¿Cómo respalda ISO/IEC 27005 el cumplimiento de ISO/IEC 27001?
ISO/IEC 27005 proporciona orientación detallada para realizar las evaluaciones y el tratamiento de riesgos de seguridad de la información exigidos por ISO/IEC 27001. Explica cómo cumplir con la cláusula 6.1.2 definiendo el contexto, evaluando los riesgos y seleccionando controles de forma estructurada y auditable.
ISO/IEC 27005 respalda ISO/IEC 27001 explicando cómo las organizaciones deben realizar las actividades de gestión de riesgos de seguridad de la información requeridas para la certificación. Mientras ISO/IEC 27001 establece qué debe hacerse, ISO/IEC 27005 describe cómo hacerlo de manera consistente y defendible.
Los auditores escrutan cada vez más la calidad de la evaluación de riesgos, no solo su existencia. Entre 2024 y 2025, muchas no conformidades ISO/IEC 27001 están relacionadas con una lógica débil de evaluación de riesgos, criterios de aceptación poco claros o un vínculo deficiente entre riesgos y controles. ISO/IEC 27005 aborda estas brechas directamente.
La cláusula 6.1.2 de ISO/IEC 27001 exige que las organizaciones identifiquen los riesgos, los analicen y evalúen, y definan las opciones de tratamiento. ISO/IEC 27005 amplifica cada uno de estos pasos, incluyendo:
- Establecimiento del contexto y definición del alcance
- Identificación de riesgos basada en activos, amenazas y vulnerabilidades
- Análisis de riesgos usando técnicas cualitativas o cuantitativas
- Evaluación de riesgos frente a criterios de aceptación definidos
- Tratamiento de riesgos y aceptación de riesgos residuales
Las organizaciones que usan ISO/IEC 27005 suelen producir registros de riesgos más claros, Declaraciones de Aplicabilidad mejor justificadas y evidencia de auditoría más consistente. Las decisiones de riesgo son trazables, repetibles y están alineadas con los objetivos de negocio, en lugar de guiarse únicamente por listas de verificación de controles.
Los profesionales responsables del mantenimiento de ISO/IEC 27001 suelen usar ISO/IEC 27005 como su referencia interna de metodología de riesgos.
Related Information
- ISO/IEC 27005 es una norma de orientación, no certificable.
- La certificación ISO/IEC 27001 no exige adoptar formalmente ISO/IEC 27005, pero los auditores suelen esperar alineamiento.
- Los criterios de aceptación de riesgos deben ser aprobados por la dirección.
- Los planes de tratamiento de riesgos deben referenciar controles implementados o planificados.
- ISO/IEC 27005 se alinea con los principios de riesgos de ISO 31000.
Expert Insight
Vemos regularmente organizaciones que aprueban ISO/IEC 27001 inicialmente, pero tienen dificultades en auditorías de seguimiento porque la gestión de riesgos se hizo con prisas. ISO/IEC 27005 ayuda a prevenir eso forzando claridad desde el principio: qué está dentro del alcance, cómo se mide el riesgo y quién lo acepta. Las organizaciones maduras revisan estos elementos anualmente, no solo antes de las auditorías. El verdadero beneficio es la estabilidad. Una vez definida la lógica de riesgos, las actualizaciones son incrementales en lugar de disruptivas.
Topics
Related Answers
¿Cómo apoya ISO/IEC 27005 al cumplimiento de ISO/IEC 27001?
ISO/IEC 27005 proporciona orientación detallada para realizar los análisis y tratamientos de riesgos de seguridad de la información que exige ISO/IEC 27001. Explica cómo cumplir la cláusula 6.1.2 definiendo el contexto, evaluando riesgos y seleccionando controles de forma estructurada y auditable.
byTania POSTIL
¿Cómo apoya SC-400 el cumplimiento?
SC-400 apoya el cumplimiento traduciendo los requisitos regulatorios en controles de protección y gobernanza Microsoft 365.
byHenri HAENNI
¿Por qué la ISO 27035 se centra en una gestión de incidentes estructurada?
La ISO 27035 enfatiza la estructura para que los incidentes se gestionen de forma coherente, legal y con la mínima interrupción del negocio.
byHenri HAENNI