales (BS - estándar británico) como:

- BS 5750. Publicada en 1979; origen de ISO 9001 

- BS 7750. Publicada en 1992; origen de ISO 14001 

- BS 8800. Publicada en 1996; origen de OHSAS 18001/ISO 45001

- BS 7799. Publicada en 1995 y 1998 (dos partes); origen de ISO 27001

La primera parte de la norma (BS 7799-1) fue una guía de buenas prácticas, para la que no se establecía un esquema de certificación. Es la segunda parte (BS 7799-2), publicada por primera vez en 1998, la que estableció los requisitos de un sistema de seguridad de la información (SGSI) para ser certificable por una entidad independiente.

Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adoptó por ISO, sin cambios sustanciales, como ISO/IEC 17799 en el año 2000.

En 2002, se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO de sistemas de gestión. 

En 2005, con más de 1700 empresas certificadas en BS 7799-2, esta norma se publicó por ISO, con algunos cambios, como estándar internacional ISO/IEC 27001. Al tiempo se revisó y actualizó ISO/IEC 17799. Esta última norma se renombró como ISO/IEC 27002:2005 el 1 de Julio de 2007, manteniendo el contenido así como el año de publicación formal de la revisión.

Dentro de los periodos habituales de actualización de contenidos la última publicación que se ha realizado (segunda versión) de las normas ISO/IEC 27001:2013, ISO/IEC 27002:2013 ha sido en la misma fecha del 25 de Septiembre de 2013.

Para un seguimiento del estado en el desarrollo de las normas de la serie 27000 puede consultarse en las páginas web del subcomité JTC1/SC27: 1) y 2) o directamente consultando en la web de ISO según el código de estado asociado a cada publicación.

Existen comités "espejo" a nivel nacional (p.ej. el comité CTN320 en España) que participan en el comité SC27 para la normalización de la serie 27k y desde los que se proponen cambios y mejora junto a las revisiones y votaciones pertinentes que hacen que las normas ISO tengan el alcance de reconocimiento internacional.


Integración

Un SGSI es, en primera instancia, un sistema de gestión, es decir, una herramienta de la que dispone la gerencia para dirigir y controlar un determinado ámbito, en este caso, la seguridad de la información.

Además de ISO 27001, la gestión de las actividades de las organizaciones se realiza, cada vez con más frecuencia, según sistemas de gestión basados en estándares internacionales: se gestiona la calidad según ISO 9001, el impacto medio-ambiental según ISO 14001 o la prevención de riesgos laborales según ISO 45001 (OHSAS 18001).

Las empresas tienen la posibilidad de implantar un número variable de estos sistemas de gestión para mejorar la organización y beneficios sin imponer una carga a la organización. 

El objetivo último es procurar simplificación, idealmente en base a un único sistema de gestión que contemple todos los aspectos necesarios para la organización, basándose en un ciclo de revisio´y mejora continua común a todos estos estándares.

Las facilidades para la integración de las normas ISO son evidentes gracias a la estructura común para la equivalencia en los requisitos similares aplicables a todos los sistemas de gestión en base al Anexo SL, es decir, estructura de publicación en 10 cláusulas principales que desarrolla los elementos comunes en las mismas ubicaciones de norma y requisitos (p.ej, liderazgo, política, objetivos, recursos, revisión por la dirección, auditorías internas, mejora continua).


Normas y descripción

En este apartado se resumen las distintas normas que componen la serie ISO 27000 y se indica cómo puede una organización implantar un sistema de gestión de seguridad de la información (SGSI) basado en ISO 27001 en conjunto con otras normas de la serie 27k pero también con otros sistemas de gestión.

Si desea acceder a los textos completos de las normas, debe saber que éstas no son de libre difusión sino que han de ser adquiridas y están protegidas por leyes de protección intelectual.

Las originales siempre en idioma inglés se pueden adquirir online en la tienda virtual de la propia organización con posibilidad de previsualizar la estructura del contenido y sus primeras páginas antes de la compra.

Las normas en español pueden adquirirse tras la traducción posterior del original realizada por cada entidad nacional. Esto explica la típica salida de publicaciones traducidas tan dispar en el tiempo y según el país, así como, la disponibilidad de múltiples traducciones del estándar al español (una por cada entidad nacional responsable) o la falta de traducciones de publicaciones de guías de la serie según el criterio/recursos de cada entidad normalizadora.

0

ISO/IEC 27000

Publicada el 1 de Mayo de 2009, revisada con una segunda edición de 01 de Diciembre de 2012, una tercera edición de 14 de Enero de 2014 y una cuarta en Febrero de 2016. Esta norma proporciona una visión general de las normas que componen la serie 27000, indicando para cada una de ellas su alcance de actuación y el propósito de su publicación. Recoge todas las definiciones para la serie de normas 27000 y aporta las bases de por qué es importante la implantación de un SGSI, una introducción a los Sistemas de Gestión de Seguridad de la Información, una breve descripción de los pasos para el establecimiento, monitorización, mantenimiento y mejora de un SGSI (la última edición no aborda ya el ciclo Plan-Do-Check-Act para evitar convertirlo en el único marco de referencia para la mejora continua). Existen versiones traducidas al español aunque hay que prestar atención a la versión descargada. El original en inglés y su traducción al francés en su versión de 2018 puede descargarse gratuitamente.

1

ISO/IEC 27001

Publicada el 15 de Octubre de 2005, revisada el 25 de Septiembre de 2013 segunda edición). Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 (que ya quedó anulada) y es la norma con arreglo a la cual se certifican por auditores externos los SGSIs de las organizaciones. En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005, para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no ser obligatoria la implementación de todos los controles enumerados en dicho anexo, la organización deberá argumentar sólidamente la no aplicabilidad de los controles no implementados.

Desde el 12 de Noviembre de 2014, esta norma está publicada en España como UNE-ISO/IEC 27001:2014 y puede adquirirse online en UNE. En 2015, se publicó un documento adicional de modificaciones (UNE-ISO/IEC 27001:2014/Cor 1:2015) y en Diciembre de 2015 una segunda modificación (ISO/IEC 27001:2013/Cor.2:2015) esta última matizando especificaciones en la declaración de aplicabilidad. Otros países donde también está publicada en español son, por ejemplo, Colombia (NTC-ISO-IEC 27001), Chile (NCh-ISO27001) o Uruguay (UNIT-ISO/IEC 27001). El original en inglés y la traducción al francés pueden adquirirse en iso.org.

2

ISO/IEC 27002

Publicada desde el 1 de Julio de 2007, renombra la norma ya publicada ISO 17799:2005, manteniendo 2005 como año de edición. Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su apartado correspondiente, la norma ISO 27001 contiene un anexo que resume los controles de ISO 27002:2005. Publicada en España como UNE-ISO/IEC 27002:2009 desde el 9 de Diciembre de 2009 también está publicada en español por, entre otros, Colombia (NTC-ISO-IEC 27002), Venezuela (Fondonorma ISO/IEC 27002), Argentina (IRAM-ISO-IEC 27002), Chile (NCh-ISO27002) o Uruguay (UNIT-ISO/IEC 27002).

La última edición de 2013 este estándar fue actualizada reestructurando el contenido en un total de 14 Dominios, 35 Objetivos de Control y 114 Controles. 

Puede descargarse una lista actualizada para la versión 2013 de todos los controles de esta norma en una práctica única página como mejor referencia.

3

ISO/IEC 27003

Publicada el 01 de Febrero de 2010 y actualizada el 12 de Abril de 2017. No certificable. Es una guía que se centra en los aspectos críticos necesarios para el diseño e implementación con éxito de un SGSI de acuerdo ISO/IEC 27001. Describe el proceso de especificación y diseño desde la concepción hasta la puesta en marcha de planes de implementación, así como el proceso de obtención de aprobación por la dirección para implementar un SGSI. Tiene su origen en el anexo B de la norma BS 7799-2 y en la serie de documentos publicados por BSI a lo largo de los años con recomendaciones y guías de implantación.

4

ISO/IEC 27004

Publicada el 15 de Diciembre de 2009 y revisada en Diciembre de 2016. No certificable. Es una guía para el desarrollo y utilización de métricas y técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles o grupos de controles implementados según ISO/IEC 27001.

5

ISO/IEC 27005

Publicada la tercera edición en Julio de 2018 con actualizaciones respecto a requisitos de norma ISO/IEC 27001:2013. La segunda edición es de 1 de Junio de 2011 y la primera edición del 15 de Junio de 2008. No certificable. Proporciona directrices para la gestión del riesgo en la seguridad de la información. Apoya los conceptos generales especificados en la norma ISO/IEC 27001 y está diseñada para ayudar a la aplicación satisfactoria de la seguridad de la información basada en un enfoque de gestión de riesgos. Su primera publicación revisó y retiró las normas ISO/IEC TR 13335-3:1998 e ISO/IEC TR 13335-4:2000.

6

ISO/IEC 27006

Publicada en segunda edición el 1 de Diciembre de 2011 (primera edición del 1 de Marzo de 2007) y revisada el 30 de Septiembre de 2015 con una adenda del 27 de Marzo de 2020. Especifica los requisitos para la acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información. Es una versión revisada de EA-7/03 (Requisitos para la acreditación de entidades que operan certificación/registro de SGSIs) que añade a ISO/IEC 17021 (Requisitos para las entidades de auditoría y certificación de sistemas de gestión) los requisitos específicos relacionados con ISO 27001:2005 y los SGSIs. Es decir, ayuda a interpretar los criterios de acreditación de ISO/IEC 17021 cuando se aplican a entidades de certificación de ISO 27001, pero no es una norma de acreditación por sí misma.

7

ISO/IEC 27007

Publicada el 14 de Noviembre de 2011, revisada el 09 de Octubre de 2017 y con una última versión de 21 de Enero de 2020. No certificable. Es una guía de auditoría de un SGSI, como complemento a lo especificado en ISO 19011.

8

ISO/IEC TS 27008

Publicada el 15 de Octubre de 2011 como ISO/IEC TR 27008 (Technical Report) es sustituido con una primera edición como "TS" (Technical Specification) desde el 14 de Enero de 2019. No certificable. Es una guía de auditoría de los controles seleccionados en el marco de implantación de un SGSI.

9

ISO/IEC 27009

Publicada inicialmente el 15 de Junio de 2016, revisada el 21 de Abril de 2020. No certificable. define los requisitos para el uso de la norma ISO/IEC 27001 en cualquier sector específico (campo, área de aplicación o sector industrial). El documento explica cómo refinar e incluir requisitos adicionales a los de la norma ISO/IEC 27001 y cómo incluir controles o conjuntos de control adicionales a los del Anexo A.

10

ISO/IEC 27010

Publicada el 20 de Octubre de 2012 y revisada el 10 de Noviembre de 2015. Consiste en una guía para la gestión de la seguridad de la información cuando se comparte entre organizaciones o sectores. ISO/IEC 27010:2012 es aplicable a todas las formas de intercambio y difusión de información sensible, tanto públicas como privadas, a nivel nacional e internacional, dentro de la misma industria o sector de mercado o entre sectores. En particular, puede ser aplicable a los intercambios de información y participación en relación con el suministro, mantenimiento y protección de una organización o de la infraestructura crítica de los estados y naciones. Actualmente en proceso de revisión para su actualización.

11

ISO/IEC 27011

Publicada el 15 de Diciembre de 2008 y revisada en Diciembre de 2016. Es una guía de interpretación de la implementación y gestión de la seguridad de la información en organizaciones del sector de telecomunicaciones basada en ISO/IEC 27002. Está publicada también como norma ITU-T X.1051.

13

ISO/IEC 27013

Publicada el 15 de Octubre de 2012 y actualizada el 24 de Noviembre de 2015. Es una guía de implementación integrada de ISO/IEC 27001:2005 (gestión de seguridad de la información) y de ISO/IEC 20000-1 (gestión de servicios TI).

14

ISO/IEC 27014

Publicada el 23 de Abril de 2013. Consiste en una guía de gobierno corporativo de la seguridad de la información.

15

ISO/IEC TR 27015

Publicada el 23 de Noviembre de 2012. Es una guía de SGSI orientada a organizaciones del sector financiero y de seguros y como complemento a ISO/IEC 27002:2005. Desde 24 de Julio, de 2017 se anuncia que no será actualizada en relación a las novedades de la norma ISO/IEC 27002:2013 aunque sigue disponible para su adquisición por parte de los interesados.

16

ISO/IEC TR 27016

Publicada el 20 de Febrero de 2014. Es una guía de valoración de los aspectos financieros de la seguridad de la información.

17

ISO/IEC 27017

Publicada el 15 de Diciembre de 2015. Es una guía de seguridad para Cloud Computing alineada con ISO/IEC 27002 y con controles adicionales específicos de estos entornos de nube. Es posible la certificación en esta norma en conjunto con la implantación de un SGSI en base a los requisitos indicados en ISO/IEC 27001.  

18

ISO/IEC 27018

Publicada el 29 de Julio de 2014 y revisada el 15 de Enero de 2019, es un código de buenas prácticas en controles de protección de datos para aquellos proveedores de servicios de computación en cloud computing. Es posible la certificación en esta norma en conjunto con la implantación de un SGSI en base a los requisitos indicados en ISO/IEC 27001.

19

ISO/IEC TR 27019

Publicada el 17 de Julio de 2013. Guía con referencia a ISO/IEC 27002:2005 para el proceso de sistemas de control específicos relacionados con el sector de la industria de la energía. Actualizada como ISO/IEC 27019:2017 en Octubre de 2017 para su alineación con ISO/IEC 27002:2013, además de la aplicación a los sistemas de control de procesos (p.ej. PLCs) utilizados por la industria de la energía para controlar y monitorear la producción o generación, transmisión, almacenamiento y distribución de energía eléctrica, gas, petróleo y calor y para el control de los procesos de soporte asociados, también incluye un requisito para adaptar los procesos de evaluación y tratamiento de riesgos descritos en ISO/IEC 27001:2013 a la orientación específica del sector de servicios de energía.

21

ISO/IEC 27021

Publicada el 31 de Octubre de 2017 especifica los requisitos de competencia para aquellos profesionales que lideran o participan en el establecimiento, implementación, mantenimiento y mejora continua de uno o más procesos del sistema de gestión de seguridad de la información (SGSI) que cumplan con ISO/IEC 27001.

22

ISO/IEC 27022

En estado de preparación cubrirá una decripción de procesos relacionados con un SGSI.

23

ISO/IEC TR 27023

Publicada el 02 de Julio de 2015. No certificable. Es una guía de correspondencias entre las versiones del 2013 de las normas ISO/IEC 27001 y ISO/IEC 27002 como apoyo a la transición de las versiones publicadas en 2005.

30

ISO/IEC 27030

En fase de desarrollo cubrirá la seguridad y privacidad en principios, riesgos y controles aplicables al Internet de las Cosas (IoT - Internet of Things).

31

ISO/IEC 27031

Publicada el 01 de Marzo de 2011. No certificable. Es una guía de apoyo para la adecuación de las tecnologías de información y comunicación (TIC) de una organización para la continuidad del negocio. El documento toma como referencia el estándar BS 25777.

32

ISO/IEC 27032

Publicada el 16 de Julio de 2012. Proporciona orientación para la mejora del estado de seguridad cibernética, extrayendo los aspectos únicos de esa actividad y de sus dependencias en otros dominios de seguridad, concretamente: Información de seguridad, seguridad de las redes, seguridad en Internet e información de protección de infraestructuras críticas (CIIP). Cubre las prácticas de seguridad a nivel básico para los interesados en el ciberespacio. Esta norma establece una descripción general de Seguridad Cibernética, una explicación de la relación entre la ciberseguridad y otros tipos de garantías, una definición de las partes interesadas y una descripción de su papel en la seguridad cibernética, una orientación para abordar problemas comunes de Seguridad Cibernética y un marco que permite a las partes interesadas a que colaboren en la solución de problemas en la ciberseguridad.

33

ISO/IEC 27033

Parcialmente desarrollada. Norma dedicada a la seguridad en redes, consistente en 6 partes: 27033-1, conceptos generales (Publicada el 15 de Diciembre de 2009 y revisada el 10 de Octubre de 2015); 27033-2, directrices de diseño e implementación de seguridad en redes (Publicada el 27 de Julio de 2012); 27033-3, escenarios de referencia de redes (Publicada el 3 de Diciembre de 2010); 27033-4, aseguramiento de las comunicaciones entre redes mediante gateways de seguridad (Publicada el 21 de Febrero de 2014); 27033-5, aseguramiento de comunicaciones mediante VPNs (Publicada el 29 de Julio de 2013); 27033-6, securización de redes IP wireless (Publicada en Junio de 2016).

34

ISO/IEC 27034

Parcialmente desarrollada. Norma dedicada la seguridad en aplicaciones informáticas, consistente en 7 partes: 27034-1, conceptos generales (Publicada el 21 de Noviembre de 2011); 27034-2, marco normativo de la organización (Publicada el 15 de Agosto de 2015); 27034-3, proceso de gestión de seguridad en aplicaciones (publicada en Mayo 2018); 27034-4, validación de la seguridad en aplicaciones (en fase de desarrollo); 27034-5, estructura de datos y protocolos y controles de seguridad de aplicaciones (Publicada el 09 de Octubre de 2017); 27034-6, guía de seguridad para aplicaciones de uso específico (Publicada en Octubre de 2016); 27034-7, marco predictivo de en la seguridad (publicada en Mayo 2018).

35

ISO/IEC 27035

Publicada el 17 de Agosto de 2011. Proporciona una guía sobre la gestión de incidentes de seguridad en la información. Consta de 3 partes: 27035-1, Principios en la gestión de incidentes (Publicada en Noviembre de 2016); 27035-2, guías para la elaboración de un plan de respuesta a incidentes (Publicada en Noviembre de 2016); 27035-3, guía de operaciones en la respuesta a incidentes (que el momento está en desarrollo).

36

ISO/IEC 27036

Guía en cuatro partes de seguridad en las relaciones con proveedores: 27036-1, visión general y conceptos (Publicada el 24 de Marzo de 2014); 27036-2, requisitos comunes (Publicada el 27 de Febrero de 2014); 27036-3, seguridad en la cadena de suministro TIC (Publicada el 08 de Noviembre de 2013); 27036-4, guía de seguridad para entornos de servicios Cloud (Publicada en Octubre de 2016).

37

ISO/IEC 27037

Publicada el 15 de Octubre de 2012. Es una guía que propociona directrices para las actividades relacionadas con la identificación, recopilación, consolidación y preservación de evidencias digitales potenciales localizadas en teléfonos móviles, tarjetas de memoria, dispositivos electrónicos personales, sistemas de navegación móvil, cámaras digitales y de video, redes TCP/IP, entre otros dispositvos y para que puedan ser utilizadas con valor probatorio y en el intercambio entre las diferentes jurisdicciones.

38

ISO/IEC 27038

Publicada el 13 de Marzo de 2014. Es una guía de especificación para seguridad en la redacción digital.

39

ISO/IEC 27039

Publicada el 11 de Febrero de 2015. Es una guía para la selección, despliege y operativa de sistemas de detección y prevención de intrusión (IDS/IPS). Existe una corrección al contenido inicial de 28 de Abril de 2016.

40

ISO/IEC 27040

Publicada el 05 de Enero de 2015, es una guía para la seguridad en medios de almacenamiento.                   

41

ISO/IEC 27041

Publicada el 19 de Junio de 2015, es una guía para la garantizar la la idoneidad y adecuación de los métodos de investigación.

42

ISO/IEC 27042

Publicada el 19 de Junio de 2015. Es una guía con directrices para el análisis e interpretación de las evidencias digitales.

43

ISO/IEC 27043

Publicada el 04 de Marzo de 2015. Desarrolla principios y procesos de investigación para la recopilación de evidencias digitales.

45

ISO/IEC 27045

En fase de desarrollo, el proyecto se inició en 2018 y cubrirá procesos de seguridad y privacidad en sistemas de big data.

50

ISO/IEC 27050

Norma desarrollada en tres partes sobre la información almacenada en dispositivos electrónicos en relación a su identificación, preservación, recolección, procesamiento, revisión, análisis y producción: 27050-1, conceptos generales (Publicada en Noviembre de 2016 y con descarga gratuita); 27050-2, Guía para el gobierno y gestión (publicada en Octubre de 2018); 27050-3, código de buenas prácticas (publicada en Octubre de 2017 y en fase avanzada de revisión). Existe la posible extensión a una cuarta parte con orientaciones sobre la tecnología eDiscovery, es decir, las herramientas y sistemas forenses que respaldan la recopilación, el almacenamiento, la recopilación, la búsqueda, el análisis y la producción de ESI (Electronically Stored Information), además de los procesos relacionados.

70

ISO/IEC 27070

En fase de desarrollo, establecerá requisitos de seguridad para establecer raíces virtualizadas de confianza en la nube, es decir, para la provisión de entornos informáticos confiables en la nube, donde las máquinas virtuales se crean dinámicamente para proporcionar servicios en la nube.

71

ISO/IEC 27071

En fase de desarrollo, recomendará controles de seguridad para establecer conexiones confiables entre dispositivos y servicios en la nube.

99

ISO/IEC 27099

En fase de desarrollo, identificará los requisitos de gestión de seguridad de la información para los proveedores de servicios de confianza de PKI.

00

ISO/IEC 27100

En fase de desarrollo, será una descripción general de los conceptos de ciberseguridad.

01

ISO/IEC TS 27101

En fase de desarrollo, será una guía para desarrollar marcos de ciberseguridad.

02

ISO/IEC 27102

Publicada el 13 de Agosto de 2019. Este documento proporciona pautas en el momento de considerar la contratar un ciberseguro como una opción de tratamiento de riesgos para gestionar el impacto de un ciberincidente dentro del marco de gestión de riesgos de seguridad de la información de la organización.  

03

ISO/IEC TR 27103

Publicada el 22 de Febrero de 2018. Norma desarrollada Primera edición para proporcionar orientación sobre cómo aprovechar las normas existentes en un marco de ciberseguridad.

50

ISO/IEC TR 27550

Publicada por primera vez en Septiembre de 2019, cubre aspectos de privacidad en ingeniería de sistemas TIC (Tecnologías de la Información y Comunicaciones).

51

ISO/IEC 27551

En fase de desarrollo, especificará los requisitos para la autenticación de entidad no enlazable basada en atributos.

53

ISO/IEC 27553

En fase de desarrollo, especificará los requisitos para la autenticación biométrica en dispositivos móviles.

54

ISO/IEC AWI 27554

En fase de desarrollo, asesorará sobre el uso de ISO 31000 para evaluar el riesgo relacionado con la gestión de identidad.

55

ISO/IEC 27555

En fase de desarrollo, ofrecerá orientación sobre la eliminación de datos personales (PII).

56

ISO/IEC AWI 27556

En fase de desarrollo, generará un marco centrado en el usuario para manejar la PII en función de las preferencias de privacidad.

70

ISO/IEC PDTS 27570

En fase de desarrollo, ofrecerá orientación sobre privacidad para ciudades inteligentes.

701

ISO/IEC 27701

Publicada por primera vez en Agosto de 2019 este documento especifica los requisitos y proporciona orientación para establecer, implementar, mantener y mejorar continuamente un Sistema de gestión de información de privacidad (PIMS) a modo de extensión de ISO/IEC 27001 e ISO/IEC 27002 para la gestión de privacidad dentro del contexto de la organización. Especifica los requisitos relacionados con PIMS y proporciona orientación para los controladores y procesadores de PII que tienen la responsabilidad y la responsabilidad del procesamiento de PII.

99

ISO 27799

Publicada el 12 de Junio de 2008 dispone de una segunda revisión actualizada desde Julio 2016. Es una norma que proporciona directrices para apoyar la interpretación y aplicación en el sector sanitario de ISO/IEC 27002, en cuanto a la seguridad de la información sobre los datos de salud de los pacientes. Esta norma, al contrario que las anteriores, no la desarrolla el subcomité JTC1/SC27, sino el comité técnico TC 215.

© 2005 Aviso Legal - Términos de uso información iso27000.es