¿Cómo apoya ISO/IEC 27005 al cumplimiento de ISO/IEC 27001?

ISO/IEC 27005 proporciona orientación detallada para realizar los análisis y tratamientos de riesgos de seguridad de la información que exige ISO/IEC 27001. Explica cómo cumplir la cláusula 6.1.2 definiendo el contexto, evaluando riesgos y seleccionando controles de forma estructurada y auditable.

ISO/IEC 27005 apoya a ISO/IEC 27001 explicando cómo deben realizar las organizaciones las actividades de gestión de riesgos de seguridad de la información que exige la certificación. Mientras ISO/IEC 27001 dice qué hay que hacer, ISO/IEC 27005 describe cómo hacerlo de manera consistente y defendible.

Los auditores examinan cada vez más la calidad del análisis de riesgos, no solo su existencia. Entre 2024 y 2025, muchas no conformidades de ISO/IEC 27001 se relacionan con una lógica de evaluación débil, criterios de aceptación poco claros o vínculo deficiente entre riesgos y controles. ISO/IEC 27005 aborda estos huecos directamente.

La cláusula 6.1.2 de ISO/IEC 27001 exige a las organizaciones identificar riesgos, analizarlos y evaluarlos, y definir opciones de tratamiento. ISO/IEC 27005 amplía cada uno de estos pasos, incluyendo:

  • Establecimiento del contexto y definición del alcance
  • Identificación de riesgos basada en activos, amenazas y vulnerabilidades
  • Análisis de riesgos con técnicas cualitativas o cuantitativas
  • Evaluación de riesgos frente a criterios de aceptación definidos
  • Tratamiento de riesgos y aceptación del riesgo residual

Las organizaciones que usan ISO/IEC 27005 producen normalmente registros de riesgos más claros, Declaraciones de Aplicabilidad mejor justificadas y evidencia de auditoría más consistente. Las decisiones de riesgo son trazables, repetibles y están alineadas con los objetivos de negocio en lugar de guiarse solo por checklists de controles.

Los profesionales responsables del mantenimiento de ISO/IEC 27001 suelen usar ISO/IEC 27005 como referencia interna de metodología de riesgos.

Related Information

  • ISO/IEC 27005 es una norma de orientación, no certificable.
  • La certificación ISO/IEC 27001 no exige formalmente ISO/IEC 27005, pero los auditores suelen esperar alineación.
  • Los criterios de aceptación de riesgo deben aprobarse por la dirección.
  • Los planes de tratamiento de riesgos deben referenciar controles implantados o planificados.
  • ISO/IEC 27005 se alinea con los principios de riesgo de ISO 31000.

Expert Insight

Vemos con frecuencia organizaciones que pasan ISO/IEC 27001 inicialmente y después tienen problemas en las auditorías de seguimiento porque la gestión de riesgos se hizo deprisa. ISO/IEC 27005 ayuda a evitar eso forzando claridad temprana: qué está dentro del alcance, cómo se mide el riesgo y quién lo acepta. Las organizaciones maduras revisan estos elementos cada año, no solo antes de las auditorías. El beneficio real es la estabilidad. Una vez definida la lógica del riesgo, las actualizaciones se vuelven incrementales en lugar de disruptivas.

«Cuando los auditores preguntan ‘¿por qué elegiste este control?’, ISO 27005 te da una respuesta documentada en lugar de una conjetura.»

Christophe MAZZOLA

Christophe MAZZOLA

ISO 27001 Lead Implementer • ISO 27001 Lead Auditor

Topics

Riesgo ISO 27001Metodología ISO 27005Implantación SGSISGSICumplimiento

From Course

ISO 27005 Risk Manager

Learn more about this course and related topics

Related Answers

1

¿Cómo respalda ISO/IEC 27005 el cumplimiento de ISO/IEC 27001?

ISO/IEC 27005 proporciona orientación detallada para realizar las evaluaciones y el tratamiento de riesgos de seguridad de la información exigidos por ISO/IEC 27001. Explica cómo cumplir con la cláusula 6.1.2 definiendo el contexto, evaluando los riesgos y seleccionando controles de forma estructurada y auditable.

byTania POSTIL

Read more
2

¿Qué es la certificación ISO 27001 Foundation y qué valida?

La certificación ISO 27001 Foundation valida que un profesional comprende la estructura, los principios y la lógica de gestión de un Sistema de Gestión de la Seguridad de la Información (SGSI) basado en ISO/IEC 27001:2022. Confirma la capacidad de interpretar la norma y explicar cómo gobernanza, gestión de riesgos, controles, auditorías y mejora continua encajan dentro de un SGSI.

byPhani SRIPADA

Read more
3

¿Qué es la certificación ISO/IEC 27005 Risk Manager y qué le permite hacer?

La certificación ISO/IEC 27005 Risk Manager cualifica a los profesionales para diseñar, operar y mantener un proceso de gestión de riesgos de seguridad de la información alineado con ISO/IEC 27005:2022. Valida la capacidad para identificar, analizar, evaluar, tratar y comunicar riesgos de seguridad de la información en apoyo del cumplimiento de ISO/IEC 27001.

byChristophe MAZZOLA

Read more

Usamos cookies para mejorar su experiencia

Las cookies necesarias siempre están activas. Puede aceptar, rechazar cookies no esenciales o personalizar sus preferencias.

¿Cómo apoya ISO/IEC 27005 al cumplimiento de ISO/IEC 27001? – ISO 27005 e ISO 27001 explicadas – ISO 27005 Risk Manager…