ISO/IEC 27005:2022 se publicó en octubre de 2022 y sustituye a la edición de 2018. Los cambios confirmados se refieren a la alineación de la terminología con ISO/IEC 27001:2022 e ISO 31000:2018, y a un vocabulario actualizado en torno a los conceptos de riesgo, amenaza y vulnerabilidad.
ISO/IEC 27005:2022 fue publicada en octubre de 2022 por el comité técnico ISO/IEC JTC 1/SC 27, en sustitución de ISO/IEC 27005:2018. Las organizaciones que utilizan la edición de 2018 no están obligadas a migrar de inmediato, pero la versión de 2022 se está convirtiendo progresivamente en la referencia empleada en las auditorías.
La principal evolución confirmada es la alineación de la terminología con ISO 27001:2022 e ISO 31000:2018. Esto abarca el vocabulario en torno al riesgo (el efecto de la incertidumbre sobre los objetivos), la amenaza (una causa potencial de un incidente) y la vulnerabilidad (una debilidad que puede ser explotada).
La estructura de referencia para el tratamiento del riesgo se alinea con la nueva organización de ISO 27002:2022: 93 controles agrupados en cuatro temas (Organizativos, Personas, Físicos y Tecnológicos). Esto facilita mantener la apreciación del riesgo coherente con la Declaración de Aplicabilidad (SoA) de un SGSI ISO 27001:2022.
Para las organizaciones que transitan de ISO 27001:2013 a ISO 27001:2022, la actualización a ISO 27005:2022 debe planificarse en paralelo. El periodo de coexistencia para las nuevas certificaciones ISO 27001 finalizó el 31 de octubre de 2025. Para la lista completa de cambios, consulte la norma oficial en iso.org.
Si ya está migrando su SGSI a ISO 27001:2022, adopte ISO 27005:2022 al mismo tiempo: el vocabulario compartido y los temas de control de ISO 27002:2022 mantienen sincronizadas su apreciación del riesgo y su SoA.
Ver todas las formaciones Seguridad de la Información
ISO/IEC 27005 define un marco de gestión de riesgos más que un método único de evaluación, mientras que EBIOS, NIST y enfoques similares proporcionan técnicas de análisis específicas. ISO 27005 permite a las organizaciones seleccionar y justificar métodos dentro de un ciclo de vida estandarizado.
La certificación ISO/IEC 27005 Risk Manager cualifica a los profesionales para diseñar, operar y mantener un proceso de gestión de riesgos de seguridad de la información alineado con ISO/IEC 27005:2022. Valida la capacidad para identificar, analizar, evaluar, tratar y comunicar riesgos de seguridad de la información en apoyo del cumplimiento de ISO/IEC 27001.
ISO/IEC 27005 define un marco de gestión de riesgos en lugar de un único método de análisis, mientras que EBIOS, NIST y enfoques similares aportan técnicas concretas de análisis. ISO 27005 permite a las organizaciones seleccionar y justificar métodos dentro de un ciclo de vida estandarizado.
No existen prerrequisitos formales para la certificación ISO/IEC 27005 Risk Manager, pero se espera que los participantes tengan conocimientos básicos de seguridad de la información y familiaridad con los conceptos de ISO/IEC 27001. Se recomienda encarecidamente exposición previa a actividades de gestión de riesgos.
ISO 31000:2018 para practicantes suizos: 8 principios, proceso en 6 etapas, 7 opciones de tratamiento, cruce con FINMA 2023/01, LSI, revLPD, DORA y Ley de IA UE. Guía experta Henri Haenni.
ISO 27001 en una FinTech suiza se lee a través de seis capas regulatorias: FINMA, ISG, nLPD, DORA, EU AI Act. La guía experta 2026 sobre alcance, riesgo de proveedores y reporte de incidentes.
Todas las preguntas frecuentes →
Base de conocimiento completa
Las cookies necesarias siempre están activas. Puede aceptar, rechazar cookies no esenciales o personalizar sus preferencias.