¿Cuál es la diferencia entre ISO/IEC 27001 e ISO/IEC 27005?

ISO/IEC 27001:2022 es la norma certificable que define los requisitos de un Sistema de Gestión de Seguridad de la Información (SGSI). ISO/IEC 27005:2022 es una norma de directrices, no certificable, que detalla cómo gestionar los riesgos de seguridad de la información. ISO 27001 indica que hay que gestionar el riesgo; ISO 27005 explica cómo.

ISO/IEC 27001:2022 define los requisitos de un SGSI: alcance, políticas, gobernanza, tratamiento del riesgo, controles (Anexo A, 93 controles en cuatro temas), seguimiento y mejora continua. Es la norma frente a la cual un organismo acreditado evalúa a su organización para emitir un certificado.

ISO/IEC 27005:2022 no define requisitos certificables. Aporta directrices metodológicas para llevar a cabo la gestión de riesgos exigida por la cláusula 6.1 de ISO 27001: la apreciación del riesgo (6.1.2) y el tratamiento del riesgo (6.1.3).

Una organización puede certificarse en ISO 27001 sin citar explícitamente ISO 27005 en su documentación, siempre que pueda demostrar un proceso riguroso de gestión de riesgos. En la práctica, ISO 27005 se emplea de forma habitual como referencia metodológica, pero no es obligatoria.

En cuanto a la certificación individual PECB, las dos familias son distintas y complementarias. ISO 27001 ofrece Foundation, Lead Implementer y Lead Auditor. ISO 27005 ofrece Foundation, Risk Manager y Lead Risk Manager.

Related Information

  • ISO 27001:2022: norma certificable, requisitos del SGSI
  • ISO 27005:2022: no certificable, directrices para la gestión de riesgos
  • Vínculo: ISO 27005 ayuda a implantar la cláusula 6.1 de ISO 27001
  • Método alternativo reconocido: EBIOS Risk Manager (ANSSI)
  • Itinerario PECB habitual: ISO 27001 Lead Implementer + ISO 27005 Risk Manager

Expert Insight

Asocie la credencial al puesto: un Lead Implementer construye el SGSI, mientras que un Risk Manager se responsabiliza del proceso de riesgos de la cláusula 6.1 que lo alimenta. La mayoría de los equipos de seguridad maduros necesitan ambos perfiles.

Ver todas las formaciones Seguridad de la Información

Más sobre ISO 27005 Risk Manager

1

¿En qué se diferencia ISO/IEC 27005 de otros métodos de evaluación de riesgos como EBIOS o NIST?

ISO/IEC 27005 define un marco de gestión de riesgos más que un método único de evaluación, mientras que EBIOS, NIST y enfoques similares proporcionan técnicas de análisis específicas. ISO 27005 permite a las organizaciones seleccionar y justificar métodos dentro de un ciclo de vida estandarizado.

2

¿Qué es la certificación ISO/IEC 27005 Risk Manager y qué le permite hacer?

La certificación ISO/IEC 27005 Risk Manager cualifica a los profesionales para diseñar, operar y mantener un proceso de gestión de riesgos de seguridad de la información alineado con ISO/IEC 27005:2022. Valida la capacidad para identificar, analizar, evaluar, tratar y comunicar riesgos de seguridad de la información en apoyo del cumplimiento de ISO/IEC 27001.

3

¿En qué se diferencia ISO/IEC 27005 de otros métodos de análisis de riesgos como EBIOS o NIST?

ISO/IEC 27005 define un marco de gestión de riesgos en lugar de un único método de análisis, mientras que EBIOS, NIST y enfoques similares aportan técnicas concretas de análisis. ISO 27005 permite a las organizaciones seleccionar y justificar métodos dentro de un ciclo de vida estandarizado.

4

¿Cuáles son los prerrequisitos para la certificación ISO/IEC 27005 Risk Manager?

No existen prerrequisitos formales para la certificación ISO/IEC 27005 Risk Manager, pero se espera que los participantes tengan conocimientos básicos de seguridad de la información y familiaridad con los conceptos de ISO/IEC 27001. Se recomienda encarecidamente exposición previa a actividades de gestión de riesgos.

Todas las preguntas frecuentes →

Base de conocimiento completa

Usamos cookies para mejorar su experiencia

Las cookies necesarias siempre están activas. Puede aceptar, rechazar cookies no esenciales o personalizar sus preferencias.