Explora las normas de seguridad de la información, sus objetivos, casos de uso, niveles, equivalencias, certificaciones de auditor ISO y año de publicación/actualización. La tabla se puede clasificar haciendo clic en el título de cualquier columna.
| Nombre | Objetivo | Cuándo se necesita | Nivel Operativo o Estratégico |
Equivalencias Aproximadas |
Participa Auditor ISO |
Año de Publicación / Actualización |
|---|---|---|---|---|---|---|
| ISO/IEC 27000 | Proporcionar una visión general, vocabulario y definiciones para la serie ISO 27000 | Cuando se necesita entender los términos y conceptos básicos para implementar un ISMS | Estratégico | NIST CSF (Overview), SANS Glossary | Objeto de Evaluación | 2018 |
| ISO/IEC 27001 | Establecer, implementar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (ISMS) | Cuando una organización busca certificación en seguridad de la información y gestionar riesgos | Ambos | NIST CSF, NIST SP 800-53, SANS CIS Controls, SOC 2 | Requisito | 2022 |
| ISO/IEC 27002 | Proporcionar directrices y mejores prácticas para implementar controles de seguridad | Cuando se necesita seleccionar e implementar controles específicos para un ISMS | Operativo | NIST CSF (Protect, Detect), NIST SP 800-53, SANS CIS Controls | Objeto de Evaluación | 2022 |
| ISO/IEC 27005 | Guía para la gestión de riesgos de seguridad de la información | Cuando se necesita realizar evaluaciones de riesgos estructuradas | Estratégico | NIST SP 800-30, NIST CSF (Identify) | Objeto de Evaluación | 2018 |
| ISO/IEC 27014 | Proporcionar un marco para la gobernanza de la seguridad de la información | Cuando se necesita alinear la seguridad con los objetivos estratégicos | Estratégico | COBIT, NIST CSF (Govern) | No Aplicable | 2020 |
| ISO/IEC 27016 | Evaluar el impacto económico de las decisiones de seguridad | Cuando se necesita realizar análisis costo-beneficio para controles | Estratégico | NIST SP 800-55, COBIT | No Aplicable | 2014 |
| ISO/IEC 27017 | Controles de seguridad para servicios en la nube | Cuando una organización utiliza o provee servicios en la nube | Operativo | NIST SP 800-53 (Cloud Controls), CSA CCM | Objeto de Evaluación | 2015 |
| ISO/IEC 27018 | Proteger datos personales en entornos de nube pública | Cuando se manejan datos personales en la nube y se requiere cumplir con regulaciones | Operativo | GDPR, NIST SP 800-53 (Privacy Controls) | Objeto de Evaluación | 2019 |
| ISO/IEC 27035 | Gestión de incidentes de seguridad de la información | Cuando se necesita un proceso estructurado para detectar y responder a incidentes | Operativo | NIST SP 800-61, SANS Incident Handler’s Handbook | Objeto de Evaluación | 2016 |
| ISO/IEC 27036 | Seguridad en relaciones con proveedores y cadena de suministro | Cuando se necesita gestionar riesgos en relaciones con terceros | Ambos | NIST SP 800-161, CSA CCM | Objeto de Evaluación | 2016 |
| ISO/IEC 27701 | Extensión de ISO 27001 para la gestión de la privacidad | Cuando se necesita cumplir con regulaciones de privacidad como GDPR | Ambos | GDPR, NIST SP 800-53 (Privacy Controls), SOC 2 | Requisito | 2019 |