INSTITUTO

TECNOLGICO DE
CD GUZMN
Ingeniera Informtica
Auditoria Informtica
Profesor: Leo Alcaraz
ISO 27000

Alumno
Jos Yasbet lvarez Godnez

28 de Abril 2015

Introduccin
A semejanza de otras normas ISO, ISO/IEC 27000 es un conjunto de
estndares desarrollados -o en fase de desarrollo- por ISO (International
Organization for Standardization) e IEC (International Electrotechnical
Commission), que proporcionan un marco de gestin de la seguridad de la
informacin utilizable por cualquier tipo de organizacin, pblica o privada,
grande o pequea.
En este apartado se resumen las distintas normas que componen la serie ISO
27000 y se indica cmo puede una organizacin implantar un sistema de
gestin de seguridad de la informacin (SGSI) basado en ISO 27001 en
conjunto con otras normas de la serie 27k pero tambin con otros sistemas
de gestin.

Desarrollo
Beneficios
Si desea acceder a las normas completas, debe saber que stas no son de
libre difusin sino que han de ser adquiridas.
Para los originales en ingls, puede hacerlo online en la tienda virtual de la
propia organizacin: iso.org

Adicionalmente existe la opcin de una pre-visualizacin del ndice con los

contenidos de los originales publicados online en la tienda virtual oficial:
webstore.iec.ch
Las normas en espaol pueden adquirirse en Espaa en AENOR, as como
en otras entidades de normalizacin nacionales y responsables de la
publicacin traducida de los estndares internacionales de mayor inters a
nivel local. Esto explica la salida de publicaciones traducidas tan dispar en
el tiempo y segn el pas.

Las entidades de normalizacin responsables de la publicacin y venta de

normas en cada pas hispanoamericano (es decir, las homlogas del AENOR
espaol) las puede encontrar listadas en nuestra seccin de "Enlaces", bajo
"Acreditacin y Normalizacin".
Una breve Vista de las Normas
La serie de normas ISO/IEC 27000 son estndares de seguridad publicados
por la Organizacin Internacional para la Estandarizacin (ISO) y la Comisin
Electrotcnica Internacional (IEC).
La serie contiene las mejores prcticas recomendadas en Seguridad de la
informacin para desarrollar, implementar y mantener Especificaciones
para los Sistemas de Gestin de la Seguridad de la Informacin (SGSI). la
mayora de estas normas se encuentran en preparacin e incluyen:
ISO/IEC 27000 - es un vocabulario estndar para el SGSI. Se encuentra en
desarrollo actualmente.

ISO/IEC 27001 - es la certificacin que deben obtener las organizaciones.

Norma que especifica los requisitos para la implantacin del SGSI. Es la
norma ms importante de la familia. Adopta un enfoque de gestin de
riesgos y promueve la mejora continua de los procesos. Fue publicada como
estndar internacional en octubre de 2005.
ISO/IEC 27001 es un estndar para la seguridad de la informacin
(Information technology - Security techniques - Information security
management systems - Requirements) aprobado y publicado como

estndar internacional en octubre de 2005 por International Organization for

Standardization y por la comisin International Electrotechnical Commission.
Especifica los requisitos necesarios para establecer, implantar, mantener y
mejorar un sistema de gestin de la seguridad de la informacin (SGSI) segn
el conocido como Ciclo de Deming: PDCA - acrnimo de Plan, Do, Check,
Act (Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores
prcticas descritas en ISO/IEC 27002, anteriormente conocida como ISO/IEC
17799, con orgenes en la norma BS 7799-2:2002, desarrollada por la entidad

de normalizacin britnica, la British Standards Institution (BSI).

ISO/IEC 27002 Desde el 1 de Julio de 2007, es el nuevo nombre de ISO
17799:2005, manteniendo 2005 como ao de edicin. Es una gua de buenas
prcticas que describe los objetivos de control y controles recomendables
en cuanto a seguridad de la informacin. No es certificable. Contiene 39
objetivos de control y 133 controles, agrupados en 11 dominios. Como se ha
mencionado en su apartado correspondiente, la norma ISO 27001 contiene
un anexo que resume los controles de ISO 27002:2005. Publicada en Espaa
como UNE-ISO/IEC 27002:2009 desde el 9 de Diciembre de 2009 (a la venta
en AENOR). Otros pases donde tambin est publicada en espaol son, por
ejemplo, Colombia (NTC-ISO-IEC 27002), Venezuela (Fondonorma ISO/IEC
27002), Argentina (IRAM-ISO-IEC 27002), Chile (NCh-ISO27002), Uruguay
(UNIT-ISO/IEC 27002) o Per (como ISO 17799; descarga gratuita). El original
en ingls y su traduccin al francs pueden adquirirse en iso.org.
Information technology - Security techniques - Code of practice for
information security management. Previamente BS 7799 Parte 1 y la norma

ISO/IEC 17799. Es cdigo de buenas prcticas para la gestin de seguridad

de la informacin. Fue publicada en julio de 2005 como ISO 17799:2005 y
recibi su nombre oficial ISO/IEC 27002:2005 el 1 de julio de 2007.
ISO/IEC 27003 Publicada el 01 de Febrero de 2010. No certificable. Es una
gua que se centra en los aspectos crticos necesarios para el diseo e
implementacin con xito de un SGSI de acuerdo ISO/IEC 27001:2005.
Describe el proceso de especificacin y diseo desde la concepcin hasta
la puesta en marcha de planes de implementacin, as como el proceso de

obtencin de aprobacin por la direccin para implementar un SGSI. Tiene

su origen en el anexo B de la norma BS 7799-2 y en la serie de documentos
publicados por BSI a lo largo de los aos con recomendaciones y guas de
implantacin. En Espaa, esta norma an no est traducida, pero s en
Uruguay (UNIT-ISO/IEC 27003). El original en ingls puede adquirirse en iso.org.
Son directrices para la implementacin de un SGSI. Es el soporte de la norma
ISO/IEC 27001. Publicada el 1 de febrero del 2010, No est certificada
actualmente.
ISO/IEC 27004 Publicada el 15 de Diciembre de 2009. No certificable. Es
una gua para el desarrollo y utilizacin de mtricas y tcnicas de medida
aplicables para determinar la eficacia de un SGSI y de los controles o grupos
de controles implementados segn ISO/IEC 27001. En Espaa, esta norma
an no est traducida, sin embargo s lo est en Argentina (IRAM-ISO-IEC
27004) o Uruguay (UNIT-ISO/IEC 27004). El original en ingls puede adquirirse
en iso.org.
Son mtricas para la gestin de seguridad de la informacin. Es la que

proporciona recomendaciones de quin, cundo y cmo realizar

mediciones de seguridad de la informacin. Publicada el 7 de diciembre del
2009, no se encuentra traducida al espaol actualmente.
ISO/IEC 27005 - Publicada en segunda edicin el 1 de Junio de 2011 (primera
edicin del 15 de Junio de 2008). No certificable. Proporciona directrices
para la gestin del riesgo en la seguridad de la informacin. Apoya los
conceptos generales especificados en la norma ISO/IEC 27001:2005 y est

diseada para ayudar a la aplicacin satisfactoria de la seguridad de la

informacin basada en un enfoque de gestin de riesgos. Su primera
publicacin revis y retir las normas ISO/IEC TR 13335-3:1998 e ISO/IEC TR
13335-4:2000. El original en ingls puede adquirirse en iso.org. En Espaa, esta
norma no est traducida, sin embargo, s lo est, para la versin de 2008, en
pases como Mxico (NMX-I-041/05-NYCE), Chile (NCh-ISO27005), Uruguay
(UNIT-ISO/IEC 27005) o Colombia (NTC-ISO-IEC 27005).
Trata la gestin de riesgos en seguridad de la informacin. Es la que

proporciona recomendaciones y lineamientos de mtodos y tcnicas de

evaluacin de riesgos de Seguridad en la Informacin, en soporte del
proceso de gestin de riesgos de la norma ISO/IEC 27001. Es la ms
relacionada a la actual British Standard BS 7799 parte 3. Publicada en junio
de 2008.
ISO/IEC 27006:2007 - Publicada en segunda edicin el 1 de Diciembre de
2011 (primera edicin del 1 de Marzo de 2007). Especifica los requisitos para
la acreditacin de entidades de auditora y certificacin de sistemas de

gestin de seguridad de la informacin. Es una versin revisada de EA-7/03

(Requisitos

para

la

acreditacin

de

entidades

que

operan

certificacin/registro de SGSIs) que aade a ISO/IEC 17021 (Requisitos para

las entidades de auditora y certificacin de sistemas de gestin) los
requisitos especficos relacionados con ISO 27001:2005 y los SGSIs. Es decir,
ayuda a interpretar los criterios de acreditacin de ISO/IEC 17021 cuando se
aplican a entidades de certificacin de ISO 27001, pero no es una norma de
acreditacin por s misma. El original en ingls puede adquirirse en iso.org. En
Espaa, esta norma no est traducida, sin embargo, s lo est, para la versin

de

2007, en

Mxico

(NMX-I-041/06-NYCE)

Chile

(NCh-ISO27001).

Actualmente ha iniciado un nuevo periodo de revisin para una nueva

versin 3.
Requisitos para la acreditacin de las organizaciones que proporcionan la
certificacin de los sistemas de gestin de la seguridad de la informacin.
Esta norma especfica requisitos especficos para la certificacin de SGSI y

es usada en conjunto con la norma 17021-1, la norma genrica de

acreditacin.
ISO/IEC 27007 - Publicada el 14 de Noviembre de 2011. No certificable. Es
una gua de auditora de un SGSI, como complemento a lo especificado en
ISO 19011. En Espaa, esta norma no est traducida. El original en ingls
puede adquirirse en iso.org
Es una gua para auditar al SGSI. Se encuentra en preparacin.

ISO/IEC 27799:2008 - Publicada el 15 de Octubre de 2011. No certificable. Es

una gua de auditora de los controles seleccionados en el marco de
implantacin de un SGSI. En Espaa, esta norma no est traducida. El original
en ingls puede adquirirse en iso.org
Es una gua para implementar ISO/IEC 27002 en la industria de la salud.
ISO/IEC 27035:2011 - Publicada el 17 de Agosto de 2011. Proporciona una
gua sobre la gestin de incidentes de seguridad en la informacin. En
Espaa, no est traducida. El original en ingls puede adquirirse en iso.org.
Seguridad de la informacin Tcnicas de Seguridad Gestin de
Incidentes de Seguridad. Este standard hace foco en las actividades de:
deteccin, reporte y evaluacin de incidentes de seguridad y sus
vulnerabilidades
ISO/IEC 27009:
En estado de desarrollo. No certificable. Es una gua sobre el uso y aplicacin
de los principios de ISO/IEC 27001 para el sector servicios especficos en

emisin de certificaciones acreditadas de tercera parte.

ISO/IEC 27010:
Publicada el 20 de Octubre de 2012. Consiste en una gua para la gestin
de

la

seguridad

de

la

informacin

cuando

se

comparte

entre

organizaciones o sectores. ISO/IEC 27010:2012 es aplicable a todas las

formas de intercambio y difusin de informacin sensible, tanto pblica
como privada, a nivel nacional e internacional, dentro de la misma industria

o sector de mercado o entre sectores. En particular, puede ser aplicable a

los intercambios de informacin y participacin en relacin con el suministro,
mantenimiento y proteccin de una organizacin o de la infraestructura
crtica de los estados y naciones.
ISO/IEC 27011:
Publicada el 15 de Diciembre de 2008. Es una gua de interpretacin de la
implementacin y gestin de la seguridad de la informacin en
organizaciones del sector de telecomunicaciones basada en ISO/IEC
27002:2005. Est publicada tambin como norma ITU-T X.1051. En Espaa, no
est traducida. El original en ingls puede adquirirse en iso.org.
ISO/IEC 27013:
Publicada el 15 de Octubre de 2012. Es una gua de implementacin
integrada de ISO/IEC 27001:2005 (gestin de seguridad de la informacin) y
de ISO/IEC 20000-1 (gestin de servicios TI).
ISO/IEC 27014:
Publicada el 23 de Abril de 2013. Consistir en una gua de gobierno
corporativo de la seguridad de la informacin.
ISO/IEC TR 27015:
Publicada el 23 de Noviembre de 2012. Es una gua de SGSI orientada a
organizaciones del sector financiero y de seguros y como complemento a
ISO/IEC 27002:2005.
ISO/IEC TR 27016:
En fase de desarrollo, con publicacin prevista en 2014. Consistir en una
gua de valoracin de los aspectos financieros de la seguridad de la
informacin.
ISO/IEC TS 27017:
En fase de desarrollo, con publicacin prevista en 2014. Consistir en una
gua de seguridad para Cloud Computing.

ISO/IEC 27018:
En fase de desarrollo, con publicacin prevista en 2014. Consistir en un
cdigo de buenas prcticas en controles de proteccin de datos para
servicios de computacin en cloud computing.
ISO/IEC TR 27019:
Publicada el 17 de Julio de 2013. Gua con referencia a ISO/IEC 27002:2005
para el proceso de sistemas de control especficos relacionados con el

sector de la industria de la energa.

ISO/IEC 27031:
Publicada el 01 de Marzo de 2011. No certificable. Es una gua de apoyo
para la adecuacin de las tecnologas de informacin y comunicacin (TIC)
de una organizacin para la continuidad del negocio. El documento toma
como referencia el estndar BS 25777. En Espaa, esta norma no est
traducida. El original en ingls puede adquirirse en iso.org

ISO/IEC 27032:
Publicada el 16 de Julio de 2012. Proporciona orientacin para la mejora del
estado de seguridad ciberntica, extrayendo los aspectos nicos de esa
actividad y de sus dependencias en otros dominios de seguridad,
concretamente: Informacin de seguridad, seguridad de las redes,
seguridad en Internet e informacin de proteccin de infraestructuras
crticas (CIIP). Cubre las prcticas de seguridad a nivel bsico para los
interesados en el ciberespacio. Esta norma establece una descripcin
general de Seguridad Ciberntica, una explicacin de la relacin entre la
ciberseguridad y otros tipos de garantas, una definicin de las partes
interesadas y una descripcin de su papel en la seguridad ciberntica, una
orientacin para abordar problemas comunes de Seguridad Ciberntica y
un marco que permite a las partes interesadas a que colaboren en la
solucin de problemas en la ciberseguridad.
ISO/IEC 27033:

Parcialmente desarrollada. Norma dedicada a la seguridad en redes,

consistente en 7 partes: 27033-1, conceptos generales (publicada el 15 de
Diciembre de 2009 y disponible en iso.org); 27033-2, directrices de diseo e
implementacin de seguridad en redes (publicada el 27 de Julio de 2012 y
disponible en iso.org); 27033-3, escenarios de referencia de redes (publicada
el 3 de Diciembre de 2010 y disponible en iso.org); 27033-4, aseguramiento
de las comunicaciones entre redes mediante gateways de seguridad;
27033-5, aseguramiento de comunicaciones mediante VPNs (publicada 29
de Julio de 2013 y disponible en iso.org); 27033-6, convergencia IP (prevista
para 2014); 27033-7, redes inalmbricas (prevista para 2014).
ISO/IEC 27034:
Parcialmente desarrollada. Norma dedicada la seguridad en aplicaciones
informticas, consistente en 6 partes: 27034-1, conceptos generales
(publicada el 21 de Noviembre de 2011 y disponible en iso.org); 27034-2,
marco normativo de la organizacin (sin previsin de publicacin); 27034-3,
proceso de gestin de seguridad en aplicaciones (sin previsin de

publicacin); 27034-4, validacin de la seguridad en aplicaciones (sin

previsin de publicacin); 27034-5, estructura de datos y protocolos y
controles de seguridad de aplicaciones (sin previsin de publicacin); 270346, gua de seguridad para aplicaciones de uso especfico.
ISO/IEC 27035:
Publicada el 17 de Agosto de 2011. Proporciona una gua sobre la gestin
de incidentes de seguridad en la informacin. En Espaa, no est traducida.
El original en ingls puede adquirirse en iso.org.
ISO/IEC 27036:
En fase de desarrollo, con publicacin prevista a partir de 2013. Consistir en
una gua en cuatro partes de seguridad en las relaciones con proveedores:
27036-1, visin general y conceptos; 27036-2, requisitos comunes; 27036-3,
seguridad en la cadena de suministro TIC (publicada el 08 de Noviembre de
2013 y disponible en iso.org); 27036-4, seguridad en entornos de servicios
Cloud.

10

ISO/IEC 27037:
Publicada el 15 de Octubre de 2012. Es una gua que propociona directrices
para las actividades relacionadas con la identificacin, recopilacin,
consolidacin

preservacin

de

evidencias

digitales

potenciales

localizadas en telfonos mviles, tarjetas de memoria, dispositivos

electrnicos personales, sistemas de navegacin mvil, cmaras digitales y
de video, redes TCP/IP, entre otros dispositvos y para que puedan ser
utilizadas con valor probatorio y en el intercambio entre las diferentes

jurisdicciones.
ISO/IEC 27038:
En fase de desarrollo, con publicacin prevista en 2014. Consistir en una
gua de especificacin para seguridad en la redaccin digital.
ISO/IEC 27039:
En fase de desarrollo, con publicacin prevista en 2014. Consistir en una
gua para la seleccin, despliege y operativa de sistemas de deteccin y
prevencin de intrusin (IDS/IPS).
ISO/IEC 27040:
En fase de desarrollo, con publicacin prevista no antes de 2014. Consistir
en una gua para la seguridad en medios de almacenamiento.
ISO/IEC 27041:
En fase de desarrollo, con publicacin prevista no antes de 2014. Consistir
en una gua para la garantizar la la idoneidad y adecuacin de los mtodos
de investigacin.
ISO/IEC 27042:
En fase de desarrollo, con publicacin prevista no antes de 2014. Consistir
en una gua con directrices para el anlisis e interpretacin de las evidencias
digitales.
ISO/IEC 27043:

11

En fase de desarrollo, con publicacin prevista no antes de 2014.

Desarrollar principios y procesos de investigacin.
ISO/IEC 27044:
En fase de desarrollo, con publicacin prevista no antes de 2014. Gestin de
eventos y de la seguridad de la informacin - Security Information and Event
Management (SIEM).
ISO 27799:
Publicada el 12 de Junio de 2008. Es una norma que proporciona directrices
para apoyar la interpretacin y aplicacin en el sector sanitario de ISO/IEC
27002:2005, en cuanto a la seguridad de la informacin sobre los datos de
salud de los pacientes. Esta norma, al contrario que las anteriores, no la
desarrolla el subcomit JTC1/SC27, sino el comit tcnico TC 215. El original
en ingls o francs puede adquirirse en iso.org. Desde el 20 de Enero de 2010,
esta norma est publicada en Espaa como UNE-ISO/IEC 27799:2010 y
puede adquirirse online en AENOR

12

Conclusin
Una vez realizado el estudio de lo que son las Normas de Calidad ISO 27000,
hemos podido constatar que las mismas son unas herramientas bsicas para
el logro de los objetivos de cualquier empresa y sobretodo que las mismas
se pueden implementar en cualquier tipo de organizacin ya sea grande o
pequea; debido a que las mismas son flexibles y fciles de adaptar.
Actualmente se puede asegurar que los mtodos de calidad estn siendo
el pilar sobre el cual se apoya toda empresa para garantizar su futuro. La
presin va en cascada y su fuerza es inevitable. Quin no est en proceso
de normalizar su empresa, implantar un sistema de calidad y obtener la
certificacin no tiene futuro.
Por ltimo, podemos concluir que la importancia de implementar un sistema
de gestin de la calidad, radica en el hecho de que sirve de plataforma
para desarrollar en la organizacin una serie de actividades, procesos y
procedimientos, encaminados a lograr que las caractersticas del producto
o del servicio cumplan con los requisitos del cliente, que en pocas palabras
sean de calidad, lo cual ofrece mayores posibilidades de que sean
adquiridos por este, logrando as el porcentaje de ventas planificado por la
organizacin, lo que repercute directamente en los beneficios de todas las
partes implicadas.

13

Referencias Bibliogrficas

http://www.iso27000.es/iso27000.html
http://www.iso27000.es/download/ControlesISO27002-2005.pdf
http://es.wikipedia.org/wiki/ISO/IEC_27000-series
http://www.iso27000.es/download/ControlesISO27002-2013.pdf

14