¿Qué cambió en ISO/IEC 27005:2022 respecto a 2018?

ISO/IEC 27005:2022 se publicó en octubre de 2022 y sustituye a la edición de 2018. Los cambios confirmados se refieren a la alineación de la terminología con ISO/IEC 27001:2022 e ISO 31000:2018, y a un vocabulario actualizado en torno a los conceptos de riesgo, amenaza y vulnerabilidad.

ISO/IEC 27005:2022 fue publicada en octubre de 2022 por el comité técnico ISO/IEC JTC 1/SC 27, en sustitución de ISO/IEC 27005:2018. Las organizaciones que utilizan la edición de 2018 no están obligadas a migrar de inmediato, pero la versión de 2022 se está convirtiendo progresivamente en la referencia empleada en las auditorías.

La principal evolución confirmada es la alineación de la terminología con ISO 27001:2022 e ISO 31000:2018. Esto abarca el vocabulario en torno al riesgo (el efecto de la incertidumbre sobre los objetivos), la amenaza (una causa potencial de un incidente) y la vulnerabilidad (una debilidad que puede ser explotada).

La estructura de referencia para el tratamiento del riesgo se alinea con la nueva organización de ISO 27002:2022: 93 controles agrupados en cuatro temas (Organizativos, Personas, Físicos y Tecnológicos). Esto facilita mantener la apreciación del riesgo coherente con la Declaración de Aplicabilidad (SoA) de un SGSI ISO 27001:2022.

Para las organizaciones que transitan de ISO 27001:2013 a ISO 27001:2022, la actualización a ISO 27005:2022 debe planificarse en paralelo. El periodo de coexistencia para las nuevas certificaciones ISO 27001 finalizó el 31 de octubre de 2025. Para la lista completa de cambios, consulte la norma oficial en iso.org.

Related Information

  • ISO 27005:2022 publicada: octubre de 2022
  • Cambio confirmado: terminología alineada con ISO 27001:2022 e ISO 31000:2018
  • Referencia de controles: ISO 27002:2022 (93 controles, 4 temas)
  • Transición ISO 27001:2013 a 2022: coexistencia finalizada el 31 de octubre de 2025
  • Fuente oficial completa: iso.org

Expert Insight

Si ya está migrando su SGSI a ISO 27001:2022, adopte ISO 27005:2022 al mismo tiempo: el vocabulario compartido y los temas de control de ISO 27002:2022 mantienen sincronizadas su apreciación del riesgo y su SoA.

Ver todas las formaciones Seguridad de la Información

Más sobre ISO 27005 Risk Manager

1

¿En qué se diferencia ISO/IEC 27005 de otros métodos de evaluación de riesgos como EBIOS o NIST?

ISO/IEC 27005 define un marco de gestión de riesgos más que un método único de evaluación, mientras que EBIOS, NIST y enfoques similares proporcionan técnicas de análisis específicas. ISO 27005 permite a las organizaciones seleccionar y justificar métodos dentro de un ciclo de vida estandarizado.

2

¿Qué es la certificación ISO/IEC 27005 Risk Manager y qué le permite hacer?

La certificación ISO/IEC 27005 Risk Manager cualifica a los profesionales para diseñar, operar y mantener un proceso de gestión de riesgos de seguridad de la información alineado con ISO/IEC 27005:2022. Valida la capacidad para identificar, analizar, evaluar, tratar y comunicar riesgos de seguridad de la información en apoyo del cumplimiento de ISO/IEC 27001.

3

¿En qué se diferencia ISO/IEC 27005 de otros métodos de análisis de riesgos como EBIOS o NIST?

ISO/IEC 27005 define un marco de gestión de riesgos en lugar de un único método de análisis, mientras que EBIOS, NIST y enfoques similares aportan técnicas concretas de análisis. ISO 27005 permite a las organizaciones seleccionar y justificar métodos dentro de un ciclo de vida estandarizado.

4

¿Cuáles son los prerrequisitos para la certificación ISO/IEC 27005 Risk Manager?

No existen prerrequisitos formales para la certificación ISO/IEC 27005 Risk Manager, pero se espera que los participantes tengan conocimientos básicos de seguridad de la información y familiaridad con los conceptos de ISO/IEC 27001. Se recomienda encarecidamente exposición previa a actividades de gestión de riesgos.

Todas las preguntas frecuentes →

Base de conocimiento completa

Usamos cookies para mejorar su experiencia

Las cookies necesarias siempre están activas. Puede aceptar, rechazar cookies no esenciales o personalizar sus preferencias.