Serie "27000"

Documentación publicada hasta el momento por ISO directamente relacionada con los requisitos de la norma ISO/IEC 27001

Guías de referencia útiles para la implantación, mantenimiento, auditoría y certificación de los Sistemas de Gestión de la Seguridad de la Información

Introducción

Partiendo de los requisitos del estándar ISO/IEC 27001 que indican "qué debe tener un SGSI" pero no "cómo" se pueden cubrir estos requisitos, los miembros de los grupos de trabajo relaconados con este estándar publican guías de implementación bajo la misma numeración "270xx" orientadas precisamente a servir de ayuda en aspectos prácticos relacionados directa y/o indirectamente con cláusulas concretas de la norma ISO/IEC 27001.

Aunque no son la única referencia útil, las publicaciones de esta serie "270xx" sí evitan en mayor o menor medida "reinventar la rueda" con el sustancial ahorro de tiempo en la implantación, mantenimiento y mejora de los SGSI,

Los rangos de numeración reservados por ISO van de 27000 a 27019 y de 27030 a 27044 con 27799 finalizando la serie formalmente en estos momentos.

Normas y descripción

En este apartado se resumen las distintas normas que componen la serie ISO 27000 y se indica cómo puede una organización implantar un sistema de gestión de seguridad de la información (SGSI) basado en ISO 27001 en conjunto con otras normas de la serie 27k pero también con otros sistemas de gestión.

Si desea acceder a los textos completos de las normas, debe saber que éstas no son de libre difusión sino que han de ser adquiridas y están protegidas por leyes de protección intelectual.

Las originales siempre en idioma inglés se pueden adquirir online en la tienda virtual de la propia organización con posibilidad de previsualizar la estructura del contenido y sus primeras páginas antes de la compra.

Las normas en español pueden adquirirse tras la traducción posterior del original realizada por cada entidad nacional. Esto explica la típica salida de publicaciones traducidas tan dispar en el tiempo y según el país, así como, la disponibilidad de múltiples traducciones del estándar al español (una por cada entidad nacional responsable) o la falta de traducciones de publicaciones de guías de la serie según el criterio/recursos de cada entidad normalizadora.

0

ISO/IEC 27000

Publicada el 1 de Mayo de 2009, revisada con una segunda edición de 01 de Diciembre de 2012, una tercera edición de 14 de Enero de 2014 y una cuarta en Febrero de 2016. Esta norma proporciona una visión general de las normas que componen la serie 27000, indicando para cada una de ellas su alcance de actuación y el propósito de su publicación. Recoge todas las definiciones para la serie de normas 27000 y aporta las bases de por qué es importante la implantación de un SGSI, una introducción a los Sistemas de Gestión de Seguridad de la Información, una breve descripción de los pasos para el establecimiento, monitorización, mantenimiento y mejora de un SGSI (la última edición no aborda ya el ciclo Plan-Do-Check-Act para evitar convertirlo en el único marco de referencia para la mejora continua). Existen versiones traducidas al español aunque hay que prestar atención a la versión descargada. El original en inglés y su traducción al francés en su versión de 2018 puede descargarse gratuitamente.

1

ISO/IEC 27001

Publicada el 15 de Octubre de 2005, revisada el 25 de Septiembre de 2013 (segunda edición) y actualizada el 25 de Octubre de 2022 (versión 3).

Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 (que ya quedó anulada) y es la norma con arreglo a la cual se certifican por auditores externos los SGSIs de las organizaciones. En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005, para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no ser obligatoria la implementación de todos los controles enumerados en dicho anexo, la organización deberá argumentar sólidamente la no aplicabilidad de los controles no implementados.

Desde el 12 de Noviembre de 2014, esta norma está publicada en España como UNE-ISO/IEC 27001:2014 y puede adquirirse online en UNE. En 2015, se publicó un documento adicional de modificaciones (UNE-ISO/IEC 27001:2014/Cor 1:2015) y en Diciembre de 2015 una segunda modificación (ISO/IEC 27001:2013/Cor.2:2015) esta última matizando especificaciones en la declaración de aplicabilidad. Otros países donde también está publicada en español son, por ejemplo, Colombia (NTC-ISO-IEC 27001), Chile (NCh-ISO27001) o Uruguay (UNIT-ISO/IEC 27001). El original en inglés y la traducción al francés pueden adquirirse en iso.org.

Existe una reciente edición puesta a libre disposición pública por "Industria Conectada 4.0" de la versión UNE-ISO/IEC 27001:2017 que es una edición consolidada de la traducción del 2013 y que incorpora las correcciones de 2015.

2

ISO/IEC 27002

Publicada inicialmente el 1 de Julio de 2007, renombra la norma ya publicada ISO 17799:2005, manteniendo 2005 como año de edición. Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su apartado correspondiente, la norma ISO 27001 contiene un anexo que resume los controles de ISO 27002:2005. Publicada en España como UNE-ISO/IEC 27002:2009 desde el 9 de Diciembre de 2009 también está publicada en español por, entre otros, Colombia (NTC-ISO-IEC 27002), Venezuela (Fondonorma ISO/IEC 27002), Argentina (IRAM-ISO-IEC 27002), Chile (NCh-ISO27002) o Uruguay (UNIT-ISO/IEC 27002).

La edición de 2013 este estándar fue actualizada reestructurando el contenido en un total de 14 Dominios, 35 Objetivos de Control y 114 Controles.

Puede descargarse una lista actualizada para la versión 2013 de todos los controles de esta norma en una práctica única página como mejor referencia.

Existe una edición puesta a libre disposición pública por "Industria Conectada 4.0" de la versión UNE-ISO/IEC 27002:2017 que es una edición consolidada de la traducción del 2013 y que incorpora las correcciones de 2015.

La última actualización es del 15 de Febrero de 2022 consta de 93 controles relativos a la organización (37), a las personas (8), instalaciones físicas (14) y tecnología (34). En la esta versión es posible que cada organización pueda desarrollar atributos propios para los controles de seguridad facilitando la integración de ISO 27001 con otros marcos de gobierno y de gestión, así como, la posibilidad de orientar la implantación de los controles a sectores industriales o sectoriales específicos para las actividades propias de cada organización.

3

ISO/IEC 27003

Publicada el 01 de Febrero de 2010 y actualizada el 12 de Abril de 2017. No certificable. Es una guía que se centra en los aspectos críticos necesarios para el diseño e implementación con éxito de un SGSI de acuerdo ISO/IEC 27001. Describe el proceso de especificación y diseño desde la concepción hasta la puesta en marcha de planes de implementación, así como el proceso de obtención de aprobación por la dirección para implementar un SGSI. Tiene su origen en el anexo B de la norma BS 7799-2 y en la serie de documentos publicados por BSI a lo largo de los años con recomendaciones y guías de implantación.

4

ISO/IEC 27004

Publicada el 15 de Diciembre de 2009 y revisada en Diciembre de 2016. No certificable. Es una guía para el desarrollo y utilización de métricas y técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles o grupos de controles implementados según ISO/IEC 27001.

5

ISO/IEC 27005

Publicada la cuarta edición en Octubre de 2022 con actualizaciones respecto a requisitos y estructura de la norma ISO/IEC 27001:2022. Se alinea la terminología con ISO 31000:2018 y se han introducido conceptos en escenarios de riesgos con un enfoque a eventos que contrata con el enfoque clásico basado en activos para la identificación de los riesgos.

La tercera edición es de Julio del 2018, segunda edición es de 1 de Junio de 2011 y la primera edición del 15 de Junio de 2008. No certificable. Proporciona directrices para la gestión del riesgo en la seguridad de la información. Apoya los conceptos generales especificados en la norma ISO/IEC 27001 y está diseñada para ayudar a la aplicación satisfactoria de la seguridad de la información basada en un enfoque de gestión de riesgos. Su primera publicación revisó y retiró las normas ISO/IEC TR 13335-3:1998 e ISO/IEC TR 13335-4:2000.

6

ISO/IEC 27006

Publicada en segunda edición el 1 de Diciembre de 2011 (primera edición del 1 de Marzo de 2007) y revisada el 30 de Septiembre de 2015 con una adenda del 27 de Marzo de 2020. Especifica los requisitos para la acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información. Es una versión revisada de EA-7/03 (Requisitos para la acreditación de entidades que operan certificación/registro de SGSIs) que añade a ISO/IEC 17021 (Requisitos para las entidades de auditoría y certificación de sistemas de gestión) los requisitos específicos relacionados con ISO 27001:2005 y los SGSIs. Es decir, ayuda a interpretar los criterios de acreditación de ISO/IEC 17021 cuando se aplican a entidades de certificación de ISO 27001, pero no es una norma de acreditación por sí misma.

ISO/IEC TS 27006-2:2021
Publicada en su primera edición el 26 de Junio del 2021 especifica los requisitos y brinda orientación para los organismos que proporcionan servicios de auditoría y certificación de un sistema de gestión de información de privacidad (PIMS) de acuerdo con ISO/IEC 27701 en combinación con ISO/IEC 27001, además de los requisitos contenidos en ISO/IEC 27006 e ISO/ IEC 27701. Está destinado principalmente a respaldar la acreditación de organismos de certificación que brindan la certificación PIMS.

Cualquiera que brinde la certificación PIMS debe demostrar los requisitos contenidos en este documento en términos de competencia y confiabilidad, y la guía contenida en este documento proporciona una interpretación adicional de estos requisitos para cualquier organismo que brinde la certificación PIMS.

7

ISO/IEC 27007

Publicada el 14 de Noviembre de 2011, revisada el 09 de Octubre de 2017 y con una última versión de 21 de Enero de 2020. No certificable. Es una guía de auditoría de un SGSI, como complemento a lo especificado en ISO 19011.

8

ISO/IEC TS 27008

Publicada el 15 de Octubre de 2011 como ISO/IEC TR 27008 (Technical Report) es sustituido con una primera edición como "TS" (Technical Specification) desde el 14 de Enero de 2019. No certificable. Es una guía de auditoría de los controles seleccionados en el marco de implantación de un SGSI.

9

ISO/IEC 27009

Publicada inicialmente el 15 de Junio de 2016, revisada el 21 de Abril de 2020. No certificable. define los requisitos para el uso de la norma ISO/IEC 27001 en cualquier sector específico (campo, área de aplicación o sector industrial). El documento explica cómo refinar e incluir requisitos adicionales a los de la norma ISO/IEC 27001 y cómo incluir controles o conjuntos de control adicionales a los del Anexo A.

10

ISO/IEC 27010

Publicada el 20 de Octubre de 2012 y revisada el 10 de Noviembre de 2015. Consiste en una guía para la gestión de la seguridad de la información cuando se comparte entre organizaciones o sectores. ISO/IEC 27010:2012 es aplicable a todas las formas de intercambio y difusión de información sensible, tanto públicas como privadas, a nivel nacional e internacional, dentro de la misma industria o sector de mercado o entre sectores. En particular, puede ser aplicable a los intercambios de información y participación en relación con el suministro, mantenimiento y protección de una organización o de la infraestructura crítica de los estados y naciones. Actualmente en proceso de revisión para su actualización.

11

ISO/IEC 27011

Publicada el 15 de Diciembre de 2008 y revisada en Diciembre de 2016. Es una guía de interpretación de la implementación y gestión de la seguridad de la información en organizaciones del sector de telecomunicaciones basada en ISO/IEC 27002. Está publicada también como norma ITU-T X.1051.

13

ISO/IEC 27013

Publicada el 15 de Octubre de 2012 y actualizada el 24 de Noviembre de 2015 y en Noviembre del 2021 en su tercera edición. Es una guía de implementación integrada de ISO/IEC 27001:2013 (gestión de seguridad de la información) y de ISO/IEC 20000-1:2018 (gestión de servicios TI).

14

ISO/IEC 27014

Publicada el 23 de Abril de 2013 y actualizada en segunda edición en Diciembre 2020 consiste en una guía de gobierno corporativo de la seguridad de la información, la ciberseguridad y privacidad.

15

ISO/IEC TR 27015

Publicada el 23 de Noviembre de 2012. Es una guía de SGSI orientada a organizaciones del sector financiero y de seguros y como complemento a ISO/IEC 27002:2005. Desde 24 de Julio, de 2017 se anuncia que no será actualizada en relación a las novedades de la norma ISO/IEC 27002:2013 aunque sigue disponible para su adquisición por parte de los interesados.

16

ISO/IEC TR 27016

Publicada el 20 de Febrero de 2014. Es una guía de valoración de los aspectos financieros de la seguridad de la información.

17

ISO/IEC 27017

Publicada el 15 de Diciembre de 2015. Es una guía de seguridad para Cloud Computing alineada con ISO/IEC 27002 y con controles adicionales específicos de estos entornos de nube. Es posible la certificación en esta norma en conjunto con la implantación de un SGSI en base a los requisitos indicados en ISO/IEC 27001.

18

ISO/IEC 27018

Publicada el 29 de Julio de 2014 y revisada el 15 de Enero de 2019, es un código de buenas prácticas en controles de protección de datos para aquellos proveedores de servicios de computación en cloud computing. Es posible la certificación en esta norma en conjunto con la implantación de un SGSI en base a los requisitos indicados en ISO/IEC 27001.

19

ISO/IEC TR 27019

Publicada el 17 de Julio de 2013. Guía con referencia a ISO/IEC 27002:2005 para el proceso de sistemas de control específicos relacionados con el sector de la industria de la energía. Actualizada como ISO/IEC 27019:2017 en Octubre de 2017 para su alineación con ISO/IEC 27002:2013, además de la aplicación a los sistemas de control de procesos (p.ej. PLCs) utilizados por la industria de la energía para controlar y monitorear la producción o generación, transmisión, almacenamiento y distribución de energía eléctrica, gas, petróleo y calor y para el control de los procesos de soporte asociados, también incluye un requisito para adaptar los procesos de evaluación y tratamiento de riesgos descritos en ISO/IEC 27001:2013 a la orientación específica del sector de servicios de energía.

21

ISO/IEC 27021

Publicada el 31 de Octubre de 2017 especifica los requisitos de competencia para aquellos profesionales que lideran o participan en el establecimiento, implementación, mantenimiento y mejora continua de uno o más procesos del sistema de gestión de seguridad de la información (SGSI) que cumplan con ISO/IEC 27001.

22

ISO/IEC 27022

Publicada el 11 de Marzo de 2021, define un modelo de referencia de procesos para el dominio de la gestión de seguridad de la información con el objetivo de guiar a los usuarios de ISO/IEC 27001 a incorporar el enfoque de proceso tal y como se describe en ISO/IEC 27000:2018 (4.3 - SGSI) y de modo alineado con otras normas de la familia ISO/IEC 27000 desde la perspectiva de la operación de los procesos SGSI. Este documento complementa la perspectiva orientada a los requisitos de ISO/IEC 27003 con un punto de vista operativo y orientado a procesos.

23

ISO/IEC TR 27023

Publicada el 02 de Julio de 2015. No certificable. Es una guía de correspondencias entre las versiones del 2013 de las normas ISO/IEC 27001 y ISO/IEC 27002 como apoyo a la transición de las versiones publicadas en 2005.

24

ISO/IEC TR 27024

En fase de desarrollo el capítulo central contiene actualmente solo 18 cláusulas, cada una de las cuales enumera una selección de leyes y reglamentos relevantes de un país o región diferente (como la UE).

28

ISO/IEC 27028

En fase de desarrollo servirá de guía en el desarrollo y aplicación de los "atributos" en los controles indicados en la norma ISO/IEC 27002:2022 y relacionados con el Anexo A de ISO/IEC 27001:2022.

29

ISO/IEC 27029

En fase de desarrollo cubrirá la relación de la norma ISO/IEC 27002 con otros estándares ISO e IEC.

31

ISO/IEC 27031

Publicada el 01 de Marzo de 2011. No certificable. Es una guía de apoyo para la adecuación de las tecnologías de información y comunicación (TIC) de una organización para la continuidad del negocio. El documento toma como referencia el estándar BS 25777.

32

ISO/IEC 27032

Publicada el 16 de Julio de 2012. Proporciona orientación para la mejora del estado de seguridad cibernética, extrayendo los aspectos únicos de esa actividad y de sus dependencias en otros dominios de seguridad, concretamente: Información de seguridad, seguridad de las redes, seguridad en Internet e información de protección de infraestructuras críticas (CIIP). Cubre las prácticas de seguridad a nivel básico para los interesados en el ciberespacio. Esta norma establece una descripción general de Seguridad Cibernética, una explicación de la relación entre la ciberseguridad y otros tipos de garantías, una definición de las partes interesadas y una descripción de su papel en la seguridad cibernética, una orientación para abordar problemas comunes de Seguridad Cibernética y un marco que permite a las partes interesadas a que colaboren en la solución de problemas en la ciberseguridad.

33

ISO/IEC 27033

Parcialmente desarrollada. Norma dedicada a la seguridad en redes, consistente en 6 partes: 27033-1, conceptos generales (Publicada el 15 de Diciembre de 2009 y revisada el 10 de Octubre de 2015); 27033-2, directrices de diseño e implementación de seguridad en redes (Publicada el 27 de Julio de 2012); 27033-3, escenarios de referencia de redes (Publicada el 3 de Diciembre de 2010); 27033-4, aseguramiento de las comunicaciones entre redes mediante gateways de seguridad (Publicada el 21 de Febrero de 2014); 27033-5, aseguramiento de comunicaciones mediante VPNs (Publicada el 29 de Julio de 2013); 27033-6, securización de redes IP wireless (Publicada en Junio de 2016).

34

ISO/IEC 27034

Parcialmente desarrollada. Norma dedicada la seguridad en aplicaciones informáticas, consistente en 7 partes: 27034-1, conceptos generales (Publicada el 21 de Noviembre de 2011); 27034-2, marco normativo de la organización (Publicada el 15 de Agosto de 2015); 27034-3, proceso de gestión de seguridad en aplicaciones (publicada en Mayo 2018); 27034-4, validación de la seguridad en aplicaciones (en fase de desarrollo); 27034-5, estructura de datos y protocolos y controles de seguridad de aplicaciones (Publicada el 09 de Octubre de 2017); 27034-6, guía de seguridad para aplicaciones de uso específico (Publicada en Octubre de 2016); 27034-7, marco predictivo de en la seguridad (publicada en Mayo 2018).

35

ISO/IEC 27035

Publicada el 17 de Agosto de 2011. Proporciona una guía sobre la gestión de incidentes de seguridad en la información. Consta de 3 partes: 27035-1, Principios en la gestión de incidentes (Publicada en Noviembre de 2016 con revisión de 12 de febrero del 2023); 27035-2, guías para la elaboración de un plan de respuesta a incidentes (Publicada en Noviembre de 2016 con revisión de 12 de febrero del 2023); 27035-3, guía de operaciones en la respuesta a incidentes (Publicada en Septiembre de 2020).

36

ISO/IEC 27036

Guía en cuatro partes de seguridad en las relaciones con proveedores: 27036-1, visión general y conceptos (Publicada inicialmente el 24 de Marzo de 2014 y revisada el 09 de Septiembre del 2021); 27036-2, requisitos comunes (Publicada el 27 de Febrero de 2014); 27036-3, seguridad en la cadena de suministro en software, hardware y servicios TIC (Publicada el 08 de Noviembre de 2013 con revisión de 13 de junio del 2023); 27036-4, guía de seguridad para entornos de servicios Cloud (Publicada en Octubre de 2016).

37

ISO/IEC 27037

Publicada el 15 de Octubre de 2012. Es una guía que propociona directrices para las actividades relacionadas con la identificación, recopilación, consolidación y preservación de evidencias digitales potenciales localizadas en teléfonos móviles, tarjetas de memoria, dispositivos electrónicos personales, sistemas de navegación móvil, cámaras digitales y de video, redes TCP/IP, entre otros dispositvos y para que puedan ser utilizadas con valor probatorio y en el intercambio entre las diferentes jurisdicciones.

38

ISO/IEC 27038

Publicada el 13 de Marzo de 2014. Es una guía de especificación para seguridad en la redacción digital.

39

ISO/IEC 27039

Publicada el 11 de Febrero de 2015. Es una guía para la selección, despliege y operativa de sistemas de detección y prevención de intrusión (IDS/IPS). Existe una corrección al contenido inicial de 28 de Abril de 2016.

40

ISO/IEC 27040

Publicada el 05 de Enero de 2015, es una guía para la seguridad en medios de almacenamiento.

41

ISO/IEC 27041

Publicada el 19 de Junio de 2015, es una guía para la garantizar la la idoneidad y adecuación de los métodos de investigación.

42

ISO/IEC 27042

Publicada el 19 de Junio de 2015. Es una guía con directrices para el análisis e interpretación de las evidencias digitales.

43

ISO/IEC 27043

Publicada el 04 de Marzo de 2015. Desarrolla principios y procesos de investigación para la recopilación de evidencias digitales.

45

ISO/IEC 27045 - ISO/IEC 27046

En fase de desarrollo, el proyecto se inició en 2018 y cubrirá procesos de seguridad y privacidad en sistemas de big data.

50

ISO/IEC 27050

Norma desarrollada en cuatro partes sobre la información almacenada en dispositivos electrónicos en relación a su identificación, preservación, recolección, procesamiento, revisión, análisis y producción: 27050-1, conceptos generales (Publicada en Noviembre de 2016 y con descarga gratuita); 27050-2, Guía para el gobierno y gestión (publicada en Octubre de 2018); 27050-3, código de buenas prácticas (publicada en Octubre de 2017 y en fase avanzada de revisión); 27050-4 brinda orientación sobre las formas en que una organización puede planificar, prepararse e implementar el eDiscovery (es decir, las herramientas y sistemas forenses que respaldan la recopilación, el almacenamiento, la recopilación, la búsqueda, el análisis y la producción de ESI (Electronically Stored Information), además de los procesos relacionados (publicada el 12 de Abril del 2021).

70

ISO/IEC 27070

Publicada en diciembre del 2021 establece requisitos de seguridad para establecer raíces de confianza para la provisión de entornos informáticos confiables, donde las máquinas virtuales se crean dinámicamente para proporcionar servicios en la nube. La computación confiable es un tipo de tecnología de seguridad basada en módulos confiables de hardware, cuyo objetivo es garantizar que una computadora se comporte como se espera. El surgimiento de la computación en la nube proporciona un nuevo escenario de aplicación para la tecnología informática confiable. La confianza se puede establecer en las máquinas virtuales mediante un RoT en la máquina física y un RoT virtualizado en la máquina virtual y el mecanismo para unirlos y garantizar que estén en la misma máquina.

71

ISO/IEC 27071

Publicada el julio del 2023 proporciona un marco y recomendaciones para establecer conexiones de confianza entre dispositivos y servicios basados en módulos de seguridad de hardware. Incluye recomendaciones para componentes como: módulo de seguridad de hardware, raíces de confianza, identidad, autenticación y establecimiento de claves, atestación remota, integridad y autenticidad de los datos. Este documento es aplicable a escenarios que establecen conexiones de confianza entre dispositivos y servicios basados en módulos de seguridad de hardware. Este documento no aborda problemas de privacidad.

90

ISO/IEC 27090

En fase de desarrollo, proporcionará orientación para que las organizaciones aborden las amenazas y fallas de seguridad en los sistemas de inteligencia artificial (IA). La guía de este documento tiene como objetivo proporcionar información a las organizaciones para ayudarlas a comprender mejor las consecuencias de las amenazas de seguridad para los sistemas de IA, a lo largo de su ciclo de vida, y descripciones de cómo detectar y mitigar dichas amenazas.

99

ISO/IEC 27099

Publicada el 08 de Julio del 2022, identifica los requisitos de gestión de seguridad de la información para los proveedores de servicios de confianza de PKI (Public key infrastructure) para el ciclo de vida de los certificados de clave pública que se utilizan para firmas digitales, autenticación o establecimiento de claves para el cifrado de datos.

No aborda los métodos de autenticación, los requisitos de no repudio ni los protocolos de gestión de claves basados en el uso de certificados de clave pública. A los efectos de este documento, el término "certificado" se refiere a los certificados de clave pública. Este documento no es aplicable a los certificados de atributos.

00

ISO/IEC 27100

Publicada el 22 de Diciembre de 2020. Este documento proporciona una descripción de la ciberseguridad y los conceptos relevantes, incluida la forma en que se relaciona y se diferencia de la seguridad de la información. Adicionalmente, establece el contexto de la ciberseguridad cubriendo parte de los términos y definiciones aplicables a la ciberseguridad sin excluir definiciones procedentes de otros estándares o nuevos términos de uso relacionados.

02

ISO/IEC 27102

Publicada el 13 de Agosto de 2019. Este documento proporciona pautas en el momento de considerar la contratar un ciberseguro como una opción de tratamiento de riesgos para gestionar el impacto de un ciberincidente dentro del marco de gestión de riesgos de seguridad de la información de la organización.

03

ISO/IEC TR 27103

Publicada el 22 de Febrero de 2018. Norma desarrollada Primera edición para proporcionar orientación sobre cómo aprovechar las normas existentes en un marco de ciberseguridad.

09

ISO/IEC TS 27109

En fase de desarrollo con el objetivo de cubrir aspectos de formación y educación en ciberseguridad.

10

ISO/IEC TS 27110

Publicada el 16 de Febrero de 2021. La audiencia de este documento son los creadores de marcos de ciberseguridad con el objetivo de este documento es garantizar que se utilice un conjunto mínimo de conceptos para definir los marcos de ciberseguridad ayudando a aliviar la carga de los creadores de marcos de ciberseguridad y de los usuarios de estos marcos. Los principios de este documento son la flexibilidad (para permitir la existencia de múltiples tipos de marcos de ciberseguridad), la compatibilidad (para permitir la alineación de múltiples marcos de ciberseguridad) y la interoperabilidad (para permitir que los usos múltiples de un marco de ciberseguridad sean válidos).

00

ISO/IEC 27400

Publicada inicialmente el 07 de Junio del 2022, este documento proporciona pautas sobre riesgos, principios y controles para la seguridad y privacidad de las soluciones de Internet de las cosas (IoT).

02

ISO/IEC 27402

En fase de desarrollo, especificará la seguridad de la información de referencia y los controles de privacidad para el Internet de la Cosas (IoT).

03

ISO/IEC 27403

En fase de desarrollo, se ocupará de la seguridad y privacidad de la información para la domótica IoT (hogares inteligentes).

04

ISO/IEC 27404

En fase de desarrollo, cubrirá el etiquetado de ciberseguridad para dispositivos IoT de consumo.

50

ISO/IEC TR 27550

Publicada por primera vez en Septiembre de 2019, cubre aspectos de privacidad en ingeniería de sistemas TIC (Tecnologías de la Información y Comunicaciones).

51

ISO/IEC 27551

En fase de desarrollo, especificará los requisitos para la autenticación de entidad no enlazable basada en atributos.

53

ISO/IEC 27553

En fase de desarrollo, especificará los requisitos para la autenticación biométrica en dispositivos móviles.

54

ISO/IEC 27554

En fase de desarrollo, asesorará sobre el uso de ISO 31000 para evaluar el riesgo relacionado con la gestión de identidad.

55

ISO/IEC 27555

Publicada inicialmente el 08 de Octubre del 2021 este documento proporciona un marco para desarrollar y establecer políticas y procedimientos para la eliminación de PII que pueden ser implementados por una organización en sus procesos funcionales y aplicaciones TIC. Este marco permite la eliminación coherente de PII en toda una organización.

56

ISO/IEC 27556

En fase de desarrollo, generará un marco centrado en el usuario para manejar la PII en función de las preferencias de privacidad.

57

ISO/IEC 27557

En fase de publicación, aconsejará sobre el uso de ISO 31000 para gestionar los riesgos de privacidad.

59

ISO/IEC 27559

En fase de publicación, establece un marco para la despersonalización (anonimización) de datos personales.

60

ISO/IEC 27560

En fase de desarrollo, especificará una estructura de información para los registros de consentimiento de privacidad.

61

ISO/IEC 27561

En fase de desarrollo, establecerá un enfoque de ingeniería en privacidad para determinar y satisfacer los requisitos relacionados con la privacidad.

62

ISO/IEC 27562

En fase de desarrollo, ofrecerá pautas de privacidad para 'fintech'.

63

ISO/IEC TR 27563

En fase de desarrollo, ampliará las implicaciones de seguridad y privacidad de numerosos casos de uso de inteligencia artificial.

65

ISO/IEC 27565

En fase de desarrollo, ofrecerá pautas sobre privacidad a través de pruebas de conocimiento cero.

70

ISO/IEC TS 27570

Publicada por primera vez el 28 de Enero de 2021 este documento ofrece orientación sobre la privacidad de los ciudadanos como punto de atención principal en el desarrollo de ecosistemas para las denominadas ciudades inteligentes (smart cities). Este documento es aplicable a todo tipo y tamaño de organizaciones, incluidas empresas públicas y privadas, entidades gubernamentales y organizaciones sin fines de lucro que brindan servicios en entornos de ciudades inteligentes.

01

ISO/IEC 27701

Publicada por primera vez en Agosto de 2019 este documento especifica los requisitos y proporciona orientación para establecer, implementar, mantener y mejorar continuamente un Sistema de gestión de información de privacidad (PIMS) a modo de extensión de ISO/IEC 27001 e ISO/IEC 27002 para la gestión de privacidad dentro del contexto de la organización. Especifica los requisitos relacionados con PIMS y proporciona orientación para los controladores y procesadores de PII que tienen la responsabilidad y la responsabilidad del procesamiento de PII.

99

ISO 27799

Publicada el 12 de Junio de 2008 dispone de una segunda revisión actualizada desde Julio 2016. Es una norma que proporciona directrices para apoyar la interpretación y aplicación en el sector sanitario de ISO/IEC 27002, en cuanto a la seguridad de la información sobre los datos de salud de los pacientes. Esta norma, al contrario que las anteriores, no la desarrolla el subcomité JTC1/SC27, sino el comité técnico TC 215.