¿Cómo respalda ISO/IEC 27005 el cumplimiento de ISO/IEC 27001?
ISO/IEC 27005 proporciona orientación detallada para realizar las evaluaciones y el tratamiento de riesgos de seguridad de la información exigidos por ISO/IEC 27001. Explica cómo cumplir con la cláusula 6.1.2 definiendo el contexto, evaluando los riesgos y seleccionando controles de forma estructurada y auditable.
ISO/IEC 27005 respalda ISO/IEC 27001 explicando cómo las organizaciones deben realizar las actividades de gestión de riesgos de seguridad de la información requeridas para la certificación. Mientras ISO/IEC 27001 establece qué debe hacerse, ISO/IEC 27005 describe cómo hacerlo de manera consistente y defendible.
Los auditores escrutan cada vez más la calidad de la evaluación de riesgos, no solo su existencia. Entre 2024 y 2025, muchas no conformidades ISO/IEC 27001 están relacionadas con una lógica débil de evaluación de riesgos, criterios de aceptación poco claros o un vínculo deficiente entre riesgos y controles. ISO/IEC 27005 aborda estas brechas directamente.
La cláusula 6.1.2 de ISO/IEC 27001 exige que las organizaciones identifiquen los riesgos, los analicen y evalúen, y definan las opciones de tratamiento. ISO/IEC 27005 amplifica cada uno de estos pasos, incluyendo:
- Establecimiento del contexto y definición del alcance
- Identificación de riesgos basada en activos, amenazas y vulnerabilidades
- Análisis de riesgos usando técnicas cualitativas o cuantitativas
- Evaluación de riesgos frente a criterios de aceptación definidos
- Tratamiento de riesgos y aceptación de riesgos residuales
Las organizaciones que usan ISO/IEC 27005 suelen producir registros de riesgos más claros, Declaraciones de Aplicabilidad mejor justificadas y evidencia de auditoría más consistente. Las decisiones de riesgo son trazables, repetibles y están alineadas con los objetivos de negocio, en lugar de guiarse únicamente por listas de verificación de controles.
Los profesionales responsables del mantenimiento de ISO/IEC 27001 suelen usar ISO/IEC 27005 como su referencia interna de metodología de riesgos.
Related Information
- ISO/IEC 27005 es una norma de orientación, no certificable.
- La certificación ISO/IEC 27001 no exige adoptar formalmente ISO/IEC 27005, pero los auditores suelen esperar alineamiento.
- Los criterios de aceptación de riesgos deben ser aprobados por la dirección.
- Los planes de tratamiento de riesgos deben referenciar controles implementados o planificados.
- ISO/IEC 27005 se alinea con los principios de riesgos de ISO 31000.
Expert Insight
Vemos regularmente organizaciones que aprueban ISO/IEC 27001 inicialmente, pero tienen dificultades en auditorías de seguimiento porque la gestión de riesgos se hizo con prisas. ISO/IEC 27005 ayuda a prevenir eso forzando claridad desde el principio: qué está dentro del alcance, cómo se mide el riesgo y quién lo acepta. Las organizaciones maduras revisan estos elementos anualmente, no solo antes de las auditorías. El verdadero beneficio es la estabilidad. Una vez definida la lógica de riesgos, las actualizaciones son incrementales en lugar de disruptivas.
Topics
Related Answers
¿Qué temas se cubren a lo largo de los cuatro días del curso?
El Día 1 cubre fundamentos de riesgos de IA; el Día 2 cubre contexto, gobernanza e identificación de riesgos; el Día 3 cubre análisis, evaluación y tratamiento; el Día 4 cubre monitorización, reporte, concienciación y mejora continua.
byHenri HAENNI
¿Qué hace un Certified Artificial Intelligence Professional en la práctica?
Un profesional CAIP diseña e implementa soluciones de IA, valida modelos con datos, y gestiona riesgos, ética, privacidad y gobernanza para que la IA aporte valor de forma responsable.
byTania POSTIL
¿Qué es la certificación ISO/IEC 27005 Risk Manager y qué le permite hacer?
La certificación ISO/IEC 27005 Risk Manager cualifica a los profesionales para diseñar, operar y mantener un proceso de gestión de riesgos de seguridad de la información alineado con ISO/IEC 27005:2022. Valida la capacidad para identificar, analizar, evaluar, tratar y comunicar riesgos de seguridad de la información en apoyo del cumplimiento de ISO/IEC 27001.
byChristophe MAZZOLA