 ISO/IEC 27009:

 la Organización Internacional de Normalización (ISO) ha publicado la

norma ISO/IEC 27009 de Tecnología de la Información - Técnicas de
seguridad - Aplicación específica de la norma ISO/IEC 27001 para cada
sector - Requisitos, que proporciona una orientación sobre la inclusión
de requisitos y controles específicos del sector, además de los
establecidos por la norma ISO/IEC 27001:2013 de Sistemas de Gestión
de Seguridad de la Información (SGSI).
 Rob Acker, LRQA Information Security Technical Manager, comenta su
opinión acerca de la publicación de la nueva norma; "La publicación de
la norma ISO/IEC 27009 representa una etapa importante en el camino
hacia la optimización y racionalización en todos los sectores de la
industria. Con muchos requisitos complejos en los diferentes sectores,
ISO/IEC 27009 ayudará a asegurar que todos ellos pueden ser
atendidos manteniendo la protección robusta que ofrece la norma
ISO/IEC 27001 – salvaguardando a las organizaciones, sus SGSI y a
sus clientes".
 ISO/IEC 27010:
Publicada el 20 de Octubre de 2012 y revisada el 10 de Noviembre de 2015.
Consiste en una guía para la gestión de la seguridad de la información cuando
se comparte entre organizaciones o sectores. ISO/IEC 27010:2012 es aplicable
a todas las formas de intercambio y difusión de información sensible, tanto
públicas como privadas, a nivel nacional e internacional, dentro de la misma
industria o sector de mercado o entre sectores. En particular, puede ser
aplicable a los intercambios de información y participación en relación con el
suministro, mantenimiento y protección de una organización o de la
infraestructura crítica de los estados y naciones. Actualmente en proceso de
revisión para su actualización.

 ISO/IEC 27011:
Publicada el 15 de Diciembre de 2008. Es una guía de interpretación de la
implementación y gestión de la seguridad de la información en organizaciones
del sector de telecomunicaciones basada en ISO/IEC 27002:2005.
La norma facilita modernos controles, además de una orientación para la
implementación en las empresas de telecomunicaciones. Consolida la
privacidad, disponibilidad e integridad de las infraestructuras y servicios de
estas empresas.

La información para las organizaciones de telecomunicaciones es un activo

esencial y por ello le resuelta necesario conservarlo debido a que es también
objeto de muchas amenazas.

Por todo ello, los objetivos que proporciona está norma son:
 Seguridad de la información a través de prácticas que den confianza en
las actividades realizadas por las organizaciones.

 Retos globales de la seguridad de la información acondicionados

exclusivamente para estas empresas.
La norma ISO27011 nos garantiza la seguridad de la información de las
empresas a través de unos controles apropiados. Estos controles han de ser
implementados, controlados, especificados y deben de ir evolucionando a lo
largo del tiempo para que se lleve a cabo el cumplimento de los objetivos de
seguridad fijados previamente por estas entidades.

 ISO/IEC 27013:
Publicada el 15 de Octubre de 2012 y actualizada el 24 de Noviembre de 2015.
Es una guía de implementación integrada de ISO/IEC 27001:2005 (gestión de
seguridad de la información) y de ISO/IEC 20000-1 (gestión de servicios TI).
Actualmente finalizando el proceso de revisión para su actualización.
El estándar puede ser usado para integrar los sistemas de gestión
mencionados, para implementar uno de ellos beneficiándonos de la existencia
del otro y también para implementar conjuntamente los dos.

ISO-27013 ayuda a las organizaciones interesadas, por ejemplo, a:

 Implementar el estándar ISO 27001 cuando ya trabajan con la norma

ISO 20000, o al contrario.

 Implementar las normas ISO 27001 e ISO 20000 conjuntamente desde

cero .

 Alinear y coordinar los sistemas relativos a ambos estándares, tanto el

SGSI como el SGS.
La norma sirve tanto para integrar ambos sistemas de gestión cuando ambos
ya existen como para implementar uno de ellos aprovechando la existencia del
otro, e incluso para la implementación inicial conjunta de ambos. Una
herramienta bastante útil para organizaciones que quieren buscar la eficiencia y
eficacia de la integración de ambos sistemas de gestión...

 ISO/IEC 27014:
Publicada el 23 de Abril de 2013. Consistirá en una guía de gobierno
corporativo de la seguridad de la información.
 ISO 27014 es una norma de
orientación sobre los principios
información. A través de esta,
evaluar y controlar la seguridad
actividades de la organización.
seguridad de la información, la cual facilita
y conceptos para gobernar la seguridad de la
las organizaciones podrán dirigir, comunicar,
de la información que está relacionada con las

Su ámbito de aplicación es para todas las clases y tamaños de organizaciones.

La ISO-27014 indica seis principios de gobiernos de la seguridad de

información los cuales son:

1. Establecer seguridad de la información en toda la empresa.

2. Seguir un enfoque basado en el riesgo

3. Establecer la dirección de las decisiones de inversión

4. Confirmar el cumplimento de los requisitos externos e internos.

5. Promover un ambiente de seguridad positiva.

6. Evidenciar el rendimiento en relación con los resultados del negocio

 ISO/IEC TR 27015:
Publicada el 23 de Noviembre de 2012. Es una guía de SGSI orientada a
organizaciones del sector financiero y de seguros y como complemento a
ISO/IEC 27002:2005.
ISO 27015 determina la orientación de las organizaciones que llevan a cabo
una prestación de servicios financieros con la finalidad de servir de apoyo a la
gestión de seguridad de la información de sus activos y de la información
procesada.

Las empresas del sector financiero se están centrando tanto en redes más
abiertas como en prestar servicios de banco electrónico y móvil, lo que quiere
decir que en este momento se enfrentan a unos retos nuevos sobre las
amenazas de seguridad de la información como el malware, ataques
cibeméticos y phising.

Para hacer frente a estos retos, deben implantar un sistema de gestión de la

seguridad de la información idóneo para poder disminuir y prevenir los
impactos y riesgos a los datos financieros y de los clientes y así, confirmar un
nivel de seguridad de la información efectivo y un nivel de privacidad adecuado
para sus servicios y productos.
 La norma ISO 27015 amplia y prolonga algunos consejos de de la norma
ISO/IEC 27002 destinada a las empresas de servicios financieros, como por
ejemplo la recomendación en la sección 6.2.2 de que las actividades de la
sensibilización de seguridad deben proteger tanto a los clientes como a los
empleados.

La orientación adicional de la norma ISO-27015 no puede ser revolucionaria,

sin embargo, es un indicador muy útil para ampliar lo más básico indicado por
la norma ISO/IEC 27002 en algunas áreas.

Las ventajas de dicha norma son:

 Otorgar asesoramiento y orientación sobre el empleo de los controles y

requisitos de dicha de las normas ISO/IEC 27001 e ISO/IEC 27002 en
empresas de servicios financieros. Las organizaciones de dichos servicios
obtendrán beneficios de la adquisición de esta norma, debido a que se les va a
permitir aplicar con mayor facilidad gracias a estos controles y requisitos.

 ISO/IEC TR 27016:
Publicada el 20 de Febrero de 2014. Es una guía de valoración de los aspectos
financieros de la seguridad de la información.
ISO / IEC TR 27016: 2014 proporciona directrices sobre cómo una
organización puede tomar decisiones para proteger la información y
comprender las consecuencias económicas de estas decisiones en el contexto
de los requisitos competitivos de recursos.

ISO / IEC TR 27016: 2014 es aplicable a todos los tipos y tamaños de las
organizaciones y proporciona información para permitir decisiones económicas
en la gestión de la seguridad de la información por parte de la alta dirección
que tienen la responsabilidad de las decisiones de seguridad de la información.