ISO/IEC 27000:2014
Provee la visión general de la gestión de sistemas de seguridad de la información. Establece definiciones formales en un glosario cuidadosamente redactado de términos usados en los estándares de la serie 27000.
ISO/IEC 27001:2013
Tecnología de la Información, Técnicas de Seguridad, Sistemas de Gestión de la Seguridad de la Información y Requerimientos.
Consiste en una guía de actividades concernientes a la gestión de riesgos en seguridad de la información, donde la organización identifica, analiza y genera directrices para los riesgos en seguridad de la información.
ISO/IEC 27002:2013
Se trata del Código de prácticas para controles de seguridad de la información. Recomienda controles de seguridad de la información que abordan los objetivos de control de seguridad de información derivadas de los riesgos para la confidencialidad, integridad y disponibilidad de la información. Las organizaciones que adoptan la norma ISO / IEC 27002 deben evaluar sus propios riesgos de seguridad de la información, clarificar sus objetivos de control y aplicar controles adecuados (o incluso otras formas de tratamiento del riesgo) usando el estándar para su orientación.
ISO/IEC 27003:2010
Proporciona una guía de implementación para ayudar a aquellos que aplican os estándares ISO27000, y los aspectos del sistema de gestión en particular.
ISO/IEC 27004:2009
Se refiere a las medidas relativas a la gestión de seguridad de la información: estos son comúnmente conocidos como «métricas de seguridad” en la profesión.
ISO/IEC 27005:2011
Gestión de riesgo en la seguridad de la Información. Las normas ISO27000 son deliberadamente alineadas al riesgo, lo que significa que se anima a las organizaciones a evaluar los riesgos de seguridad en su información como un preludio para el tratamiento en diversas formas. Hacer frente a los riesgos más altos primero tiene sentido desde la perspectiva de aplicación y prácticas de gestión.
ISO/IEC 27006:2011
Requisitos para los organismos que realizan auditoría y certificación de sistemas de gestión de seguridad de la información. Es la norma de acreditación que guía a los organismos de certificación en los procesos formales que deben seguir al auditar Sistemas de Gestión de Seguridad de la Información de sus clientes (SGSI) según la norma ISO / IEC 27001 para certificar o registrar las cumplen. Los procesos de acreditación establecidos en la norma dan la seguridad que la certificación emitida por organismos acreditados es válida.
ISO/IEC 27007:2011
Directrices para la auditoría de sistemas de gestión de seguridad de la información.
Proporciona una guía para que los organismos acreditados de certificación, los auditores internos, auditores externos o terceros y otros auditen la SGSI según la norma ISO / IEC 27001 (es decir, la auditoría del sistema de gestión para el cumplimiento de la norma).
Refleja en gran medida la norma ISO 19011, el estándar ISO para la calidad de auditoría y sistemas de gestión ambiental – «sistemas de gestión», por supuesto, es el factor común que une a los estándares ISO27000. También se basa en la norma ISO 17021 en cuanto a requisitos para los organismos que realizan la auditoría y certificación de sistemas de gestión.
ISO/IEC 27008:2011
Directrices para los auditores sobre los controles de los sistemas de gestión de seguridad de información. Esta norma o «informe técnico» en «auditoría técnica» complementa la norma ISO / IEC 27007. Se concentra en la auditoría de los controles de seguridad de la información, mientras que ‘27007 se enfoca en la auditoría de los elementos del sistema de gestión de los SGSI.
ISO/IEC 27009
Esta norma define los requisitos para el uso de la norma ISO / IEC 27001 para las aplicaciones específicas del sector. Explica cómo incluir requisitos adicionales a los de la norma ISO / IEC 27001,cómo incluir controles o conjuntos de control, además de la norma ISO / IEC 27001 Anexo A , especifica los principios en el perfeccionamiento de la norma ISO / IEC 27001 Requisitos … [y] prohíbe requisitos que están en conflicto con la norma ISO / IEC 27001. El público objetivo de esta Norma Internacional son entidades productoras de normas sectoriales específicas que se refieren a la norma ISO / IEC 27001.
ISO/IEC 27010:2012
Consiste en una guía para la gestión de la seguridad de la información cuando se comparte entre organizaciones o sectores. ISO/IEC 27010:2012 es aplicable a todas las formas de intercambio y difusión de información sensible, tanto públicas como privadas, a nivel nacional e internacional, dentro de la misma industria o sector de mercado o entre sectores. En particular, puede ser aplicable a los intercambios de información y participación en relación con el suministro, mantenimiento y protección de una organización o de la infraestructura crítica de los estados y naciones.
ISO/IEC 27011:2008
Es una guía de interpretación de la implementación y gestión de la seguridad de la información en organizaciones del sector de telecomunicaciones basada en ISO/IEC 27002:2005. Está publicada también como norma ITU-T X.1051. En España, no está traducida. El original en inglés puede adquirirse en iso.org.
ISO/IEC 27013:2012
Es una guía de implementación integrada de ISO/IEC 27001:2005 (gestión de seguridad de la información) y de ISO/IEC 20000-1 (gestión de servicios TI).
ISO/IEC 27014:2013
En una guía de gobierno corporativo de la seguridad de la información.
ISO/IEC TR 27015:2012
Es una guía de SGSI orientada a organizaciones del sector financiero y de seguros y como complemento a ISO/IEC 27002:2005
ISO/IEC TR 27016:2014
Es una guía de valoración de los aspectos financieros de la seguridad de la información.
ISO/IEC TS 27017:
Una guía de seguridad para Cloud Computing.
ISO/IEC 27018:
Es un código de buenas prácticas en controles de protección de datos para servicios de computación en cloud computing.
ISO/IEC TR 27019:2013
Guía con referencia a ISO/IEC 27002:2005 para el proceso de sistemas de control específicos relacionados con el sector de la industria de la energía.
ISO/IEC 27031:2011
No certificable. Es una guía de apoyo para la adecuación de las tecnologías de información y comunicación (TIC) de una organización para la continuidad del negocio. El documento toma como referencia el estándar BS 25777. En España, esta norma no está traducida. El original en inglés puede adquirirse en iso.org
ISO/IEC 27032:2012
Proporciona orientación para la mejora del estado de seguridad cibernética, extrayendo los aspectos únicos de esa actividad y de sus dependencias en otros dominios de seguridad, concretamente: Información de seguridad, seguridad de las redes, seguridad en Internet e información de protección de infraestructuras críticas (CIIP). Cubre las prácticas de seguridad a nivel básico para los interesados en el ciberespacio. Esta norma establece una descripción general de Seguridad Cibernética, una explicación de la relación entre la ciberseguridad y otros tipos de garantías, una definición de las partes interesadas y una descripción de su papel en la seguridad cibernética, una orientación para abordar problemas comunes de Seguridad Cibernética y un marco que permite a las partes interesadas a que colaboren en la solución de problemas en la ciberseguridad.
ISO/IEC 27033:2009+
Norma dedicada a la seguridad en redes, consistente en 7 partes: 27033-1, conceptos generales (publicada el 15 de Diciembre de 2009 y disponible en iso.org); 27033-2, directrices de diseño e implementación de seguridad en redes (publicada el 27 de Julio de 2012 y disponible en iso.org); 27033-3, escenarios de referencia de redes (publicada el 3 de Diciembre de 2010 y disponible en iso.org); 27033-4, aseguramiento de las comunicaciones entre redes mediante gateways de seguridad; 27033-5, aseguramiento de comunicaciones mediante VPNs (publicada 29 de Julio de 2013 y disponible en iso.org); 27033-6, convergencia IP (2014); 27033-7, redes inalámbricas (2014).
ISO/IEC 27034:2011+
Parcialmente desarrollada. Norma dedicada la seguridad en aplicaciones informáticas, consistente en 6 partes: 27034-1, conceptos generales (publicada el 21 de Noviembre de 2011 y disponible en iso.org); 27034-2, marco normativo de la organización (sin previsión de publicación); 27034-3, proceso de gestión de seguridad en aplicaciones (sin previsión de publicación); 27034-4, validación de la seguridad en aplicaciones (sin previsión de publicación); 27034-5, estructura de datos y protocolos y controles de seguridad de aplicaciones (sin previsión de publicación); 27034-6, guía de seguridad para aplicaciones de uso específico.
ISO/IEC 27035:2011
Proporciona una guía sobre la gestión de incidentes de seguridad en la información.
ISO/IEC 27036:2013+
Es una guía en cuatro partes de seguridad en las relaciones con proveedores: 27036-1, visión general y conceptos; 27036-2, requisitos comunes; 27036-3, seguridad en la cadena de suministro TIC (publicada el 08 de Noviembre de 2013 y disponible en iso.org); 27036-4, seguridad en entornos de servicios Cloud.
ISO/IEC 27037:2012
Es una guía que proporciona directrices para las actividades relacionadas con la identificación, recopilación, consolidación y preservación de evidencias digitales potenciales localizadas en teléfonos móviles, tarjetas de memoria, dispositivos electrónicos personales, sistemas de navegación móvil, cámaras digitales y de vídeo, redes TCP/IP, entre otros dispositivos y para que puedan ser utilizadas con valor probatorio y en el intercambio entre las diferentes jurisdicciones.
ISO/IEC 27038:2014
Es en una guía de especificación para seguridad en la redacción digital.
ISO/IEC 27039:
Es una guía para la selección, despliegue y operativa de sistemas de detección y prevención de intrusión (IDS/IPS).
ISO/IEC 27040:
Es una guía para la seguridad en medios de almacenamiento.
ISO/IEC 27041:
Es una guía para garantizar la la idoneidad y adecuación de los métodos de investigación.
ISO/IEC 27042:
Es una guía con directrices para el análisis e interpretación de las evidencias digitales.
ISO/IEC 27043:
Desarrolla principios y procesos de investigación.
ISO/IEC 27044:
Gestión de eventos y de la seguridad de la información – Security Information and Event Management (SIEM).
ISO/IEC 27050:
Tecnología de la Información, Técnicas de Seguridad y Descubrimiento Electrónico por sus siglas en inglés (DRAFT), sirve para promover las buenas prácticas en métodos y procesos de captura forense y evidencia en la investigación digital. Se espera que la estandarización guíe a aproximaciones similares o casi idénticas, haciendo el trabajo mucho más fácil al momento de comparar, combinar y contrastar los resultados. El descubrimiento electrónico o eDiscovery involucra los siguientes pasos: Identificación, Preservación, Recopilación, Procesamiento, Revisión y Producción.
ISO 27799:2008
Es una norma que proporciona directrices para apoyar la interpretación y aplicación en el sector sanitario de ISO/IEC 27002:2005, en cuanto a la seguridad de la información sobre los datos de salud de los pacientes. Esta norma, al contrario que las anteriores, no la desarrolla el subcomité JTC1/SC27, sino el comité técnico TC 215. El original en inglés o francés puede adquirirse en iso.org. Desde el 20 de Enero de 2010, esta norma está publicada en España como UNE-ISO/IEC 27799:2010.
Fuentes:
- Blog Information Security Standards http://www.iso27001security.com
- ISO/IEC 27000:2014 International Standard, Overview & Vocabulary 3ª edición, 2014. http://www.iso.org
- Paul Breslin, DNV Bussiness Assurance “ISO 27001.2013, An Overview of Changes”, Sept 2013. http://www.dnvba.com
.