SI - Familia - IsO 27000

Escuela de Tecnologías de la información y Comunicaciones
Sede Bellavista
Seguridad Informática
Familia
Norma
ISO 27000
Sede Bellavista
Aprendizajes Esperados
• Identificar SGSI de la familia ISO 27000.

Sede Bellavista
Objetivos de la Clase
• Identificar ¿Qué es un SGSI? para la familia ISO 27000

• Identificar el proceso SGSI
• Identificar enfoque basado en riesgo SGSI
• Identificar principios fundamentales de los SGSI
• Identificar enfoque basado en procesos ISO 27000
• Identificar importancia de un SGSI
• Identificar factores críticos de un SGSI
• Identificar beneficios de la familia de normas ISO 27000
• Identificar las normas ISO 27000
Sede Bellavista
ISO 27000 ¿Qué es un SGSI?
Un sistema de Gestión para
la seguridad de la
información consta de una
serie de políticas,
procedimientos e
instrucciones o directrices
específicas para cada
actividad o sistema de
información que persiguen
como objetivo la protección
de los activos de
información en una
organización
Sede Bellavista
ISO 27000 – SGSI Proceso Sistemático
• Establece o planifica la Seguridad de la información estableciendo los procesos y

objetivos a conseguir
• Se implementa la Seguridad de la información dentro de los procesos de la organización
• Se opera y mantienen los procesos establecidos para la seguridad de la información
• Se miden los resultados (Monitoreo) e indicadores de los distintos procesos de la

seguridad de la información
• Se evalúa (Revisión) la efectividad de los procesos de la seguridad en base a los

objetivos establecidos
• Se analizan los resultados y se establecen nuevos objetivos (Mejora)

Sede Bellavista
ISO 27000 – SGSI Enfoque basado en el riesgo
La planificación de la Seguridad de la información se debe realizar con un enfoque basado en el

riesgo de modo que se fundamenta en una evaluación de riesgos y en los niveles de
aceptación de riesgos definidos por la organización para posteriormente tratar y gestionar
los riesgos de manera efectiva.
La evaluación de riesgos se debe realizar mediante un análisis de los requisitos para la

protección de los activos de información de una organización para poder seleccionar y
aplicar los controles apropiados para garantizar la protección de estos activos de
información
Sede Bellavista
ISO 27000 – SGSI Principios Fundamentales
Implantar con éxito un SGSI deberíamos tener en cuenta apoyarnos en los siguientes principios
fundamentales:
• Tomar conciencia de la necesidad de seguridad de la información

• Asignar responsabilidades y roles en las tareas de la seguridad de la información;
• Temer el compromiso e implicación de la dirección de la organización y de las partes
interesadas
• Realizar la evaluaciones de riesgo para determinar los controles apropiados para conseguir
niveles aceptables de riesgo
• Incorporar los criterios de seguridad como un elemento esencial de las redes y sistemas
de información
• Promover la anticipación y la detección de incidentes de seguridad de la información;
• Evaluación continua de la seguridad de la información para realizar modificaciones
cuando corresponda.
Sede Bellavista
ISO 27000 – Enfoque de Procesos
Dentro de una organización se establecen y gestionan una serie de tareas relacionadas entre sí y
que necesitan estar coordinadas entre sí de forma eficiente para conseguir el propósito de la
organización.
Una tarea normalmente se compone de varias actividades ejecutadas en un orden

determinado y necesita de una serie de recursos (personal, equipos e instalaciones)
además de una serie de entradas para obtener un resultado final o salidas. Esto es lo que
normalmente denominanos un proceso en una organización
La aplicación de un sistema de procesos dentro de una organización, junto con la

identificación e interacciones de estos procesos, y su gestión, se puede denominar
como un "enfoque de proceso".
Sede Bellavista
ISO 27000 – ¿Por qué es importante un SGSI?
Los activos de información son vitales dentro de una organización para la consecución de sus objetivos por lo
que se deben abordar los riesgos para la seguridad de la información que afecten a estos activos.
Para conseguir la seguridad de la información se requiere la gestionar los riesgos para la seguridad de la
información, lo que incluye:
• Los riesgos de amenazas físicas y humanas
• Riesgos relacionados con las tecnologías asociadas con todas las formas de información utilizadas por
la organización.
Se de esperar que la implementación de un SGSI debería ser una decisión estratégica para una organización ya
que es necesario integrar los criterios para la seguridad de la información en todas las necesidades de la
organización y sus procesos.
Aunque la seguridad de la información es importante para cualquier empresa u organización, resultando de

vital importancia en empresas que basan su actividad en comercio electrónico, banca, intercambio
de datos o que manejan información confidencial de miles de clientes. También resulta de vital
importancia en empresas que necesitan demostrar a sus clientes su capacidad de aplicar principios de
seguridad de la información con reconocimiento internacional y acreditado por una entidad
independiente en el caso de optar la certificación de su SGSI
Sede Bellavista
ISO 27000 – Establecimiento, Seguimiento, Mantención y Mejora de un
SGSI.
Para implementar un SGSI deberemos llevar a cabo una serie de pasos que al menos deben incluir
1. Una identificación y clasificación de los activos de información de la organización según

sus requisitos para la seguridad de la información que van asociados al activo o al tipo de información
que manejan
2. Realizare una evaluación de riesgos para la seguridad de la información identificados para
cada activo de información
3. Implementar un plan de tratamiento de riesgos de forma ponderada teniendo en cuenta los
resultados de la evaluación de riesgos
4. Implementar los controles seleccionados para minimizar los riesgos inaceptables
5. Medir los resultados de la implantación de los controles
6. Evaluar la efectividad de los controles implementados asociados a los activos de información
7. Proponer planes de mejora para nuevos activos o riesgos identificados así como para los
controles que lo necesiten
Este proceso debe sistematizarse y mantenerse a lo largo del tiempo con el objetivo de
mejorar de forma continua la seguridad de la información en una organización
Sede Bellavista
ISO 27000 – Establecimiento, Seguimiento, Mantención y Mejora de un SGSI.
Sede Bellavista
ISO 27000 – Factores críticos del éxito del SGSI.
1. Tener en cuenta objetivos y políticas para la seguridad de la información estén

en consonancia con los objetivos de la organización
2. Integrar la seguridad de la información en la cultura de la organización
3. Obtener el apoyo y compromiso de todos los niveles de gestión, especialmente

de la alta dirección
4. Realizar una evaluación de riesgos que garantice una adecuada comprensión de los
requisitos de protección de activos de información
Sede Bellavista
Para implementar un SGSI deberemos llevar a cabo una serie de pasos que al
menos deben incluir
5. La capacitación y concienciación sobre la seguridad de la

información debe involucrar a todos los empleados
6. Un proceso efectivo de gestión de incidentes de seguridad de la

información
7. Un enfoque efectivo de gestión de la continuidad del negocio
8. Evaluar el desempeño y utilizar la información para la mejora

Sede Bellavista
1. Tener en cuenta objetivos y políticas para la seguridad de la información estén en

consonancia con los objetivos de la organización
Actualmente ya no es suficiente que un responsable de la seguridad de la información sea un

técnico experto en seguridad, ahora este rol debe incorporar una visión y experiencia empresarial
necesarias para tener conversaciones de mayor nivel con sus juntas directivas y equipos
ejecutivos. El responsable de la seguridad de la información debe tener un lugar en por
órganos de dirección y ser considerado como un cargo confiable por los ejecutivos
principales del negocio.
Sede Bellavista
2. Integrar la seguridad de la información en la cultura de la organización
La cultura de la organización debe integrar no solo los procesos de la seguridad de la

información sino también la filosofía de un sistema de gestión que tiene en cuenta la
seguridad de la información tanto en el diseño de procesos, en la operación del sistema y su
mantenimiento así como en la evaluación de sus procesos y decisiones de mejora
Sede Bellavista
3. Obtener el apoyo y compromiso de todos los niveles de gestión, especialmente de la
alta dirección
La alta dirección de la organización debe liderar la implantación del SGSI demostrando su

compromiso con el SGSI:
• Asegurándose de que las políticas y objetivos del SGSI están establecidos he integrados con
los procesos de la organización
• Asegurándose que el SGSI cuenta con los recursos necesarios para lograr los resultados
esperados
• Asegúrese de que las personas entiendan cuán importante es realmente la seguridad de la
información. Alentar a los gerentes a demostrar su liderazgo y compromiso con la
seguridad de la información dentro de sus propias áreas.
Sede Bellavista
4. Realizar una evaluación de riesgos que garantice una adecuada
comprensión de los requisitos de protección de activos de información
La identificación de activos pasa por determinar qué datos, sistemas u

otros activos se considerarían las "joyas de la corona" de su
organización. Por ejemplo, ¿qué activos tendrían el impacto más significativo
en su organización si se comprometiera su confidencialidad, integridad o
disponibilidad?
En particular no es difícil identificar la importancia de la confidencialidad en

datos que contengan información como los números de seguridad social, datos
salud o que involucren propiedad intelectual de la información.
En cuento a la integridad, por ejemplo, si una empresa debe cumplir con

requisitos legales SOX y FCPA de control interno para cumplir con exigencias
USA, un problema menor de integridad en los datos de informes financieros
podría tener un costo enorme. O bien, si una empresa es un servicio de
descarga de contenido multimedia on line y la disponibilidad de los archivos se
ve comprometida, podrían perder suscriptores.
Sede Bellavista
5. La capacitación y concienciación sobre la seguridad de la información debe involucrar
a todos los empleados
El éxito de un SGSI depende en gran medida o podríamos decir que pasa por implicar de forma
efectiva a todos los empleados y directivos en la realización de las tareas y
responsabilidades sobre la seguridad de forma activa y comprometida.
Para ello se deben adoptar las medidas necesarias para este objetivo.
Sede Bellavista
6. Un proceso efectivo de gestión de incidentes de seguridad de la información
Por mucho que queramos evitarlos los incidentes en la seguridad de la información se producirán
con mayor o menor frecuencia y es por ello que deberemos estar preparados para ello.
Nadie está libre hoy en día de sufrir incidentes contra la seguridad de la información. Es por ello que la
gestión adecuada de los incidentes marcara la diferencia entre un sistema de gestión bien implantado y
responderá a las necesidades del negocio
Los incidentes deben tratarse desde
• Su detección
• Su adecuada comunicación interna
• Su tratamiento
• La comunicación externa
• El análisis causal
• El establecimiento de medidas de mejora para que disminuir su impacto cuando sea necesario
Sede Bellavista
La continuidad del negocio es un factor a abordar, ya que los incidentes en

la seguridad de la información pueden causar la indisponibilidad de
los servicios o productos prestados por la organización.
Es por este motivo que la continuidad del negocio debe ser un punto
importante a tener en cuenta en una organización e integrar los requisitos
de continuidad del negocio en la seguridad de la información
Normalmente en las organizaciones puede que las actividades de la

seguridad de la información estén separadas de la continuidad del negocio
o la recuperación de desastres. Esto sucede normalmente porque que la
seguridad de la información suele tener su propio conjunto de actividades
centradas en la tecnología: proteger los perímetros de la red, evitar el robo
de información y neutralizar los virus y otros programas maliciosos y la
continuidad del negocio por el contrario, se centra más en la
organización en su conjunto y en las personas, los procesos, las
instalaciones y las tecnologías que la respaldan etc.
Sede Bellavista
Para cumplir con los requisitos de un sistema de gestión para la seguridad de la información, las
actividades para la seguridad de la información deben integrarse dentro de un sistema de gestión
de la continuidad del negocio mejor entre sí. Cualquier brecha de seguridad que afecte a los
sistemas de información es una amenaza para la continuidad del negocio y la recuperación
de desastres . Una brecha de seguridad que compromete los datos y la información vital de la
compañía también es un evento de continuidad empresarial. Una de las mayores preocupaciones
después de los eventos de seguridad es el daño a la reputación de la organización. Esto
también es una preocupación de continuidad del negocio. Los vínculos entre las disciplinas son esenciales
y deben considerarse dentro
Sede Bellavista
8. Evaluar el desempeño y utilizar la información para la mejora
La efectividad del sistema de gestión pasa por tener claro el establecimiento de un sistema de medición
para evaluar el desempeño en la gestión de seguridad de la información y con ello obtener las ideas y
sugerencias de retroalimentación para mejorar.
Sede Bellavista
ISO 27000 – Beneficios de la familia de normas 27000
Para implementar un SGSI deberemos llevar a cabo una serie de pasos que al menos deben incluir
El primer beneficio de implantar un SGSI es la reducción de los riesgos de seguridad de la

información o lo que es lo mismo la disminución de la probabilidad de ser afectado por los
incidentes en la de seguridad de la información
Otros beneficios de acogerse a las normas de la Serie ISO 27001 son
• Contar con una herramienta sistemática para implantar un SGSI que responda a las
necesidades de cualquier organización o negocio
• Permite integrar de forma coherente los objetivos de la seguridad de la información con los
objetivos del negocio, los procesos, la gestión de la organización, la capacitación y
sensibilización de los empleados así la implantación de una cultura de la seguridad de la
información en una organización
• Permite adoptar las mejores prácticas internacionalmente aceptadas para la seguridad de
la información y adaptarlas a las necesidades de cada organización
• Establecen un lenguaje común para la seguridad de la información y que además permite la
certificación de un SGSI por entidades de organismos acreditados
• Promueve la confianza de las partes interesadas
• Mejoras las expectativas de los resultados de la organización y ayuda a rentabilizar las
inversiones en seguridad de la información
Sede Bellavista
ISO 27000 – La familia de normas ISO 27000
Sede Bellavista
ISO / IEC 27001
ISO 27001 es el buque insignia de las normas ISO 27001 y establece los
requisitos para implementar y certificar un sistema de la seguridad de la
información
Sede Bellavista
ISO / IEC 27006
Esta norma establece los requisitos para seguir un proceso de auditoría y

certificación de acuerdo a la norma ISO 27001 y afecta a los organismos y
entidades de certificación.
Sede Bellavista
ISO / IEC 27009
Esta norma establece los requisitos para incluir controles para la seguridad de
la información distintos de los incluidos en el anexo A (ISO 27002) de la norma ISO
27001 y se aplica si es necesario en sectores específicos que lo requieran.
Sede Bellavista
ISO / IEC 27002
Guía sobre Controles de Seguridad de la Información
Esta guía nos ofrece una serie de controles que se utilizan como como guía de
implementación para lograr los objetivos de la seguridad de la información
Sede Bellavista
ISO / IEC 27003
Documento de ayuda para la implementación de ISO 27001
Se trata de una guía para la implementación de un SGSI de acuerdo con ISO / IEC
27001.
Sede Bellavista
ISO / IEC 27004
Gestión de la seguridad de la información - Monitoreo, medición, análisis y

evaluación.
Documento de ayuda para implementar un SGSI en cuanto a
• El monitoreo y la medición del desempeño de la seguridad de la información;

• El seguimiento y la medición de la eficacia de un sistema de gestión de
seguridad de la información (SGSI), incluidos sus procesos y controles;
• El análisis y la evaluación de los resultados de monitoreo y medición.
Sede Bellavista
ISO / IEC 27005
Gestión de riesgos de seguridad de la información.
Documento de ayuda para implementar la gestión de riesgos de seguridad de la

información cumpliendo con los conceptos generales especificados en ISO / IEC
27001.
Sede Bellavista
ISO / IEC 27007
Auditoría de sistemas de gestión de seguridad de la información
Documento de ayuda para la realización de auditorías de SGSI donde además se nos

proporcionan consejos para la selección de auditores y el establecimiento de
programas de auditorias
Sede Bellavista
ISO / IEC 27008
Directrices para auditores sobre controles de seguridad de la información
Documento de ayuda para la selección e implementación de los controles de

seguridad además de:
• La operación de los controles

• La verificación del cumplimiento técnico de los controles
Sede Bellavista
ISO / IEC 27013
Orientación sobre la implementación integrada de ISO / IEC 27001 e ISO /

IEC 20000
Documento de ayuda para la implementación integrada de ISO / IEC 27001 e ISO /

IEC 20000-1 para las organizaciones que tienen la intención de:
• Implementar ISO / IEC 27001 cuando ISO / IEC 20000-1 ya esté implementado, o
viceversa;
• Implementar conjuntamente ISO / IEC 27001 e ISO / IEC 20000-1;
• Integrar sistemas de gestión existentes basados en ISO / IEC 27001 e ISO / IEC
20000-1.
Sede Bellavista
ISO / IEC 27016
Economía organizacional
Documento de ayuda sobre métodos para la valoración de activos de

información identificados así como sus riesgos potenciales, valoración de controles
de protección de información para determinar el nivel óptimo de recursos a aplicar.
Sede Bellavista
ISO / IEC 27021
Requisitos de competencia para profesionales de sistemas de gestión de la seguridad de la

información
Especifican de requisitos de competencia para los profesionales responsables del SGSI o involucrados
en el establecimiento, implementación, mantenimiento y mejora continua de uno o más procesos del
sistema de gestión de seguridad de la información según la norma ISO / IEC 27001
¿A quién le interesa la norma ISO 27021?
• A quienes deseen demostrar su competencia como profesionales del sistema de gestión de la

seguridad de la información (SGSI), o que deseen comprender y cumplir la competencia requerida
para trabajar en esta área, y que deseen ampliar sus conocimientos,
• Organizaciones que buscan posibles candidatos profesionales del SGSI para definir la competencia
requerida para los puestos en roles relacionados con el SGSI,
• Organismos para desarrollar la certificación para profesionales del SGSI que necesitan un cuerpo de
conocimiento (BOK) para las fuentes de examen, y
• Organizaciones de capacitación, como universidades e instituciones vocacionales, para alinear sus
programas de estudio y cursos con los requisitos de competencia para los profesionales de SGSI.
Sede Bellavista
ISO / IEC 27010
Gestión de la seguridad de la información para comunicaciones

intersectoriales e interorganizacionales.
Documento de ayuda para implementar la gestión de la seguridad de la información

en las comunidades que comparten información.
En este documento se proporcionan controles e instrucciones para su implementación

específicamente relacionados la seguridad de la información en las comunicaciones
entre organizaciones y entre sectores.
Sede Bellavista
ISO / IEC 27011
Controles de seguridad de la información basados en ISO / IEC 27002 para

organizaciones de telecomunicaciones
Documento de ayuda con pautas que respaldan la implementación de los controles de

seguridad de la información en las organizaciones de telecomunicaciones.
Ayuda para las empresas de telecomunicaciones para cumplir con los requisitos
básicos de administración de seguridad de la información de confidencialidad,
integridad, disponibilidad y cualquier otra propiedad de seguridad relevante.
Sede Bellavista
ISO / IEC 27017
Pautas para implementar controles de seguridad de la información basados

en ISO / IEC 27002 para servicios en la nube
ISO 27017 contiene:
• Una guía de implementación adicional para los controles relevantes especificados

en ISO / IEC 27002
• Controles adicionales con guías de implementación que se relacionan
específicamente con los servicios en la nube.
Sede Bellavista
ISO / IEC 27018
Pautas para la protección de información de identificación personal (PII)

en nubes públicas que actúan como procesadores de PII
ISO / IEC 27018 establece objetivos de control, controles y pautas comúnmente

aceptados para implementar medidas para proteger la información de identificación
personal (PII) de acuerdo con los principios de privacidad de ISO / IEC 29100 para el
entorno de computación en la nube pública.
Sede Bellavista
ISO / IEC 27019
Controles de seguridad de la información para la industria de servicios

públicos de energía
Pautas basadas en ISO / IEC 27002 aplicada a los sistemas de control de procesos
utilizados por la industria de la energía para controlar y monitorear la producción o
generación, transmisión, almacenamiento y distribución de energía eléctrica, gas,
petróleo y calor, y Para el control de los procesos de soporte asociados.
Sede Bellavista
ISO 27019 incluye:
• control centralizado y distribuido de procesos, tecnología de control y automatización, así como

sistemas de información utilizados para su funcionamiento, como dispositivos de programación y
parametrización;
• controladores digitales y componentes de automatización, como dispositivos de control y de campo

o controladores lógicos programables (PLC), incluidos sensores digitales y elementos de actuador;
• todos los sistemas de información de soporte adicionales utilizados en el dominio de control de

procesos, p. Ej. para tareas complementarias de visualización de datos y para fines de control,
monitoreo, archivo de datos, registro de historiadores, informes y documentación;
• tecnología de comunicación utilizada en el dominio de control de proceso, p. Ej. redes, telemetría,

aplicaciones de telecontrol y tecnología de control remoto;
• componentes de infraestructura de medición avanzada (AMI), por ejemplo, contadores inteligentes;
• dispositivos de medición, por ejemplo, para valores de emisión;

Sede Bellavista
ISO 27019 incluye:
• protección digital y sistemas de seguridad, por ejemplo, relés de protección, PLC de seguridad,
mecanismos de control de emergencia;
• sistemas de gestión de energía, por ej. de recursos energéticos distribuidos (DER), infraestructuras
de carga eléctrica, en hogares privados, edificios residenciales o instalaciones industriales de
clientes;
• componentes distribuidos de entornos de redes inteligentes, por ejemplo, en redes de energía, en

hogares privados, edificios residenciales o instalaciones industriales de clientes;
• todo el software, el firmware y las aplicaciones instaladas en los sistemas mencionados

anteriormente, por ejemplo, Aplicaciones DMS (sistema de gestión de distribución) u OMS (sistema
de gestión de interrupciones);
• cualquier local que contenga los equipos y sistemas mencionados anteriormente;
• Sistemas de mantenimiento remoto para los sistemas mencionados.
ISO 27019 no es aplicable al sector de la energía nuclear. Este sector está cubierto por la norma IEC 62645
Sede Bellavista
Resumen de la Clase
• Se identifico ¿Qué es un SGSI? para la familia ISO 27000

• Se identifico el proceso SGSI
• Se identifico el enfoque basado en riesgo SGSI
• Se identificaron los principios fundamentales de los SGSI
• Se identifico el enfoque basado en procesos ISO 27000
• Se identifico la importancia de un SGSI
• Se identificaron los factores críticos de un SGSI
• Se identificaron los beneficios de la familia de normas ISO 27000
• Se identificaron las normas ISO 27000
Sede Bellavista
Familia
Norma
ISO 27000

SI - Familia - IsO 27000

Cargado por

Copyright:

Formatos disponibles

SI - Familia - IsO 27000

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

SI - Familia - IsO 27000

Cargado por

Copyright:

Formatos disponibles

Escuela de Tecnologías de la información y Comunicaciones

• Identificar SGSI de la familia ISO 27000.

• Identificar ¿Qué es un SGSI? para la familia ISO 27000

• Establece o planifica la Seguridad de la información estableciendo los procesos y

• Se implementa la Seguridad de la información dentro de los procesos de la organización

• Se opera y mantienen los procesos establecidos para la seguridad de la información

• Se miden los resultados (Monitoreo) e indicadores de los distintos procesos de la

• Se evalúa (Revisión) la efectividad de los procesos de la seguridad en base a los

• Se analizan los resultados y se establecen nuevos objetivos (Mejora)

La planificación de la Seguridad de la información se debe realizar con un enfoque basado en el

La evaluación de riesgos se debe realizar mediante un análisis de los requisitos para la

• Tomar conciencia de la necesidad de seguridad de la información

Una tarea normalmente se compone de varias actividades ejecutadas en un orden

La aplicación de un sistema de procesos dentro de una organización, junto con la

Aunque la seguridad de la información es importante para cualquier empresa u organización, resultando de

1. Una identificación y clasificación de los activos de información de la organización según

1. Tener en cuenta objetivos y políticas para la seguridad de la información estén

2. Integrar la seguridad de la información en la cultura de la organización

3. Obtener el apoyo y compromiso de todos los niveles de gestión, especialmente

5. La capacitación y concienciación sobre la seguridad de la

6. Un proceso efectivo de gestión de incidentes de seguridad de la

7. Un enfoque efectivo de gestión de la continuidad del negocio

8. Evaluar el desempeño y utilizar la información para la mejora

1. Tener en cuenta objetivos y políticas para la seguridad de la información estén en

Actualmente ya no es suficiente que un responsable de la seguridad de la información sea un

2. Integrar la seguridad de la información en la cultura de la organización

La cultura de la organización debe integrar no solo los procesos de la seguridad de la

La alta dirección de la organización debe liderar la implantación del SGSI demostrando su

La identificación de activos pasa por determinar qué datos, sistemas u

En particular no es difícil identificar la importancia de la confidencialidad en

En cuento a la integridad, por ejemplo, si una empresa debe cumplir con

Los incidentes deben tratarse desde

La continuidad del negocio es un factor a abordar, ya que los incidentes en

Normalmente en las organizaciones puede que las actividades de la

El primer beneficio de implantar un SGSI es la reducción de los riesgos de seguridad de la

Otros beneficios de acogerse a las normas de la Serie ISO 27001 son

ISO / IEC 27001

ISO / IEC 27006

Esta norma establece los requisitos para seguir un proceso de auditoría y

ISO / IEC 27009

ISO / IEC 27002

Guía sobre Controles de Seguridad de la Información

ISO / IEC 27003

Documento de ayuda para la implementación de ISO 27001

ISO / IEC 27004

Gestión de la seguridad de la información - Monitoreo, medición, análisis y

Documento de ayuda para implementar un SGSI en cuanto a

• El monitoreo y la medición del desempeño de la seguridad de la información;

ISO / IEC 27005

Gestión de riesgos de seguridad de la información.

Documento de ayuda para implementar la gestión de riesgos de seguridad de la

ISO / IEC 27007

Auditoría de sistemas de gestión de seguridad de la información

Documento de ayuda para la realización de auditorías de SGSI donde además se nos

ISO / IEC 27008

Directrices para auditores sobre controles de seguridad de la información

Documento de ayuda para la selección e implementación de los controles de

• La operación de los controles

ISO / IEC 27013

Orientación sobre la implementación integrada de ISO / IEC 27001 e ISO /