Documente Academic
Documente Profesional
Documente Cultură
“ISO/IEC 27005”
Alejandro Sensano
Angel Quisbert
La Paz – Bolivia
2018
ii
CONTENIDO
ISO/IEC 27005................................................................................................................................... 3
1. Definición ................................................................................................................................... 3
2. ISO 27005 ................................................................................................................................... 3
3. Composición............................................................................................................................... 3
3.1 Clausulas ............................................................................................................................ 4
3.1.1 Objeto y campo de aplicación................................................................................... 4
3.1.2 Referencias normativas............................................................................................. 4
3.1.3 Términos y definiciones ............................................................................................ 4
3.1.4 Estructura .................................................................................................................. 4
3.1.5 Información general .................................................................................................. 4
3.1.6 Visión general ............................................................................................................ 4
3.1.7 Establecimiento del contexto .................................................................................... 4
3.1.8 Valoración del riesgo ................................................................................................. 5
3.1.9 Tratamiento del riesgo .............................................................................................. 5
3.1.10 Aceptación del riesgo ................................................................................................ 5
3.1.11 Comunicación de los riesgos de SI ........................................................................... 5
3.1.12 Monitoreo y revisión ................................................................................................. 5
3.2 Anexos ................................................................................................................................ 5
3.2.1 Anexo A - Alcance y limitaciones ............................................................................. 5
3.2.2 Anexo B - Identificación, evaluación de activos y valorización de impactos........ 6
3.2.3 Anexo C – Ejemplos de amenazas criticas .............................................................. 6
3.2.4 Anexo D – Vulnerabilidades y métodos para valorizar ......................................... 6
3.2.5 Anexo E – Aproximaciones a valorización RSI ...................................................... 6
3.2.6 Anexo F – Obligaciones para reducir de riesgos .................................................... 6
SITIOS WEB ..................................................................................................................................... 7
3
ISO/IEC 27005
1. Definición
2. ISO 27005
EMPRESAS.
3. Composición
3.1 Clausulas
Son las normas ISO 27001 y la norma ISO 27002 es necesario estudiar las 3 normas para
Observamos un listado de todos los términos y sus definiciones que son utilizados para
3.1.4 Estructura
La estructura de esta norma contiene la descripción de todos los procesos para la gestión
del riesgo en la seguridad de la información, las actividades que apoyan los procesos
Se identifican las amenazas y vulnerabilidad, también los controles existentes, los riesgos
Se establecen controles para reducir, retener, evitar o transferir los riesgos, de acuerdo a
Se debe realizar durante todo el proceso y debe ser bidireccional, todos los integrantes de
la organización deben conocer los riesgos y estar al tanto de lo que ocurre en el proceso
Se debe hacer un seguimiento, monitoreo y revisión continúo del proceso de gestión del
riesgo.
3.2 Anexos
Nos provee de una guía para buscar las vulnerabilidades dentro de la organizaron y como
tratarlas.
SITIOS WEB
• https://www.iso.org/isoiec-27001-information-security.html
• https://www.isotools.org/pdfs-pro/iso-27001-sistema-gestion-seguridad-informacion.pdf
• https://www.pmg-ssi.com/2014/11/iso-270012015-un-cambio-en-la-integracion-de-los-
sistemas-de-gestion/
• https://www.pmg-ssi.com/2015/06/iso-27001-ciclo-de-deming/
• https://advisera.com/27001academy/es/knowledgebase/resumen-del-anexo-a-de-la-norma-iso-
270012013/
• https://www.pmg-ssi.com/2016/05/iso-27001-2013-pasos-seguir-evaluacion-riesgos/
• http://www.magazcitum.com.mx/?p=2397
• https://www.isotools.pe/diferencias-iso-27001-2005-y-iso-27001-2013/