ISO 31000:2018 es la norma internacional de gestión de riesgos de propósito general, aplicable a cualquier tipo de riesgo en cualquier organización. ISO/IEC 27005:2022 está alineada con los principios de ISO 31000 y se construye sobre su estructura, pero se centra específicamente en los riesgos de seguridad de la información.
ISO 31000:2018 Gestión del riesgo. Directrices es el marco de propósito general aplicable a todos los tipos de riesgo: financiero, operativo, estratégico, ambiental, de seguridad de la información, de recursos humanos y otros. Está diseñada para aplicarse a cualquier organización, con independencia de su tamaño o sector.
ISO/IEC 27005:2022 está alineada con los principios y la estructura de ISO 31000:2018, con un enfoque operativo en los riesgos de seguridad de la información. Sigue las mismas etapas: establecimiento del contexto, identificación, análisis, evaluación, tratamiento, comunicación y consulta, y seguimiento y revisión.
Una organización que deba gestionar varios tipos de riesgo a la vez puede adoptar ISO 31000 como marco rector y utilizar ISO 27005 (o EBIOS RM) para el ámbito de la información. Las dos certificaciones individuales, ISO 31000 Risk Manager e ISO 27005 Risk Manager, están reconocidas por separado por PECB.
Para un Chief Risk Officer o un Risk Manager generalista, la prioridad es ISO 31000 Risk Manager. Para un CISO, un DPO o un responsable de riesgos de seguridad de la información, la prioridad es ISO 27005 Risk Manager, idealmente complementada con ISO 31000 Foundation para compartir un lenguaje común con las demás funciones de riesgo.
Piense en marco frente a foco: ISO 31000 da a toda la empresa un mismo lenguaje de riesgo; ISO 27005 lo aplica a la seguridad de la información. A los responsables de seguridad les conviene dominar un poco de ambos.
Ver todas las formaciones Seguridad de la Información
ISO/IEC 27005 define un marco de gestión de riesgos más que un método único de evaluación, mientras que EBIOS, NIST y enfoques similares proporcionan técnicas de análisis específicas. ISO 27005 permite a las organizaciones seleccionar y justificar métodos dentro de un ciclo de vida estandarizado.
La certificación ISO/IEC 27005 Risk Manager cualifica a los profesionales para diseñar, operar y mantener un proceso de gestión de riesgos de seguridad de la información alineado con ISO/IEC 27005:2022. Valida la capacidad para identificar, analizar, evaluar, tratar y comunicar riesgos de seguridad de la información en apoyo del cumplimiento de ISO/IEC 27001.
ISO/IEC 27005 define un marco de gestión de riesgos en lugar de un único método de análisis, mientras que EBIOS, NIST y enfoques similares aportan técnicas concretas de análisis. ISO 27005 permite a las organizaciones seleccionar y justificar métodos dentro de un ciclo de vida estandarizado.
No existen prerrequisitos formales para la certificación ISO/IEC 27005 Risk Manager, pero se espera que los participantes tengan conocimientos básicos de seguridad de la información y familiaridad con los conceptos de ISO/IEC 27001. Se recomienda encarecidamente exposición previa a actividades de gestión de riesgos.
ISO 31000:2018 para practicantes suizos: 8 principios, proceso en 6 etapas, 7 opciones de tratamiento, cruce con FINMA 2023/01, LSI, revLPD, DORA y Ley de IA UE. Guía experta Henri Haenni.
ISO 27001 en una FinTech suiza se lee a través de seis capas regulatorias: FINMA, ISG, nLPD, DORA, EU AI Act. La guía experta 2026 sobre alcance, riesgo de proveedores y reporte de incidentes.
Todas las preguntas frecuentes →
Base de conocimiento completa
Las cookies necesarias siempre están activas. Puede aceptar, rechazar cookies no esenciales o personalizar sus preferencias.