ISO/IEC 27005:2022

Seguridad de la información, ciberseguridad y protección de la

privacidad - Orientación sobre la gestión de los riesgos de seguridad de
la información
Qué es la Norma
ISO/IEC 27005
 ISO/IEC 27005:2022
Este documento proporciona orientación para ayudar a las
organizaciones a:
• Cumplir los requisitos de la norma ISO/IEC 27001 relativos
a las acciones para tratar los riesgos de seguridad de la
información;

• Realizar actividades de gestión de riesgos de seguridad de

la información, específicamente la evaluación y el
tratamiento de los riesgos de seguridad de la información.

• Este documento es aplicable a todas las organizaciones,

independientemente de su tipo, tamaño o sector.

• Esta Norma pertenece al compendio de normas que

gestiona el comité ISO/IEC JTC 1/SC 27

Fuente: https://www.iso.org/standard/80585.html
▪Cambios en la Norma
Cambios en la Norma

Nombre

Versión 2022
Versión 2018
Seguridad de la información,
Tecnología de la información
ciberseguridad y protección
- Seguridad
de la privacidad - Orientación
técnicas - Seguridad de la
sobre la gestión de los
información
riesgos de seguridad de la
Gestión de riesgos
información
Cambios en la Norma
Contenido de la Norma
Versión 2018
0- Introducción
Numerales 1 al 12 Versión 2022
Numerales 1 al 10
1- Objeto y campo de aplicación
0- Introducción
2- Referencias normativas
1- Alcance
3- Términos y definiciones
2- Referencias normativas
4- Estructura de este documento
3- Términos y definiciones
5- Antecedentes
4- Estructura de este documento
6- Panorama general del proceso de gestión de riesgos
5- Gestión de riesgos para la seguridad de la información
Para la seguridad de la información
6- Establecimiento del contexto
7- Establecimiento del contexto
7- Proceso de evaluación de los riesgos para la seguridad de la
8- Evaluación de los riesgos para la seguridad de la información
información
9- Tratamiento de los riesgos para la seguridad de la información
8- Proceso de tratamiento de los riesgos de seguridad de la
10- Aceptación del riesgo para la seguridad de la información
información
11- Comunicación y consulta de los riesgos para la seguridad de la
9- Operación
información
10- Aprovechamiento de los procesos relacionados con el SGSI
12- Vigilancia y examen de los riesgos para la seguridad de la
- Anexo A
información
- Bibliografía
- Bibliografía
- Documento de Referencia
- Anexo A
 Cambios en la Norma
Términos y definiciones
Versión 2018 Versión 2022
No se incluyeron definiciones • Términos relacionados con el riesgo para la seguridad de la información
• Contexto externo –G7
• Contexto Interno –G7
• Riesgo –N3
• Escenario de Riesgo –N1
• Dueño del Riesgo –G7
• Fuente del Riesgo –N3
• Criterio de Riesgo –G7
• Apetito de Riesgo –G7
• Amenaza--DP
• Vulnerabilidad--DP
Referencias • Evento –N3
G7-Guía ISO 73:2009 • Incidente de seguridad de la información--DP
• Probabilidad –N3
• Consecuencia –N3
N3-ISO:31000:2018 • Nivel de Riesgo –G7
(Gestión de Riesgos) • Control –N3
• Riesgo Residual –G7
• Términos relacionados con la gestión de riesgos de la seguridad de la información
N1-ISO 17666:2016 • Proceso de gestión de riesgos –G7
(Sistemas espaciales) • Comunicación y consulta de riesgos--DP
• Evaluación de riesgos –G7
• Identificación de riesgos –G7
DP- Definición sin relación con una norma • Análisis del riesgo –G7
ISO • Evaluación del riesgo –G7
• Tratamiento del riesgo –G7
• Aceptación del riesgo –G7
• Distribución del riesgo –G7
• Retención del riesgo –G7
 Cambios en la Norma
Clausula 4- Estructura
Versión 2018 Versión 2022
La información de base se presenta en la cláusula 5.
Cláusula 5: Gestión de los riesgos para la seguridad de la información;
En la cláusula 6 se ofrece un panorama general del proceso de gestión de los riesgos
Cláusula 6: Establecimiento del contexto;
para la seguridad de la información.
Cláusula 7: Proceso de evaluación de riesgos para la seguridad de la información;
Todas las actividades de gestión del riesgo para la seguridad de la información que se
presentan en la cláusula 6 se describen posteriormente en las siguientes cláusulas:
Cláusula 8: Proceso de tratamiento de los riesgos para la seguridad de la
información;
Todas las actividades de gestión del riesgo para la seguridad de la información que se
presentan en la cláusula 6 se describen posteriormente en las siguientes cláusulas:
Cláusula 9: Operación;
- establecimiento del contexto en la cláusula 7;
Cláusula 10: Aprovechamiento de los procesos relacionados del SGSI.
- evaluación del riesgo en la cláusula 8;
- tratamiento del riesgo en la cláusula 9;
A excepción de las descripciones dadas en las subcláusulas generales, todas las
- aceptación del riesgo en la cláusula 10;
actividades de gestión de riesgos presentadas desde la Cláusula 7 hasta la Cláusula
- comunicación de riesgos en la cláusula 11;
10 están estructuradas como sigue:
- vigilancia y revisión de riesgos en la cláusula 12.
Entrada: Identifica cualquier información necesaria para realizar la actividad.
Todas las actividades de gestión de riesgos, tal como se presentan de la cláusula 7 a la
Acción: Describe la actividad.
cláusula 12, se estructuran de la siguiente manera:
Activación: Proporciona orientación sobre el momento de iniciar la actividad, por
ejemplo, debido a un cambio dentro de la organización o de acuerdo con un plan o
Entrada: Identifica cualquier información necesaria para realizar la actividad.
un cambio en el contexto externo de la organización.
Acción: Describe la actividad.
Resultado: Identifica cualquier información derivada después de realizar la
Orientación para la aplicación: Proporciona las directrices para la realización de la
actividad, así como cualquier criterio que dicho resultado deba satisfacer.
acción. Algunas de estas instrucciones pueden no ser adecuadas en todos los casos, por
Orientación: Proporciona orientación sobre la realización de la actividad, la palabra
lo que otras formas de realizar la acción pueden ser más apropiadas.
clave y el concepto clave.
Salida: Identifica cualquier información derivada de la realización de la actividad.
 Cambios en la Norma
Diagrama
Versión 2018* Versión 2022
Establecimiento del
Contexto
Evaluación del Riesgo

Identificación del Riesgo

Análisis del Riesgo

Seguimiento
Comunicación
y Medición
y Consulta
del Riesgo
Evaluación del Riesgo

Punto 1 de decisión de No
riesgo evaluación
satisfactoria
Sí

Tratamiento del Riesgo

Punto 2 de decisión de
riesgo tratamiento No
satisfactoria
Sí

Aceptación del Riesgo

* Grafica de creación propia: fuente de información GTC 27005:2018

 Cambios en la Norma
Otros Cambios relevantes
• Relación de cada una de las Clausulas con la Norma
ISO/IEC 27001:2022
6, ESTABLECIMIENTO DEL CONTEXTO
6,1, Consideraciones Organizacionales
• NOTA: Esta subcláusula está relacionada con la norma ISO/IEC 27001:2022, 4.1.

• Mayor organización de los aspectos relacionados con la

norma y la explicación de los Numerales ISO/IEC 27001

• Para algunos numerales se manejan ejemplos para mejor

entendimiento

• Anexo A mas claro (graficas, tablas y ejemplos)

Explicación general de la Norma.
Clausulas 0 al 3
• Documento de Orientación
• Aplicación de requisitos de riesgos especificados en ISO/IEC 27001
0. • Toma como base la Norma ISO 31000
Introducción • Complementa orientaciones de la norma ISO 27003
• Aplica para organizaciones que pretendan implementar o mejorar su SGSI
• Personas relacionadas con los riesgos de Seguridad de la Información

• Orientación para cumplimiento de los requisitos de la Norma ISO/IEC 27001

1. Alcance • Realizar actividades de gestión de riesgos de SI en su evaluación y tratamiento
• Aplicable a todas las organizaciones, independientemente de su tipo, tamaño o sector.

2, Referencias • ISO/IEC 27000, Tecnología de la información - Técnicas de seguridad - Sistemas de gestión de

Normativas la seguridad de la información - Visión general y vocabulario

3 Términos y
• Ver diapositiva “Cambios- Términos y definiciones”
definiciones
CLAUSULA 5

5.1. Proceso de gestión de

riesgos para la seguridad de Basado en ISO 31000
la información

Gestion de riesgos
para la seguridad de
la información Ciclo estratégico
5.2 Ciclos de gestión de
riesgos para la seguridad de
la información
Ciclo operativo
5, GESTION DE RIESGOS PARA LA SEGURIDAD DE LA INFORMACION
Se busca que se de un nivel aceptable del riesgo a partir de las iteraciones

Iteración de la
Establecimiento del evaluación (Cambios
contexto interno y en el contexto),
externo (gestión y cuando no existe
evaluación) información suficiente
para la evaluación • Formular y seleccionar las opciones de
tratamiento del riesgo
• Planificar y aplicar el tratamiento del riesgo
• Evaluar la eficacia de dicho tratamiento
• Decidir si el riesgo restante es aceptable
• Adoptar un nuevo tratamiento en caso de
Proceso Iterativo en Proceso Iterativo de que no sea aceptable
la evaluación y tratamiento de
tratamiento 5.1Proceso de riesgos
gestión de
riesgos para
la seguridad
de la
información*

* Basado en el proceso general de gestión de riesgos definido en la norma ISO 31000

5, GESTION DE RIESGOS PARA LA SEGURIDAD DE LA INFORMACION

La evaluación y el tratamiento de los riesgos deberían actualizarse periódicamente y en función de los

cambios a partir de:
Objetivos Activos
Metas Amenazas
Negocios Vulnerabilidades

5,2 Ciclos de
gestión de
Ciclo Ciclo riesgos para
estratégico operativo la seguridad
de la
información

A partir de los aspectos del ciclo

Enfocado al Contexto de la
estratégico, se define la afectación en la
Organización
evaluación de riesgos
(+ tiempo de manejo)
(- tiempo de manejo)
 CLAUSULA 6
6.1. Consideraciones
NOTA: Esta subcláusula está relacionada con la norma ISO/IEC 27001:2022, 4.1.
Organizacionales

6.2. Identificación de los

requisitos básicos de las NOTA Esta subcláusula está relacionada con la norma ISO/IEC 27001:2022, 4.2.
partes interesadas

6.3. Aplicación de la NOTA Esta subcláusula está relacionada con la norma ISO/IEC 27001:2022, 4.3.
evaluación de riesgos

ESTABLECIMIENTO DEL
CONTEXTO 6.4.1. Generalidades

NOTA Esta subcláusula está

6.4.3.1.Generalidades relacionada con la norma ISO/IEC
27001:2022, 6.1.2 a) 1).
6.4.Establecimiento y
6.4.2. Criterios de aceptación
mantenimiento de los del riesgo NOTA Esta subcláusula se relaciona
criterios de riesgo para la 6.4.3.2. Criterios de
con la norma ISO/IEC 27001:2022,
seguridad de la información consecuencias 6.1.2 a) 2).

NOTA Esta subcláusula se relaciona

6.4.3. Criterios para realizar 6.4.3.3.Criterios de
con la norma ISO/IEC 27001:2022,
evaluación de riesgos para la probabilidad 6.1.2 a) 2).
seguridad de la información

6.4.3.4.Criterios para NOTA Esta subcláusula se relaciona

determinar el nivel de con la norma ISO/IEC 27001:2022,
riesgo 6.1.2 a) 2).

6.5. Elección de un método NOTA Esta subcláusula está relacionada con la norma ISO/IEC 27001:2022,
adecuado 6.1.2 b).
 CLAUSULA 7
NOTA Esta subcláusula está relacionada con la norma ISO/IEC 27001:2022,
7.1. Generalidades 6.1.2 b).

7.2.1. Identificación y NOTA Esta subcláusula está

7.2. Identificación de los
descripción de los riesgos para relacionada con ISO/IEC
riesgos para la seguridad de la seguridad de la información 27001:2022, 6.1.2 c) 1).
la información
NOTA Esta subcláusula está
7.2.2. Identificación de los relacionada con la norma ISO/IEC
propietarios del riesgo 27001:2022, 6.1.2 c) 2).

PROCESO DE EVALUACIÓN 7.3.1. Generalidades

DE LOS RIESGOS PARA LA
NOTA Esta subcláusula está
SEGURIDAD DE LA 7.3.2. Evaluación de las relacionada con la norma ISO/IEC
INFORMACIÓN consecuencias potenciales 27001:2022, 6.1.2 d) 1).

NOTA Esta subcláusula está

7.3.3. Evaluación de la
7.3. Análisis de los riesgos relacionada con la norma ISO/IEC
probabilidad 27001:2022, 6.1.2 d) 2).
para la seguridad de la
información NOTA Esta subcláusula está
7.3.4. Determinación de los
relacionada con la norma ISO/IEC
niveles de riesgo 27001:2022, 6.1.2 d) 3).

7.4.1. Comparación de los

NOTA Esta subcláusula está
resultados del análisis de relacionada con la norma ISO/IEC
riesgos con los criterios de 27001:2022, 6.1.2 e) 1).
riesgo

7.4. Valoración de los 7.4.2. Priorización de NOTA Esta subcláusula está

riesgos para la seguridad de los riesgos analizados para su relacionada con la norma ISO/IEC
tratamiento 27001:2022, 6.1.2 e) 2).
la información
 CLAUSULA 8
NOTA Esta subcláusula está relacionada con la norma ISO/IEC 27001:2022,
8.1. Generalidades 6.1.2 b).

8.2.Selección de las opciones de

tratamiento de riesgos de seguridad de NOTA Esta subcláusula está relacionada con ISO/IEC 27001:2022, 6.1.2 c) 1).
la información adecuadas

8.3. Determinación de todos los

controles necesarios para implementar NOTA Esta subcláusula está relacionada con la norma ISO/IEC 27001:2022,
las opciones de tratamiento de riesgos 6.1.3 b).
de seguridad de la información
PROCESO DE
TRATAMIENTO DE LOS
RIESGOS DE SEGURIDAD 8.4. Comparación de los controles
NOTA Esta subcláusula está relacionada con la norma ISO/IEC 27001:2022,
DE LA INFORMACIÓN determinados con los de la norma 6.1.3 c).
ISO/IEC 27001:2022, Anexo A

8.5. Elaboración de una declaración de NOTA Esta subcláusula está relacionada con la norma ISO/IEC 27001:2022,
aplicabilidad 6.1.3 d).

NOTA Esta subcláusula se relaciona

8.6.1.Formulación del plan de
con la norma ISO/IEC 27001:2022,
tratamiento de riesgos 6.1.3 e).

8.6.2. Aprobación por parte de los NOTA Esta subcláusula está

8.6. Plan de tratamiento de riesgos de relacionada con la norma ISO/IEC
seguridad de la información propietarios de los riesgos 27001:2022, 6.1.3 f).

NOTA Esta subcláusula está

8.6.2.Aprobación por parte de los relacionada con la norma ISO/IEC
propietarios de los riesgos 27001:2022, 6.1.3 f).
 CLAUSULA 9

9.1.Realización del proceso de

evaluación de riesgos para la seguridad NOTA Esta subcláusula está relacionada con la norma ISO/IEC 27001:2022, 8.2.
de la información

OPERACIÓN

9.2. Realización del proceso de

tratamiento de riesgos de seguridad de NOTA Esta subcláusula está relacionada con la norma ISO/IEC 27001:2022, 8.3.
la información
CLAUSULA 10
10.1.Contexto de la organización NOTA Esta subcláusula está relacionada con la ISO/IEC 27001:2022, cláusula 4.

10.2. Liderazgo y compromiso NOTA Esta subcláusula se relaciona con la norma ISO/IEC 27001:2022, 5.1.

NOTA 1 Esta subcláusula está relacionada con ISO/IEC 27001:2022, 7.4.

10.3.Comunicación y consulta
NOTA 2 ISO/IEC 27001 se refiere directamente a la parte de comunicación de
esta actividad.

NOTA Esta subcláusula está relacionada

10.4.1. Generalidades con la norma ISO/IEC 27001:2022, 7.5.
10. APROVECHAMIENTO DE
LOS PROCESOS
10.4. Información documentada 10.4.2. Información documentada
RELACIONADOS CON EL
sobre los procesos
SGSI
10.4.3. Información documentada
sobre los resultados

NOTA Esta subcláusula está relacionada

10.5.1. Generalidades con ISO/IEC 27001:2022, 9.1.

10.5. Seguimiento y revisión 10.5.2.Seguimiento y revisión de

NOTA Esta subcláusula está relacionada
los factores que influyen en los con ISO/IEC 27001:2022, 9.1.
riesgos

NOTA Esta subcláusula se relaciona con la

10.6. Revisión de la gestión norma ISO/IEC 27001:2022, 9.3.

NOTA Esta subcláusula se relaciona con la

10.7. Acción correctiva ISO/IEC 27001:2022, 10.1.

NOTA Esta subcláusula está relacionada con

10.8. Mejora continua ISO/IEC 27001:2022, 10.2
ANEXO A-INFORMATIVO
Ejemplos de técnicas de apoyo al proceso de evaluación de riesgos

A.1.1.1 Consideraciones
generales sobre la
evaluación de riesgos

A.1.1 Criterios A.1.1.2.1 Escala de consecuencias

relacionados con la
evaluación de riesgos
A.1.1.2.2 Escala de probabilidad
A.1.1.2 Enfoque cualitativo
A.1.1.2.3 Nivel de riesgo

A.1. Criterios de riesgo A.1.1.3.1. Escalas Finitas

para la seguridad de la
A.1.1.3. Enfoque Cuantitativo
información

A.1.2 Criterios de
aceptación del riesgo
ANEXO A-INFORMATIVO
Ejemplos de técnicas de apoyo al proceso de evaluación de riesgos

A.2.1 Componentes del

riesgo para la seguridad
de la información

A.2.2 Activos

A.2 Técnicas prácticas

A.2.3 Fuentes de riesgo y
estado final deseado

A.2.4.1 Ecosistema

A.2.4 Enfoque basado en

eventos

A.2.4.2 Escenarios
estratégicos
ANEXO A-INFORMATIVO
Ejemplos de técnicas de apoyo al proceso de evaluación de riesgos

A.2.5.1 Ejemplos de
amenazas

A.2.5.2 Ejemplos de
A.2.5 Enfoque basado en vulnerabilidades
los activos
A.2.5.3 Métodos de
evaluación de las
vulnerabilidades técnicas
A.2 Técnicas prácticas
(Continuación)
A.2.5.4 Escenarios
operativos

A.2.6 Ejemplos de
escenarios aplicables en
ambos enfoques

A.2.7 Seguimiento de los

eventos relacionados con
el riesgo
BIBLIOGRAFIA
[1] ISO 17666:2016, Sistemas espaciales - Gestión de riesgos

[2] ISO/IEC 27001:2022, Tecnología de la información - Técnicas de seguridad - Sistemas de gestión de la seguridad de la información –
Requisitos

[3] ISO/IEC 27003, Tecnología de la información - Técnicas de seguridad - Sistemas de gestión de la seguridad de la información - Guía

[4] ISO/IEC 27004, Tecnología de la información - Técnicas de seguridad - Gestión de la seguridad de la información - Seguimiento, medición,
análisis y evaluación

[5] ISO/IEC 27014, Seguridad de la información, ciberseguridad y protección de la privacidad - Gobierno de la seguridad de la información

[6] ISO/IEC/TR 27016, Tecnología de la información - Técnicas de seguridad - Gestión de la seguridad de la información - Economía de la
organización

[7] ISO/IEC 27017, Tecnología de la información - Técnicas de seguridad - Código de prácticas para los controles de seguridad de la
información basados en ISO/IEC 27002 para los servicios en la nube

[8] ISO/IEC 27701, Técnicas de seguridad - Extensión a ISO/IEC 27001 e ISO/IEC 27002 para la gestión de la información sobre la privacidad
- Requisitos y directrices

[9] ISO 31000:2018, Gestión de riesgos - Directrices

[10] IEC 31010:2019, Gestión de riesgos - Técnicas de evaluación de riesgos

[11] Guía ISO 73:2009, Gestión de riesgos – Vocabulario

• Fotos utilizadas en la presentación obtenidas desde https://www.pexels.com , con licencia libre de uso.
 Preguntas?

© SGS Group Management SA – 2020 – All Rights Reserved –

SGS is a registered trademark of SGS Group Management SA