ISO/IEC 27005:2022 es la norma internacional que ofrece directrices para gestionar los riesgos de seguridad de la información. Publicada en octubre de 2022 por ISO e IEC, ayuda a las organizaciones a aplicar los requisitos de gestión de riesgos de la cláusula 6.1 de ISO/IEC 27001. Es una norma no certificable: aporta orientación, no requisitos certificables.
ISO/IEC 27005:2022 fue publicada en octubre de 2022 por el comité técnico ISO/IEC JTC 1/SC 27 y sucede a la edición de 2018. Proporciona directrices para gestionar los riesgos de seguridad de la información dentro de un Sistema de Gestión de Seguridad de la Información (SGSI).
A diferencia de ISO/IEC 27001:2022, que define los requisitos certificables de un SGSI, ISO 27005 describe la metodología de gestión de riesgos. Ayuda a las organizaciones a implantar la cláusula 6.1 de ISO 27001: la apreciación del riesgo y el tratamiento del riesgo.
La norma estructura el proceso en torno a cinco etapas principales: establecimiento del contexto, identificación, análisis, evaluación y tratamiento del riesgo. Dos actividades transversales sostienen estas etapas: la comunicación y consulta, y el seguimiento y revisión.
ISO 27005 es neutral respecto a las metodologías operativas. Puede aplicarse con EBIOS Risk Manager (el método de la ANSSI), NIST SP 800-30, OCTAVE Allegro o un método propio, siempre que respete los principios y las etapas descritos por la norma.
Lea ISO 27005 como el "cómo" que hay detrás del "qué" de ISO 27001: no le certifica, pero es la metodología que los evaluadores esperan encontrar tras un proceso de riesgos creíble en la cláusula 6.1.
Ver todas las formaciones Seguridad de la Información
ISO/IEC 27005 define un marco de gestión de riesgos más que un método único de evaluación, mientras que EBIOS, NIST y enfoques similares proporcionan técnicas de análisis específicas. ISO 27005 permite a las organizaciones seleccionar y justificar métodos dentro de un ciclo de vida estandarizado.
La certificación ISO/IEC 27005 Risk Manager cualifica a los profesionales para diseñar, operar y mantener un proceso de gestión de riesgos de seguridad de la información alineado con ISO/IEC 27005:2022. Valida la capacidad para identificar, analizar, evaluar, tratar y comunicar riesgos de seguridad de la información en apoyo del cumplimiento de ISO/IEC 27001.
ISO/IEC 27005 define un marco de gestión de riesgos en lugar de un único método de análisis, mientras que EBIOS, NIST y enfoques similares aportan técnicas concretas de análisis. ISO 27005 permite a las organizaciones seleccionar y justificar métodos dentro de un ciclo de vida estandarizado.
No existen prerrequisitos formales para la certificación ISO/IEC 27005 Risk Manager, pero se espera que los participantes tengan conocimientos básicos de seguridad de la información y familiaridad con los conceptos de ISO/IEC 27001. Se recomienda encarecidamente exposición previa a actividades de gestión de riesgos.
ISO 31000:2018 para practicantes suizos: 8 principios, proceso en 6 etapas, 7 opciones de tratamiento, cruce con FINMA 2023/01, LSI, revLPD, DORA y Ley de IA UE. Guía experta Henri Haenni.
ISO 27001 en una FinTech suiza se lee a través de seis capas regulatorias: FINMA, ISG, nLPD, DORA, EU AI Act. La guía experta 2026 sobre alcance, riesgo de proveedores y reporte de incidentes.
Todas las preguntas frecuentes →
Base de conocimiento completa
Las cookies necesarias siempre están activas. Puede aceptar, rechazar cookies no esenciales o personalizar sus preferencias.