¿Qué es la norma ISO/IEC 27005?

ISO/IEC 27005:2022 es la norma internacional que ofrece directrices para gestionar los riesgos de seguridad de la información. Publicada en octubre de 2022 por ISO e IEC, ayuda a las organizaciones a aplicar los requisitos de gestión de riesgos de la cláusula 6.1 de ISO/IEC 27001. Es una norma no certificable: aporta orientación, no requisitos certificables.

ISO/IEC 27005:2022 fue publicada en octubre de 2022 por el comité técnico ISO/IEC JTC 1/SC 27 y sucede a la edición de 2018. Proporciona directrices para gestionar los riesgos de seguridad de la información dentro de un Sistema de Gestión de Seguridad de la Información (SGSI).

A diferencia de ISO/IEC 27001:2022, que define los requisitos certificables de un SGSI, ISO 27005 describe la metodología de gestión de riesgos. Ayuda a las organizaciones a implantar la cláusula 6.1 de ISO 27001: la apreciación del riesgo y el tratamiento del riesgo.

La norma estructura el proceso en torno a cinco etapas principales: establecimiento del contexto, identificación, análisis, evaluación y tratamiento del riesgo. Dos actividades transversales sostienen estas etapas: la comunicación y consulta, y el seguimiento y revisión.

ISO 27005 es neutral respecto a las metodologías operativas. Puede aplicarse con EBIOS Risk Manager (el método de la ANSSI), NIST SP 800-30, OCTAVE Allegro o un método propio, siempre que respete los principios y las etapas descritos por la norma.

Related Information

  • Edición vigente: ISO/IEC 27005:2022, publicada en octubre de 2022
  • Estado: norma no certificable (directrices)
  • Alineada con: ISO 31000:2018 e ISO/IEC 27001:2022
  • Certificaciones individuales PECB: Foundation, Risk Manager, Lead Risk Manager
  • Métodos compatibles: EBIOS RM, NIST SP 800-30, OCTAVE Allegro

Expert Insight

Lea ISO 27005 como el "cómo" que hay detrás del "qué" de ISO 27001: no le certifica, pero es la metodología que los evaluadores esperan encontrar tras un proceso de riesgos creíble en la cláusula 6.1.

Ver todas las formaciones Seguridad de la Información

Más sobre ISO 27005 Risk Manager

1

¿En qué se diferencia ISO/IEC 27005 de otros métodos de evaluación de riesgos como EBIOS o NIST?

ISO/IEC 27005 define un marco de gestión de riesgos más que un método único de evaluación, mientras que EBIOS, NIST y enfoques similares proporcionan técnicas de análisis específicas. ISO 27005 permite a las organizaciones seleccionar y justificar métodos dentro de un ciclo de vida estandarizado.

2

¿Qué es la certificación ISO/IEC 27005 Risk Manager y qué le permite hacer?

La certificación ISO/IEC 27005 Risk Manager cualifica a los profesionales para diseñar, operar y mantener un proceso de gestión de riesgos de seguridad de la información alineado con ISO/IEC 27005:2022. Valida la capacidad para identificar, analizar, evaluar, tratar y comunicar riesgos de seguridad de la información en apoyo del cumplimiento de ISO/IEC 27001.

3

¿En qué se diferencia ISO/IEC 27005 de otros métodos de análisis de riesgos como EBIOS o NIST?

ISO/IEC 27005 define un marco de gestión de riesgos en lugar de un único método de análisis, mientras que EBIOS, NIST y enfoques similares aportan técnicas concretas de análisis. ISO 27005 permite a las organizaciones seleccionar y justificar métodos dentro de un ciclo de vida estandarizado.

4

¿Cuáles son los prerrequisitos para la certificación ISO/IEC 27005 Risk Manager?

No existen prerrequisitos formales para la certificación ISO/IEC 27005 Risk Manager, pero se espera que los participantes tengan conocimientos básicos de seguridad de la información y familiaridad con los conceptos de ISO/IEC 27001. Se recomienda encarecidamente exposición previa a actividades de gestión de riesgos.

Todas las preguntas frecuentes →

Base de conocimiento completa

Usamos cookies para mejorar su experiencia

Las cookies necesarias siempre están activas. Puede aceptar, rechazar cookies no esenciales o personalizar sus preferencias.