El documento resume la familia de normas ISO 27000 relacionadas con la gestión de seguridad de la información. Explica que la ISO 27000 ofrece una visión general de la serie de normas, la ISO 27001 establece los requisitos de un sistema de gestión de seguridad de la información, y la ISO 27002 proporciona 133 controles de seguridad agrupados en 11 categorías. Además, menciona varias normas específicas publicadas entre 2009 y 2014 que abordan temas como la implementación, medición, gestión de riesgos, auditoría,

1. ISO/IEC 27000:2014
ISO/IEC 27001:2014
ISO/IEC 27002:2014
Ricardo Urbina M.
Familia ISO 27000 – Septiembre 2014
ISO/IEC 17799:2005
ISO/IEC 27001:2005
ISO/IEC 27005:2008
ISO/IEC 27011:2008
ISO/IEC 27799:2008
2007
2005
2008
ISO/IEC 27002:2005
ISO/IEC 27006:2007
ISO/IEC 27003:2010
2010
2011
ISO/IEC 27000:2012
ISO/IEC 27035:2011
ISO/IEC 27031:2011
ISO/IEC 27005:2011
ISO/IEC 27006:2011
ISO/IEC 27007:2011
ISO/IEC TR 27008:2011
ISO/IEC 27034-1:2011
2013
ISO/IEC 27001:2013
ISO/IEC 27002:2013
ISO/IEC 27014:2013
ISO/IEC 27019:2013
2009
ISO/IEC 27000:2009
ISO/IEC 27031:2009
ISO/IEC 27004:2009
ISO/IEC 27033-1:2009
ISO/IEC 27010:2012
ISO/IEC 27013:2012
ISO/IEC TR 27015:2012
2012
ISO/IEC 27032:2012
ISO/IEC 27033-2:2012
ISO/IEC 27037:2012
2014
ISO/IEC 27018:2014
ISO/IEC 27033-4:2014
ISO/IEC 27034-1:2014
ISO/IEC 27036-1:2014
ISO/IEC 27036-2:2014
ISO/IEC 27038:2014

2. Ricardo Urbina M.
Norma Año Objetivo
ISO/IEC 27000 2014
Publicada el 1 de Mayo de 2009 y revisada con una segunda edición de 01 de Diciembre de 2012 y la
tercera en enero del 2014. Esta norma proporciona una visión general de las normas que componen la
serie 27000, una introducción a los Sistemas de Gestión de Seguridad de la Información, una breve
descripción del ciclo Plan-Do-Check-Act y términos y definiciones que se emplean en toda la serie
27000.
ISO/IEC 27001
Cor 1:2014
2014
Establece requerimientos a cumplir un Sistema de Gestión de Seguridad de la Información (SGSI). Es
certificable.
Actualizada en el 2013 aumentando de 102 a 130 requisitos y con claúsulas hasta la 10, se elimina
modelo P-D-C-A liberando que existen para otros que tambien permiten mejora continua. Se realiza
una actualización/corrección en septiembre del 2014.
ISO/IEC 27002
Cor 1:2014
2014
Código o Guía de buenas prácticas para la Seguridad de la Información, detalla los 133 controles
reunidos en 11 grupos, más 39 “Objetivos de control”.
Actualizada el 2013 disminuyendo a 114 controles pero aumentando a 13 dominios. Se
actualiza/corrige en septiembre del 2014
ISO/IEC 27003 2010 Guía de Implementación. Describe los aspectos a tener en cuenta para la implantación de un SGSI.
ISO/IEC 27004 2009 Describe todos los aspectos de métricas, indicadores y mediciones que deben realizarse sobre un SGSI.
ISO/IEC 27005 2011
Trata los aspectos relacionados a la Gestión de riesgos. La primera publicación fue el 2008 y luego se
realizo una actualización en junio del 2011.
ISO/IEC 27006 2011
Especifica los requisitos que debe reunir cualquier organización que desee acreditarse como “Entidad
certificadora” de ISO 27001. La segunda edición es del 2011, la primera fue el 2007.
ISO/IEC 27007 2011 Es una guía de auditoría de un SGSI, como complemento a lo especificado en ISO 19011
ISO/IEC TR 27008 2011 Es una guía de auditoría de los controles seleccionados en el marco de implantación de un SGSI.

3. Ricardo Urbina M.
ISO/IEC 27010 2012
Consiste en una guía para la gestión de la seguridad de la información cuando se comparte entre
organizaciones o sectores. Es aplicable a todas las formas de intercambio y difusión de información
sensible, tanto públicas como privadas, a nivel nacional e internacional, dentro de la misma industria o
sector de mercado o entre sectores.
ISO/IEC 27011 2008 Guía de implementación de un SGSI para el sector de Telecomunicaciones.
ISO/IEC 27013 2012
Es una guía de implementación integrada de ISO/IEC 27001 (gestión de seguridad de la información) y de
ISO/IEC 20000-1 (gestión de servicios TI).
ISO/IEC 27014 2013 Plantea un Marco de Gobernabilidad para la Seguridad de la Información
ISO/IEC TR 27015 2012
Es una guía de SGSI orientada a organizaciones del sector financiero y de seguros y como complemento
a ISO/IEC 27002.
ISO/IEC 27018 2014
Estableca los objetivosde control a partir de la ISO 27002 para proteger la información personal en
acuerdo con los principios de la ISO/IEC 29100 en ambientes de nube pública. Publicada en julio del
2014.
ISO/IEC 27019 2013 Controles basados en ISO 27002 pero orientados a la industria de la Energía.
ISO/IEC 27031 2011 Directrices para la preparación de las TIC en la Continuidad de Negocio.
ISO/IEC 27032 2012
Proporciona orientación para la mejora del estado de seguridad cibernética, extrayendo los aspectos
únicos de esa actividad y de sus dependencias en otros dominios de seguridad, concretamente:
Información de seguridad, seguridad de las redes, seguridad en Internet e información de protección de
infraestructuras críticas (CIIP).
ISO/IEC 27033-1 2009 Seguridad en redes conceptos generales, corresponde a la parte 1 de 7.

4. Ricardo Urbina M.
ISO/IEC 27033-2 2012 Directrices de diseño e implementación de seguridad en redes
ISO/IEC 27033-3 2010 Escenarios de referencia de redes
ISO/IEC 27033-4 2014
Es una guía de como asegurar las comunicaciones entre distintas redes, básicamente las políticas de
seguridad a aplicar para los equipos que interconectan dichas redes. Publicada en febrero del 2014.
ISO/IEC 27034-1
Cor 1:2014
2014
Seguridad en aplicaciones informáticas, consistente en 5 partes, donde 27034-1 corresponde a los
conceptos generales. Publicada en el 2011, actualizado/corregido en enero 2014
ISO/IEC 27035 2011 Guía sobre la gestión de incidentes de seguridad en la información de grandes y medianas empresas
ISO/IEC 27036-1 2014
Es la primera parte de la norma 27036 que aborda como se deben realizar las relaciones con terceras
partes, en particular la 1 es donde se da el contexto de la norma y los conceptos asociados. Publicada
en marzo del 2014.
ISO/IEC 27036-2 2014
Se especifican los requerimientos de seguridad de la información que se deben cumplir al definir,
implementar, operar, monitorear, revisar, mantener y mejorar en las relaciones con terceros
(proveedores y adquirientes). Publicada en julio del 2014
ISO/IEC 27037 2012
Es una guía que propociona directrices para las actividades relacionadas con la identificación,
recopilación, consolidación y preservación de evidencias digitales.
ISO/IEC 27038 2014
Es una guía que especifica las técnicas para llevar a cabo la redacción digital en documentos digitales,
además, especifica los requerimientos y métodos de control para realizar una redacción segura.
Publicada en marzo del 2014
ISO/IEC 27799 2008 Orientada a la aplicación de un SGSI en el ámbito sanitario.