ISO/IEC 27001:2022 es la norma certificable que define los requisitos de un Sistema de Gestión de Seguridad de la Información (SGSI). ISO/IEC 27005:2022 es una norma de directrices, no certificable, que detalla cómo gestionar los riesgos de seguridad de la información. ISO 27001 indica que hay que gestionar el riesgo; ISO 27005 explica cómo.
ISO/IEC 27001:2022 define los requisitos de un SGSI: alcance, políticas, gobernanza, tratamiento del riesgo, controles (Anexo A, 93 controles en cuatro temas), seguimiento y mejora continua. Es la norma frente a la cual un organismo acreditado evalúa a su organización para emitir un certificado.
ISO/IEC 27005:2022 no define requisitos certificables. Aporta directrices metodológicas para llevar a cabo la gestión de riesgos exigida por la cláusula 6.1 de ISO 27001: la apreciación del riesgo (6.1.2) y el tratamiento del riesgo (6.1.3).
Una organización puede certificarse en ISO 27001 sin citar explícitamente ISO 27005 en su documentación, siempre que pueda demostrar un proceso riguroso de gestión de riesgos. En la práctica, ISO 27005 se emplea de forma habitual como referencia metodológica, pero no es obligatoria.
En cuanto a la certificación individual PECB, las dos familias son distintas y complementarias. ISO 27001 ofrece Foundation, Lead Implementer y Lead Auditor. ISO 27005 ofrece Foundation, Risk Manager y Lead Risk Manager.
Asocie la credencial al puesto: un Lead Implementer construye el SGSI, mientras que un Risk Manager se responsabiliza del proceso de riesgos de la cláusula 6.1 que lo alimenta. La mayoría de los equipos de seguridad maduros necesitan ambos perfiles.
Ver todas las formaciones Seguridad de la Información
ISO/IEC 27005 define un marco de gestión de riesgos más que un método único de evaluación, mientras que EBIOS, NIST y enfoques similares proporcionan técnicas de análisis específicas. ISO 27005 permite a las organizaciones seleccionar y justificar métodos dentro de un ciclo de vida estandarizado.
La certificación ISO/IEC 27005 Risk Manager cualifica a los profesionales para diseñar, operar y mantener un proceso de gestión de riesgos de seguridad de la información alineado con ISO/IEC 27005:2022. Valida la capacidad para identificar, analizar, evaluar, tratar y comunicar riesgos de seguridad de la información en apoyo del cumplimiento de ISO/IEC 27001.
ISO/IEC 27005 define un marco de gestión de riesgos en lugar de un único método de análisis, mientras que EBIOS, NIST y enfoques similares aportan técnicas concretas de análisis. ISO 27005 permite a las organizaciones seleccionar y justificar métodos dentro de un ciclo de vida estandarizado.
No existen prerrequisitos formales para la certificación ISO/IEC 27005 Risk Manager, pero se espera que los participantes tengan conocimientos básicos de seguridad de la información y familiaridad con los conceptos de ISO/IEC 27001. Se recomienda encarecidamente exposición previa a actividades de gestión de riesgos.
ISO 31000:2018 para practicantes suizos: 8 principios, proceso en 6 etapas, 7 opciones de tratamiento, cruce con FINMA 2023/01, LSI, revLPD, DORA y Ley de IA UE. Guía experta Henri Haenni.
ISO 27001 en una FinTech suiza se lee a través de seis capas regulatorias: FINMA, ISG, nLPD, DORA, EU AI Act. La guía experta 2026 sobre alcance, riesgo de proveedores y reporte de incidentes.
Todas las preguntas frecuentes →
Base de conocimiento completa
Las cookies necesarias siempre están activas. Puede aceptar, rechazar cookies no esenciales o personalizar sus preferencias.