REVISTA ISO DE SEGURIDAD INFORMÁTICA O CIBERSEGURIDAD

ISO 22301

ISO 27005

ISO 27701

¿Qué es? / ¿Qué incluye? / ¿A quién Aplica? / Estructura

¿Qué es? / ¿Qué incluye? / ¿A quién Aplica? / Estructura

ISO 27000

¿Qué es? / ¿Qué incluye? / ¿A quién Aplica? / Estructura

ISO 27006

¿Qué es? / ¿Qué incluye? / ¿A quién Aplica? / Estructura

ISO 27001

¿Qué es? / ¿Qué incluye? / ¿A quién Aplica? / Estructura

¿Qué es? / ¿Qué incluye? / ¿A quién Aplica? / Estructura 4 6 8

ISO 27007

¿Qué es? / ¿Qué incluye?

/ ¿A quién Aplica? / Estructura

ISO 27002

¿Qué es? / ¿Qué incluye? / ¿A quién Aplica? / Estructura 10

ISO 27031

¿Qué es? / ¿Qué incluye? / ¿A quién Aplica? / Estructura

ISO 27003

¿Qué es? / ¿Qué incluye? / ¿A quién Aplica? / Estructura

ISO 27032

¿Qué es? / ¿Qué incluye? / ¿A quién Aplica? / Estructura

ISO 27004

¿Qué es? / ¿Qué incluye? / ¿A quién Aplica? / Estructura

ISO 27110

¿Qué es? / ¿Qué incluye? / ¿A quién Aplica? / Estructura

ISO 22301: La Norma Internacional para la Gestión de la Continuidad del Negocio

ISO 22301 es una norma internacional que establece los requisitos paraimplementarunsistemadegestióndelacontinuidaddelnegocio (BCM, por sus siglas en inglés) efectivo. Su objetivo es ayudar a las organizaciones a enfrentar y superar interrupciones inesperadas que podrían afectar sus operaciones normales, como desastres naturales, incidentes tecnológicos, crisis económicas o incidentes cibernéticos.

La gestión de la continuidad del negocio es crucial para cualquier organización, ya que le permite anticiparse, responder y recuperarse de manera eficiente frente a situaciones adversas. ISO 22301 proporcionauna estructurasólida yorientacióndetalladaparaquelas organizaciones puedan desarrollar planes y procedimientos que les permitan mantener la continuidad de sus operaciones clave y minimizar el impacto de los incidentes disruptivos.

La norma ISO 22301 se basa en un enfoque sistemático y proactivo para garantizar que una organización pueda continuar sus actividades críticas incluso en circunstancias adversas. Establece la necesidad de que las organizaciones realicen un análisis de impacto en el negocio (BIA, por sus siglas en inglés) y una evaluación de riesgos para identificar lasáreasy procesosqueson esenciales para lacontinuidad operativa. Con base en esta evaluación, se deben establecer estrategias y medidas de respuesta adecuadas, como la implementación de planes de continuidad del negocio, la asignación de roles y responsabilidades, la provisión de recursos necesarios y la realización de pruebas y ejercicios de simulación para validar la efectividad de dichas medidas.

Además, ISO 22301 enfatiza la importancia del liderazgo y el compromiso de la alta dirección en la implementación exitosa del sistema de gestión de la continuidad del negocio. La norma requiere que la organización establezca una política de continuidad del negocio y objetivos claros, así como un marco de responsabilidad y autoridad para garantizar que todas las partes interesadas estén involucradas y comprometidas con el BCM.

Al adoptar ISO 22301, las organizaciones pueden obtener una serie de beneficios. Entre ellos se incluyen la reducción de interrupciones en las operaciones, la protección de la reputación y la confianza de los clientes, la mejora de la capacidad de recuperación después de un incidente, elcumplimientode los requisitos legales y reglamentarios, y la demostración de su compromiso con la gestión eficaz de los riesgos y la continuidad del negocio.

¿Qué incluye?

La norma ISO 22301 abarca varios aspectos esenciales de la gestión de la continuidad del negocio, incluyendo:

1. Establecimiento de una política y objetivos de continuidad del negocio.

2. Identificación de los procesos y actividades críticas de la organización.

3. Evaluación de los riesgos y vulnerabilidades relacionados con la continuidad del negocio.

4. Desarrollo e implementación de estrategias de continuidad del negocio.

5. Establecimiento de planes de continuidad del negocio y procedimientos de respuesta.

6. Establecimiento de un sistema de gestión de incidentes y crisis.

7. Realización de pruebas y ejercicios de continuidad del negocio.

8. Monitoreo, revisión y mejora continua del sistema de gestión de la continuidad del negocio.

¿A quién Aplica?

ISO 22301 es aplicable a organizaciones de cualquier tamaño, sector o industria. Se utiliza tanto en el sector público como en el privado, y es relevante para todo tipo de organizaciones, desde pequeñas empresas hasta grandes corporaciones.

Estructura

La estructura de la norma ISO 22301 sigue el enfoque común de alto nivel (HLS, por sus siglas en inglés), que es utilizado en otros estándares de gestión ISO. La norma consta de los siguientes elementos principales:

1. Introducción y alcance.

2. Referencias normativas.

3. Términos y definiciones.

4. Contexto de la organización.

5. Liderazgo.

6. Planificación.

7. Soporte.

8. Operación.

9. Evaluación del desempeño.

10. Mejora.

ISO 27000 ¿QUÉ ¿QUÉES?ES?

ISO 27000: Asegurando la Integridad y Confidencialidad de la Información en un Mundo Digital

ISO 27000 es una serie de normas internacionales que aborda la gestión de la seguridad de la información. Su objetivo principal es proporcionar un marco integral para establecer, implementar, mantener y mejorar un Sistema deGestióndeSeguridaddela Información(SGSI)efectivo enuna organización.

La seguridad de la información es un aspecto crítico en el entorno empresarial actual, donde la información se ha convertido en uno de los activos más valiosos de una organización. La serie ISO 27000 proporciona alasorganizacionesunaguíaconfiablepara protegerlaconfidencialidad, integridadydisponibilidaddesuinformación,asícomopara gestionar los riesgos de seguridad de manera efectiva.

ElpilarcentraldelaserieISO27000eslanormaISO27001,queestablece los requisitos para un SGSI. Esta norma se basa en un enfoque de mejora continua y adopta un ciclo de Planificar-Hacer-Verificar-Actuar (PDCA) para asegurar la gestión efectiva de la seguridad de la información.

ISO 27001 proporciona un marco estructurado para gestionar los riesgos de seguridad de la información. Comienza con una evaluación exhaustiva de los riesgos y vulnerabilidades, seguida de la implementación de controles y medidas de seguridad adecuados para minimizar dichos riesgos. Esto incluye aspectos como la gestión de activos deinformación, el control de acceso, la gestión de incidentes de seguridad, la continuidad del negocio y la concienciación y capacitación de los empleados.

Además, ISO 27001 destaca la importancia de una cultura de seguridad de la información y del compromiso de la alta dirección. La norma requiere que la alta dirección establezca una política de seguridad de la información y proporcione los recursos necesarios para implementar y mantener elSGSI. También establece la necesidad de unenfoque basado en riesgos para tomar decisiones informadas sobre la seguridad de la información y asegurar la alineación de la seguridad de la información con los objetivos estratégicos de la organización.

La serie ISO 27000 también incluye normas complementarias que proporcionan directrices adicionales para la implementación de la seguridad de la información en áreas específicas. Algunas de estas normas son la ISO 27002, que ofrece un conjunto detallado de controles de seguridad; la ISO 27005, que se centra en la gestión de riesgos de seguridad de la información; y la ISO 27017 y ISO 27018, que abordan la seguridad de la información en la nube y la protección de la información personal, respectivamente.

ISO 27000 es aplicable a organizaciones de cualquier tamaño, sector o industria. Se utiliza tanto en el sector público como en el privado, y es relevante para cualquier organización que busque proteger su información y gestionar los riesgos de seguridad de manera efectiva.

¿Qué incluye?

ISO 27000 es aplicable a organizaciones de cualquier tamaño, sector o industria. Se utiliza tanto en el sector público como en el privado, y es relevante para cualquier organización que busque proteger su información y gestionar los riesgos de seguridad de manera efectiva.

incluyenormasrelacionadasconlaseguridaddelainformación, siendo la ISO 27001 la norma principal.Estasnormasestablecen requisitosydirectricesparaimplementar unSistemadeGestión deSeguridaddelaInformación(SGSI)efectivo.Cubrenaspectos como la evaluación de riesgos, controles de seguridad, gestión de activos de información, control de acceso, gestión de incidentesdeseguridadycontinuidaddelnegocio.Tambiénhay normas específicas para la seguridad en la nube y la protección de la información personal. En conjunto, estas normas proporcionan un marco completo y detallado para asegurar la integridad y confidencialidad de la información en una organización.

¿A quién aplica?

La serie ISO 27000 es aplicable a cualquier organización, independientemente de su tamaño, sector o ubicación geográfica.Esrelevantetantoparaelsectorpúblicocomopara el privado. Se utiliza en organizaciones de todos los ámbitos, desde pequeñas empresas hasta grandes corporaciones, con el objetivo de proteger la información y mitigar los riesgos de seguridad.

Estructura

La estructura de la serie ISO 27000 sigue un enfoque común de altonivel(HLS,porsussiglaseninglés)utilizadoenotras normas de gestión ISO. Aunque cada norma de la serie ISO 27000 tiene su propia estructura y contenido específicos, comparten ciertos elementoscomunes.Acontinuación,sepresentaunadescripción generaldelaestructuratípicadelasnormasdelaserieISO27000

ISO 27001: Fortaleciendo la Seguridad de la Información en las Organizaciones

ISO 27001 es una norma internacional que establece los requisitos para un Sistema de Gestión de Seguridad de la Información (SGSI). Esta norma proporciona un marco sólido y amplio para que las organizaciones gestionen de manera efectiva los riesgos de seguridad de la información y protejan la confidencialidad, integridad y disponibilidad de sus datos.

En un mundo cada vez más digitalizadoy conectado, la seguridad de la información se ha vuelto crucial para las organizaciones de todos los sectores y tamaños. La exposición a amenazas internas y externas, así como los avances tecnológicos constantes, han aumentado la necesidad de implementar medidas de seguridad robustas y consistentes. ISO 27001 aborda esta necesidad proporcionando un enfoque estructurado y sistemático para proteger la información sensible.

La norma ISO 27001 sebasa en un ciclodemejora continúa conocido comoelcicloPDCA(Planificar-Hacer-Verificar-Actuar).Esteenfoque permite a las organizaciones desarrollar, implementar, mantener y mejorar de manera constante su SGSI. Comienza con la fase de planificación, donde se identifican los objetivos de seguridad de la información y se establecen los procesos para gestionar los riesgos. Luego, se lleva a cabo la implementación y operación del SGSI, donde se aplican controles y medidas de seguridad adecuados. Posteriormente, se realiza la verificación y la evaluación del desempeño a través de auditorías internas y revisiones de gestión. Porúltimo,setomanaccionescorrectivasypreventivasparaabordar las no conformidades y mejorar continuamente el sistema de seguridad.

ISO 27001 es aplicable a organizaciones de cualquier tamaño, sector o ubicación geográfica que manejen información sensible y busquen protegerla de manera efectiva. No se limita a un sector específico, ya que la seguridad de la información es relevante en todas las industrias y entornos.

¿Qué incluye?

La norma ISO 27001 incluye una serie de elementos clave que las organizaciones deben abordar para establecer y mantener un Sistema de Gestión de Seguridad de la Información (SGSI) efectivo. Estos elementos incluyen:

1. Contexto de la organización: Identificar los requisitos legales y expectativas de seguridad de la información.

2. Liderazgo y compromiso: Demostrar liderazgo y asignar responsabilidades para la seguridad de la información.

3. Planificación: Establecer objetivos de seguridad y evaluar los riesgos para implementar controles adecuados.

4. Soporte: Proporcionar recursos, competencia y conciencia para el SGSI.

5. Operación: Implementar controles de seguridad, gestionar activos, control de acceso y gestionar incidentes.

6. Evaluación del desempeño: Realizar auditorías internas y revisiones de gestión para evaluar el desempeño.

7. Mejora: Tomar acciones correctivas y preventivas para mejorar el SGSI.

¿A quién aplica?

ISO 27001 es aplicable a cualquier organización, independientemente de su tamaño, sector o industria. Es relevante tanto para el sector público como para el privado. Cualquier organización que maneje información sensible y busque protegerla de manera efectiva puede implementar ISO 27001.

Estructura

La estructura de ISO 27001 sigue el enfoque común de alto nivel (HLS) utilizado en otras normas de gestión ISO. Se divide en varias secciones, que incluyen:

1. Alcance.

2. Referencias normativas.

3. Términos y definiciones.

4. Contexto de la organización.

5. Liderazgo y compromiso.

6. Planificación.

7. Soporte.

8. Operación.

9. Evaluación del desempeño.

10. Mejora.

ISO 27002: Mejorando la Seguridad de la Información a través de Controles y Buenas Prácticas

ISO 27002 es una norma internacional que proporciona un enfoque detallado y exhaustivo para la implementación de controles de seguridad de la información en una organización. Su objetivo principal es ayudar a las organizaciones a proteger sus activos de información y garantizar la confidencialidad, integridad y disponibilidad de los mismos.

La norma se basa en la idea de que la seguridad de la información debe abordarse de manera sistemática y estructurada. Proporciona una lista completa decontrolesy prácticasrecomendadasquecubrenunaamplia gama de áreas relacionadas con la seguridad, como la política de seguridad de la información, la gestión de activos, el control de acceso, la criptografía, la gestión de incidentes y el cumplimiento legal.

ISO 27002 se centra en un enfoque basado en riesgos, lo que significa que las organizaciones deben identificar y evaluar los riesgos asociados con la información y los activos de la organización. A partir de esta evaluación, se seleccionan los controles de seguridad adecuados para mitigar los riesgos identificados. Los controles incluidos en la norma son flexibles y se pueden adaptar a las necesidades específicas de cada organización.

La implementación de ISO 27002 ayuda a las organizaciones a establecer un marco sólido para proteger sus activos de información y gestionar los riesgos de seguridad de manera efectiva. Proporciona directrices claras sobre cómo implementar cada control, qué considerar al aplicarlo y cómo mantenerlo en el tiempo.

Al seguir las recomendaciones de ISO 27002, las organizaciones pueden fortalecer su postura de seguridad de la información y mitigar los riesgos asociados con la protección de datos y la seguridad en general. Esto contribuye a mantener la confianza de los clientes, socioscomerciales y otras partes interesadas, y puede ser un factor diferenciador en un entorno empresarial cada vez más consciente de la seguridad.

¿Qué incluye?

La norma ISO 27002 incluye una amplia gama de controles y buenas prácticas relacionadas con la seguridad de la información. Estos controles y prácticas están diseñados para ayudar a las organizaciones a proteger sus activos de información y gestionar los riesgos de seguridad de manera efectiva. A continuación, se presentan algunos de los aspectos clave abordados por la norma

1. Política de seguridad de la información: Establecer una política clara que defina los objetivos y principios de seguridad de la información en la organización.

2. Gestión de activos de información: Identificar y clasificar los activos de información, y establecer medidas para su gestión y protección adecuada.

3. Control de acceso: Gestionar el acceso a la información y los sistemas, asegurando que solo las personas autorizadas tengan acceso.

4. Criptografía: Utilizar técnicas de cifrado para proteger la confidencialidad e integridad de la información durante su almacenamiento, transmisión y procesamiento.

5. Seguridadenlasoperacionesylacomunicación:Establecer controles para asegurar las operaciones diarias, la gestión de cambios, la gestión de incidentes y la comunicación segura.

Estructura

La estructura de la norma ISO 27002 consta de varias secciones que abordan diferentes aspectos de la seguridad de la información. Estas secciones proporcionan orientación y controlesparaayudar a las organizaciones a gestionary proteger su información de manera efectiva. A continuación, se presenta un resumen de la estructura típica de la norma

1. Alcance y aplicación

2. Referencias normativas

3. Términos y definiciones

4. Control de políticas de seguridad de la información

5. Implementación de controles

6. Anexo A

¿A quién aplica?

ISO 27002 es aplicable a cualquier organización que desee implementar controles de seguridad de la información. Es relevantepara organizaciones detodoslostamañosy sectores, ya que proporciona un marco flexible que se puede adaptar a las necesidades específicas de cada organización.

ISO 27003: Guía para la implementación efectiva de un Sistema de Gestión de Seguridad de la Información

ISO 27003 es una norma internacional desarrollada por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC). Su objetivo principal es proporcionar orientación detallada y práctica para la implementación efectiva de un Sistema de Gestión de Seguridad de la Información (SGSI) basado en los requisitos establecidos en ISO 27001.

Un SGSI es un marco integral diseñado para ayudar a las organizaciones a gestionar y proteger su información sensible y valiosa, garantizando su confidencialidad, integridad y disponibilidad. La norma ISO 27003 actúa comouna guía paso a paso queayuda a las organizaciones a planificar,implementar, mantener y mejorar su SGSI de manera eficiente.

La implementación de un SGSI conforme a ISO 27003 ayuda a las organizaciones a identificar y evaluar los riesgos de seguridad de la información a los que están expuestas, y a tomar medidas para mitigarlos de manera efectiva. Al seguir las directrices de la norma, las organizaciones pueden establecer controles de seguridad adecuados, definir políticas y procedimientos, y establecer un enfoque sistemático para gestionar la seguridad de la información en toda la organización.

La norma ISO 27003 seaplica a organizaciones decualquier tamaño, sector o ubicación geográfica que deseen mejorar su seguridad de la información y proteger sus activos de manera efectiva. Puede ser utilizada tanto por organizaciones del sector público como del sector privado.

La estructura de la norma ISO 27003 sigue el enfoque de alto nivel (HLS) adoptado por otras normas de sistemas de gestión, lo que facilita la integración con otros sistemas de gestión, como ISO 9001 (gestión de calidad) o ISO 14001 (gestión ambiental). La norma se divide en varias secciones que abarcan desde la planificación inicial hasta la mejora continua del SGSI, proporcionando directrices detalladas y prácticas recomendadas en cada etapa del proceso de implementación.

¿Qué incluye?

La norma ISO 27003 incluye orientación detallada sobre los siguientes aspectos:

1. Planificación del SGSI: proporciona directrices sobre cómo establecer los objetivos y los alcances del SGSI, así como cómo llevar a cabo el análisis de riesgos y seleccionar los controles de seguridad de la información adecuados.

2. Implementación del SGSI: ofrece orientación sobre cómo implementar los controles de seguridad de la información identificados durante el análisis de riesgos, incluyendo la definición de políticas, procedimientos y procesos relacionados con la seguridad.

3. Operación y mantenimiento del SGSI: describe cómo mantener y mejorar continuamente el SGSI, incluyendo la gestión de cambios, la gestión de incidentes de seguridad, la gestión de activos de información y la concienciación y formación en seguridad de la información.

4. Monitoreo, evaluación, revisión y mejora del SGSI: proporciona orientación sobre cómo realizar auditorías internas, evaluar el desempeño del SGSI, llevar a cabo revisiones de gestión y tomar acciones correctivas y preventivas para mejorar la seguridad de la información.

¿A quién aplica?

La norma ISO 27003 se aplica a cualquier tipo de organización, independientemente de su tamaño, sector o ubicación geográfica, que desee establecer un SGSI conforme a los requisitosde ISO 27001. Puedeserutilizada por organizaciones tanto del sector público como del sector privado.

Estructura

ISO 27003 sigue la misma estructura básica de alto nivel (HLS) que otras normas de gestión, como ISO 27001 e ISO 9001. Esto facilita la integración y alineación de los sistemas de gestión de diferentes disciplinas en una organización. La estructura de la norma consta de los siguientes elementos:

ISO 27004: Directrices para el Monitoreo y Evaluación del Desempeño del Sistema de Gestión de Seguridad de la Información

ISO 27004 es una norma internacional desarrollada por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC). Su objetivo principal es proporcionar directrices para el monitoreo, medición, análisis y evaluación del desempeño de un Sistema de Gestión de Seguridad de la Información (SGSI)basadoenlosrequisitosestablecidosenISO 27001.

En el entorno actual de crecientes amenazas cibernéticas y riesgos de seguridad de la información, es fundamental para las organizaciones evaluar y mejorar continuamente la efectividad de su SGSI. ISO 27004 actúa como una valiosa herramienta que les permite medir y monitorear el desempeño de su SGSI de manera sistemática y basada en datos.

La norma ISO 27004 proporciona directrices detalladas sobre el establecimiento de métricas de seguridad de la información relevantes y significativas para la organización. Estas métricas pueden abarcar áreas como incidentes de seguridad, cumplimiento de políticas, eficacia de los controles implementados, niveles de concienciación de seguridad y muchos otros aspectos relacionados con la seguridad de la información.

Unavez queseestablecenlasmétricas,la norma ofrece orientación sobre cómo recopilar y analizar los datos necesarios para medir el desempeñodelSGSI.Estoimplica definir procesosderecolecciónde datos,seleccionar lasfuentes dedatosadecuadasy utilizar técnicas de análisis pertinentes para obtener información valiosa sobre el estado de la seguridad de la información en la organización.

Además, ISO 27004 aborda la importancia de la evaluacióny análisis de los datos recopilados. Proporciona orientación sobre cómo interpretar los resultados de las mediciones y evaluar el desempeño del SGSI. Esto permite a las organizaciones identificar tendencias, identificar áreas de mejora y tomar decisiones informadas para fortalecer la seguridad de la información.

La norma también enfatiza la importancia de la comunicación efectiva de los resultados del monitoreo y las mediciones. Proporciona directrices sobre cómo elaborar informes de desempeñoclarosy comprensiblespara losinteresados pertinentes. Estos informes pueden ser utilizados para demostrar el cumplimiento de los objetivos de seguridad de la información, comunicar hallazgos clave y presentar recomendaciones para la mejora continua del SGSI.

¿Qué incluye?

La norma ISO 27004 incluye orientación detallada sobre los siguientes aspectos:

1. Establecimiento de métricas de seguridad de la información: proporciona directrices sobre cómo seleccionar y definir métricas de seguridad de la información relevantes y significativas para la organización. Estas métricas pueden abarcar áreas como incidentes de seguridad, cumplimiento de políticas, controles implementados, eficacia de las medidas de seguridad, entre otros.

2. Recopilación y análisis de datos: ofrece orientación sobre cómo recopilar, analizar y evaluar los datos necesarios para medir eldesempeñodelSGSI. Estoimplica establecer procesosderecoleccióndedatos,definirindicadoresclave de desempeño (KPIs) y utilizar técnicas de análisis adecuadas para obtener información significativa sobre el estado de la seguridad de la información.

3. Informes y comunicación de resultados: describe cómo presentar los resultados de las mediciones y análisis de manera clara y comprensible para los interesados relevantes. Esto incluye la elaboración de informes de desempeño, la comunicación de hallazgos y la presentación derecomendaciones para la mejora continua del SGSI.

Estructura

ISO 27004 sigue la misma estructura básica de alto nivel (HLS) que otras normas de gestión, lo que facilita su integración con otros sistemas de gestión. La estructura de la norma consta de los siguientes elementos: 1. Alcance 2.

¿A quién aplica?

La norma ISO 27004 se aplica a cualquier tipo de organización que haya implementado un SGSI conforme a los requisitos de ISO 27001 y que desee evaluar y mejorar continuamente su desempeño en materia de seguridad de la información. Puede ser utilizada por organizaciones de cualquier tamaño, sector o ubicación geográfica, tanto del sector público como del sector privado.

ISO 27005: Directrices para la Gestión Efectiva de Riesgos de Seguridad de la Información

ISO 27005 es una norma internacional que secentra en la gestión de riesgos de seguridad de la información. Esta norma proporciona directrices detalladas y prácticas para ayudar a las organizaciones a establecer y mantener un enfoque sistemático y efectivo para identificar,evaluary tratar losriesgosrelacionadosconlaseguridad de la información.

En el mundo actual, donde la información es un activo valioso y crítico para las organizaciones, es esencial protegerla de manera adecuada. ISO 27005 actúa como una herramienta invaluable para las organizaciones, permitiéndoles identificar y comprender los riesgos que enfrentan y tomar decisiones informadas sobre cómo abordarlos.

La norma ISO 27005 abarca todo el proceso de gestión de riesgos de seguridad de la información. Comienza por comprender el contexto delaorganización,incluyendosusobjetivos,actividadesyrequisitos de seguridad de la información. Esto proporciona una base sólida para identificar los activos de información y evaluar su valor y relevancia para la organización.

Una vez que se establece el contexto, ISO 27005 proporciona orientación sobre cómo establecer un marco de gestión de riesgos sólido. Esto implica definir los roles y responsabilidades de los participantes, establecer criterios de evaluación de riesgos y desarrollar un proceso estructurado para gestionar los riesgos de seguridad de la información de manera efectiva.

La norma también se centra en la evaluación de riesgos, donde se brindan métodos y técnicas para identificar, analizar y evaluar los riesgos. Esto incluye la identificación de amenazas potenciales, las vulnerabilidades existentes y la estimación del impacto y la probabilidad de que ocurran los riesgos. Mediante una evaluación exhaustiva, las organizaciones pueden comprender mejor la naturaleza y el nivel de los riesgos que enfrentan.

Una vez que se han identificado los riesgos, ISO 27005 proporciona directrices para el tratamiento de riesgos. Esto incluye la selección yaplicacióndemedidasapropiadasparamitigar oreducirlosriesgos identificados.La normadestaca laimportanciade evaluar opciones, implementar controles de seguridad adecuados y considerar los costos y beneficios asociados.

Además, ISO 27005 subraya la importancia del monitoreo y la revisión continua de los riesgos. Es fundamental evaluar regularmente la efectividad de los controles implementados, realizar ajustes según sea necesario y estar atento a los cambios en el entorno de riesgo. Esto permite a las organizaciones adaptarse y responder rápidamente a las nuevas amenazas y desafíos de seguridad.

¿Qué incluye?

La norma ISO 27005 incluye una serie de elementos clave que abarcan todo el proceso de gestión de riesgos de seguridad de la información:

1. Contexto de la organización: Esta sección se centra en comprender el entorno y los objetivos de la organización, así como la identificación de los activos de información y los requisitos de seguridad asociados.

2. Establecimiento del marco de gestión de riesgos: Aquí se proporciona orientación sobre cómo establecer y documentar el marco de gestión de riesgos.

3. Evaluación de riesgos: Esta sección aborda los métodos y técnicas para identificar y evaluar los riesgos de seguridad de la información.

4. Tratamiento de riesgos: Aquí se proporciona orientación sobre cómo seleccionar y aplicar medidas de tratamiento de riesgos, incluyendo la evaluación de opciones y la implementación de controles de seguridad adecuados.

5. Monitoreo y revisión: Esta sección aborda el monitoreo continuo de los riesgos y la revisión periódica del proceso de gestión de riesgos.

¿A quién aplica?

ISO 27005 seaplica a cualquier organización,independientemente desutamaño,sector oubicacióngeográfica,quebusquegestionar los riesgos relacionados con la seguridad de la información de maneraefectiva.Esrelevantetantoparaorganizacionesdelsector público como del sector privado.

Estructura

ISO 27005 sigue la estructura de alto nivel (HLS) adoptada por otras normas de sistemas de gestión. La estructura de la norma consta de los siguientes elementos:

ISO 27006: Requisitos y Directrices para la Acreditación de Organismos de Certificación de Sistemas de Gestión de Seguridad de la Información

ISO 27006 es una norma internacional desarrollada por la Organización Internacional de Normalización(ISO) que establece los requisitos y directrices para la acreditación de organismos de certificación que realizan auditorías y emiten certificados de conformidad con la norma ISO 27001. Esta norma juega un papel fundamental en el proceso de certificación de sistemas de gestión de seguridad de la información (SGSI) y garantiza la competencia y la calidad de los organismos de certificación involucrados.

La norma ISO 27006 proporciona un marco claro y estructurado para los organismos de certificación que deseen ofrecer servicios de certificación de SGSI. Establece los criterios y requisitos que estos organismos deben cumplir para obtener la acreditación y llevar a cabo auditorías y certificaciones en línea con la norma ISO 27001.

Uno de los aspectos fundamentales que aborda ISO 27006 es la competencia de los auditores. La norma establece los requisitos de conocimiento, experiencia y habilidades que deben tener los auditores encargados de realizar las auditorías de SGSI. Esto garantiza que los auditores cuenten con el conocimiento técnico y la experiencia necesaria para evaluar la conformidaddeunSGSIcon los requisitos de ISO 27001 de manera efectiva.

Además, ISO 27006 establece los procedimientosy fasesdel proceso de certificación. Esto incluye la solicitud y revisión inicial, la planificación de auditorías, la realización de auditorías in situ, la evaluación de la conformidad y, finalmente, la emisión del certificadodeconformidad.Lanormabrindadirectricesclarassobre cómo llevar a cabo cada etapa del proceso de certificación, asegurando que se sigan los procedimientos adecuados y se realicen lasevaluacionesnecesariasparagarantizarlaintegridaddelproceso de certificación.

Asimismo, ISO 27006 aborda la vigilancia y revisión continua de los organismos de certificación acreditados. Establece la necesidad de evaluaciones periódicas para garantizar que los organismos de certificaciónmantenganaltosestándares decalidady competencia. Esto incluye la gestión de quejas y apelaciones, así como la gestión de la confidencialidad de la información obtenida durante el proceso de certificación.

¿Qué incluye?

La norma ISO 27006 incluye los siguientes elementos principales:

1. Requisitos generales: Establece los criterios generales que deben cumplir los organismos de certificación para obtener la acreditación y realizar auditorías y certificaciones de SGSI conforme a ISO 27001.

2. Competencia de los auditores: Se enfoca en los requisitos decompetenciayhabilidadesnecesariosparalosauditores que participan en las auditorías de SGSI. Esto incluye conocimientos técnicos y de seguridad de la información, así como habilidades de auditoría y evaluación.

3. Proceso de certificación: Describe los pasos y las fases del proceso de certificación, desde la solicitud y revisión inicial hasta la emisión del certificado. También aborda aspectoscomolaplanificacióndeauditorías,larealización de auditorías in situ y la evaluación de la conformidad con los requisitos de ISO 27001.

4. Vigilancia y revisión: Establece requisitos para el seguimiento y la revisión continua de los organismos de certificación acreditados. Esto incluye la evaluación periódica de su desempeño, la gestión de quejas y apelaciones, y la gestión de la confidencialidad de la información obtenida durante el proceso de certificación.

Estructura

ISO 27006 sigue una estructura lógica y secuencial que se divide en secciones claramente definidas para abordar los diferentes aspectosde la acreditacióny certificacióndeSGSI. La estructura de la norma incluye los siguientes elementos:

1. Alcance

2. Referencias normativas

3. Términos y definiciones

4. Requisitos generales de acreditación

5. Competencia de los auditores

6. Proceso de certificación

7. Vigilancia y revisión

¿A quién aplica?

La norma ISO 27006 seaplica a los organismos decertificación que deseen realizar auditorías y emitir certificados de conformidad con ISO 27001. También es relevante para las organizaciones que buscan contratar servicios de certificación de SGSI y desean asegurarse de que los organismos de certificación cumplen con los requisitos y criterios establecidos.

ISO 27007: Directrices para la Auditoría Interna de Sistemas de Gestión de Seguridad

de la Información

ISO27007esuna norma internacionalqueestablecedirectricespara la auditoría interna de un Sistema de Gestión de Seguridad de la Información(SGSI)basadoenlosrequisitosdeISO27001.Estanorma define los lineamientos y requisitos para llevar a cabo auditorías internas efectivas, evaluando el desempeño del SGSI y garantizando el cumplimiento de los requisitos de seguridad de la información.

La auditoría interna es un proceso esencial para las organizaciones que han implementado un SGSI, ya que permite una evaluación imparcial y sistemática de los controles de seguridad, políticas y procedimientos establecidos. Con ISO 27007, las organizaciones obtienen orientación sobre cómo realizar auditorías internas de manera efectiva y asegurarse de que su SGSI cumpla con los estándares establecidos.

La norma ISO 27007 abarca aspectos clave relacionados con la auditoría interna del SGSI. Estos incluyen el alcance y la planificación de la auditoría, la realización de la auditoría interna, la competencia de los auditores internos y el seguimiento y revisión de la auditoría interna.

Al establecer elalcancey la planificaciónde la auditoría interna,se determina qué áreas del SGSI serán auditadas y se definen los criterios y objetivos de la auditoría. La realización de la auditoría interna implica llevara cabolasactividades deauditoría deacuerdo con los procedimientos establecidos, recopilar evidencia y evaluar el cumplimiento de los requisitos de seguridad de la información.

La competencia de los auditores internos es fundamental para garantizar la calidaddelaauditoríainterna.ISO27007 establecelos requisitos de conocimiento, habilidades y experiencia necesarios para los auditores internos, asegurando que estén capacitados para llevar a cabo las auditorías de manera efectiva.

Finalmente, el seguimiento y la revisión de la auditoría interna aseguran que se tomen las medidas adecuadas para abordar los hallazgos y las recomendaciones de la auditoría. Esto incluye la implementación de acciones correctivas y preventivas para mejorar el desempeño del SGSI y garantizar su conformidad continua con los requisitos de seguridad de la información.

¿Qué incluye?

La norma ISO 27007 incluye los siguientes elementos clave:

1. Objetivosy beneficiosde la auditoría interna:Esta sección describe los propósitos y los beneficios de la auditoría interna en el contexto de un SGSI.

2. Alcance y planificación de la auditoría interna: Se centra en el alcance de la auditoría interna y la planificación adecuada de las actividades de auditoría.

3. Realización de la auditoría interna: Esta sección proporciona directrices para llevar a cabo las actividades de auditoría interna de manera efectiva.

4. Competencia y evaluación de los auditores internos: Se enfoca en los requisitos de competencia y habilidades necesariosparalosauditoresinternosqueparticipanenlas auditorías de SGSI.

5. Seguimiento y revisión de la auditoría interna: Describe la importancia del seguimiento y la revisión continua de las actividades de auditoría interna.

¿A quién aplica?

La norma ISO 27007 se aplica a cualquier organización que tenga implementado un SGSI conforme a los requisitos de ISO 27001 y que desee realizar auditorías internas para evaluar su desempeño enmateriadeseguridaddelainformación.Esrelevantetantopara organizaciones del sector público como del sector privado.

Estructura

ISO 27007 sigue una estructura lógica que se divide en secciones claramente definidas para abordar los diferentes aspectos de la auditoría interna de un SGSI. La estructura de la norma incluye los siguientes elementos: 1.

ISO 27031: Directrices para la Continuidad del Negocio y la Gestión de la Seguridad de la Información en Situaciones de Desastre y Crisis

ISO 27031 es una norma internacional desarrollada por la Organización Internacional de Normalización (ISO) que aborda la continuidad del negocio y la gestión de la seguridad de la información en situaciones de desastre y crisis. En un mundo cada vez más dependiente de la información y las tecnologías, es fundamental que las organizaciones estén preparadas para hacer frente a interrupciones y eventos adversos que puedan poner en peligro la disponibilidad y la integridad de la información crítica.

La norma ISO 27031 proporciona directrices y requisitos para establecer, implementar y mantener planes de continuidad del negocio que integren la gestión de la seguridad de la información. Su objetivo principal es ayudar a las organizaciones a desarrollar estrategias efectivas para garantizar la continuidad de sus operaciones, minimizando los impactos negativos en caso de desastre o crisis.

Una parte fundamental de la norma es el análisis de impacto en el negocio,queimplica identificary evaluar losactivosdeinformación críticos y determinar su importancia para el funcionamiento continuo de la organización. Esto permite priorizar las medidas de protección y recuperación necesarias para asegurar la continuidad del negocio y la protección de la información en caso de incidentes o eventos adversos.

La norma también aborda la planificación y el diseño de la continuidaddelnegocio,proporcionandodirectricesparaestablecer estrategias de mitigación de riesgos, así como para desarrollar planes de respuesta y recuperación. Esto incluye la asignación de roles y responsabilidades, la identificación de recursos necesarios y la implementación de medidas para asegurar la disponibilidad y la integridad de la información durante y después de un evento disruptivo.

Además, ISO 27031 destaca la importancia de la implementación y operación efectiva de los planes de continuidad del negocio y la gestión de la seguridad de la información. Esto implica asignar los recursos necesarios, capacitar al personal, realizar pruebas y ejercicios de simulación, y mantener la documentación y los registros actualizados. La norma también hace hincapié en la necesidaddeevaluary mejorarcontinuamentelosplanes,mediante la monitorización del desempeño, la gestión de incidentes y la revisión y actualización periódica de los planes de continuidad del negocio.

¿Qué incluye?

La norma ISO 27031 incluye los siguientes elementos clave:

1. Introducción y alcance: Presenta una visión general y establece el alcance de la norma.

2. Definiciones y terminología: Proporciona definiciones clave y terminología relacionada.

3. Marco de gestión: Establece requisitos y directrices para el establecimiento de un marco de gestión de la continuidad del negocio y la seguridad de la información.

4. Análisis de impacto en el negocio: Identifica los activos de información críticos, evalúa su importancia y analiza el impactodesupérdidaoindisponibilidadenlasoperaciones.

5. Planificaciónydiseñodelacontinuidaddelnegocio:Aborda la planificación y el diseño de medidas para garantizar la continuidad del negocio y la gestión de la seguridad de la información.

6. Implementación y operación: Proporciona directrices para la implementación y operación efectiva del plan de continuidad del negocio y la gestión de la seguridad de la información.

7. Evaluación y mejora: Aborda la evaluación regular del plan de continuidad del negocio y la gestión de la seguridad de la información para identificar áreas de mejora.

Estructura

ISO 27031 sigue una estructura lógica y secuencial que se divide en secciones claramente definidas para abordar los diferentes aspectos de la continuidad del negocio y la gestión de la seguridad de la información. La estructura de la norma incluye los siguientes elementos:

1. Alcance

2. Referencias normativas

3. Términos y definiciones

4. Marco de gestión

5. Análisis de impacto en el negocio

6. Planificación y diseño de la continuidad del negocio

7. Implementación y operación

8. Evaluación y mejora

¿A quién aplica?

ISO 27031 seaplica a cualquier organización,independientemente de su tamaño, sector o ubicación geográfica, que busque establecer y mejorar la continuidad del negocio y la gestión de la seguridad de la información en situaciones de desastre y crisis. Es relevante tanto para organizaciones del sector público como del sector privado.

ISO 27032: Directrices para la Seguridad Cibernética en un Mundo Interconectado

En la era digital actual, la ciberseguridad se ha convertido en una preocupación crítica para las organizaciones de todos los sectores y tamaños. La norma ISO 27032 aborda esta creciente necesidad al proporcionar directrices y mejores prácticas para garantizar la seguridad cibernética en un mundo cada vez más interconectado.

La ciberseguridad se refiere a la protección de la información y los sistemas de información contra amenazas y ataques cibernéticos. Estas amenazas pueden incluir hackers malintencionados, malware, ataques de denegación de servicio (DDoS), robo de datos, intrusiones y otras formas de explotación de vulnerabilidades en los sistemas digitales. Los impactos de un ataque cibernético pueden ser devastadores, desde la pérdida de información confidencial hasta el deterioro de la reputación de una organización y la interrupción de sus operaciones.

ISO 27032 ofreceun enfoque integral para abordar losdesafíosde la seguridad cibernética. Esta norma proporciona directrices para evaluar y gestionar los riesgos cibernéticos, implementar controles adecuados y fomentar una cultura de seguridad cibernética en toda la organización.

En primer lugar, ISO 27032 establece un marco de trabajo para la identificación y evaluación de los riesgos cibernéticos. Esto implica analizar las amenazas potenciales, evaluar la vulnerabilidad de los sistemas y activos de información, y determinar el impacto que un incidente cibernético podría tener en la organización. Con esta comprensión de los riesgos, las organizaciones pueden implementar medidas preventivas y de protección adecuadas.

La norma tambiénsecentraenla gestióndeincidentesdeseguridad cibernética. Proporciona directrices para establecer planes de respuesta a incidentes, que incluyen la detección temprana de ataques, la respuesta rápida y efectiva, y la recuperación de los sistemas y datos afectados. Estos planes garantizan que las organizaciones estén preparadas para actuar de manera coordinada y eficiente frente a un ataque cibernético, minimizando así su impacto y reduciendo el tiempo de inactividad.

Además, ISO 27032 destaca la importancia de la colaboración y la coordinación entre las partes interesadas para abordar los desafíos de la seguridad cibernética. Promueve la colaboración tanto dentro de la organización como con socios externos, como proveedores de servicios de seguridad y agencias gubernamentales. Esta colaboraciónpermiteelintercambiodeinformaciónrelevantesobre amenazas y ataques cibernéticos, así como la adopción de enfoques conjuntosparafortalecerlaseguridadcibernéticaentoda lacadena de suministro.

¿Qué incluye?

La norma ISO 27032 incluye los siguientes aspectos clave:

1. Introducción y alcance: Esta sección proporciona una visión general de la norma y establece su ámbito de aplicación.

2. Términos y definiciones: Se definen los términos clave utilizados en la norma, lo que garantiza una comprensión común y precisa de los conceptos relacionados con la ciberseguridad.

3. Marco de ciberseguridad: Esta sección establece los requisitos y las mejores prácticas para establecer un marco de ciberseguridad efectivo.

4. Evaluación de riesgos y gestión de incidentes: Se aborda la importancia de la evaluación de riesgos en el contexto de la ciberseguridad, así como la gestión de incidentes.

5. Colaboración y coordinación: Esta sección destaca la importancia de la colaboración y coordinación entre las partes interesadas para abordar los desafíos de la ciberseguridad.

6. Comunicación y concienciación: Se aborda la importancia de la comunicación y la concienciación en la promoción de una cultura de ciberseguridad.

¿A quién aplica?

La norma ISO 27032 se aplica a cualquier organización, tanto del sector público como del privado, que busque garantizar la seguridad cibernética en un entorno cada vez más digitalizado. Es especialmente relevante para aquellas organizaciones que dependen en gran medida de la tecnología de la información y la comunicación (TIC) y que enfrentan riesgos cibernéticos significativos.

Estructura

ISO 27032 sigue una estructura lógica y secuencial. Se divide en secciones claramente definidas que abordan los diferentes aspectos de la ciberseguridad. La estructura de la norma incluye los siguientes elementos:

1. Alcance

2. Referencias normativas

3. Términos y definiciones

4. Marco de ciberseguridad

5. Evaluación de riesgos y gestión de incidentes

6. Colaboración y coordinación

7. Comunicación y concienciación

ISO 27110: Directrices para el Desarrollo de un Marco de Ciberseguridad

ISO 27110, también conocida como ISO/IEC TS 27110:2021, es una norma internacional que ofrece directrices para el desarrollo de un marco de ciberseguridad. Publicada en febrero de 2021, esta norma tiene como objetivo proporcionar orientación a los creadores de marcosdeciberseguridad,sinimportar el tipo,tamañoo naturaleza de sus organizaciones.

Un marco de ciberseguridad es una estructura integral que abarca políticas, procesos y medidas implementadas por una organización para proteger sus activos de información contra amenazas cibernéticas. ISO 27110 se centra en el desarrollo de un marco de ciberseguridad efectivo, ofreciendo directrices claras para su diseño, implementación y mejora continua.

Las directrices establecidas en ISO 27110 tienen como objetivo ayudaralasorganizacionesaabordarlosdesafíosyriesgosasociados con la ciberseguridad en un entorno digital en constante evolución. La norma promueve un enfoque adaptativo y personalizado, reconociendo que cada organización tiene necesidades y requisitos específicos en términos de seguridad cibernética.

Aunque ISO 27110 esuna especificación técnica (TS)y no una norma formalmente reconocida, brinda una base sólida para el desarrollo de marcos de ciberseguridad. La norma se basa en los principios generalesdelasnormasISO/IEC27000relacionadasconlaseguridad de la información y la gestión de riesgos. Al seguir las directrices de ISO 27110, los creadores de marcos de ciberseguridad pueden diseñar soluciones personalizadas que se ajusten a las necesidades específicas de sus organizaciones.

Es importante destacar que ISO 27110 no proporciona un marco de ciberseguridad específico, sino que establece los requisitos y las consideraciones clave que deben tenerse en cuenta durante el desarrollodeun marco. Alimplementar unmarcodeciberseguridad basado en estas directrices, las organizaciones pueden fortalecer su postura de ciberseguridad, proteger sus activos de información y mitigar los riesgos asociados con las amenazas cibernéticas.

¿Qué incluye?

ISO 27110 incluye aspectos clave para el desarrollo de un marco de ciberseguridad. Estos aspectos se especifican en la norma y son fundamentales para garantizar la efectividad y la robustez del marco. A continuación, se presentan los conceptos clave incluidos en ISO 27110:

1. Identificar: Este concepto se refiere a la identificación de personas, políticas, procesos y tecnología necesarios para definir el alcance de las actividades relacionadas con la ciberseguridad.

2. Proteger: La protección es un componente esencial de cualquier marco de ciberseguridad.

3. Detectar: La detección implica la supervisión de recursos y la identificación de posibles ataques o incidentes de seguridad.

4. Responder: La respuesta a incidentes de ciberseguridad es fundamental para minimizar el impacto y restablecer la normalidad.

5. Recuperar: Después de un evento de ciberseguridad, es importante llevar a cabo actividades de recuperación para restaurar los sistemas y la infraestructura afectados.

¿A quién aplica?

LanormaISO27110esaplicableadiversostiposdeorganizaciones, independientemente de su tamaño o sector. Según la información proporcionada, la norma no limita su aplicación a un tipo específico de organización. Esto significa que tanto empresas privadas como organizaciones gubernamentales pueden beneficiarse de las directrices establecidas en la norma para el desarrollo de un marco de ciberseguridad

Estructura

ISO 27032 sigue una estructura lógica y secuencial. Se divide en secciones claramente definidas que abordan los diferentes aspectos de la ciberseguridad. La estructura de la norma incluye los siguientes elementos:

ISO 27110: Directrices para el Desarrollo de un Marco de Ciberseguridad

En la era digital actual, la protección de la privacidad de la información personal se ha convertido en una preocupación clave tanto para las organizaciones como para los individuos. La norma ISO 27701 aborda esta preocupación al proporcionar un marco estructurado para la gestión de la privacidad de la información.

ISO 27701 se basa en la norma ISO/IEC 27001, que es el estándar para la gestión de la seguridad de la información. Sin embargo, se centra específicamente en la gestión de la privacidad en relación con la información personal. Esta norma ayuda a las organizaciones a establecer, implementar y mejorar un sistema de gestión de la privacidad de la información, con el objetivo de garantizar la protección adecuada de los datos personales y cumplir con las leyes y regulaciones aplicables.

La norma ISO 27701 incluye una serie de requisitos y directrices que las organizaciones pueden seguir para proteger la privacidad de la información personal de manera efectiva. Estos requisitos se centranenvariosaspectosclavedelagestióndelaprivacidad,como la asignación de responsabilidades, la definición de políticas y procedimientos, la identificación y gestión de riesgos relacionados con la privacidad, la implementación de controles adecuados y la evaluación periódica del desempeño del sistema de gestión de la privacidad.

AlimplementarISO27701,lasorganizacionespuedenestableceruna cultura de privacidad sólida y una postura de seguridad adecuada para proteger la información personal. Esto incluye la implementacióndemedidastécnicasyorganizativasparagarantizar la confidencialidad, integridad y disponibilidad de los datos personales, así como la educación y capacitación del personal para fomentar la conciencia y el cumplimiento de las políticas de privacidad.

La norma ISO 27701 es aplicable a organizaciones de todos los tamañosysectoresquemanejaninformaciónpersonal.Estoincluye, pero no se limita a, datos de clientes, datos de empleados, información médica,información financiera y cualquier otro tipo de información que pueda identificar directa o indirectamente a una persona física.

En cuanto a su estructura, ISO 27701 sigue una estructura similar a otras normasde la serie ISO/IEC 27000. Estoincluye seccionessobre elalcancey los objetivos de la norma,definiciones clave,requisitos de gestión de la privacidad, implementación del sistema de gestión de la privacidad y procesos de evaluación y mejora.

¿Qué incluye?

La norma ISO 27701 incluye los siguientes aspectos clave:

1. Alcance y objetivos: Esta sección establece el alcance de la norma y los objetivos que se persiguen al implementar un sistema de gestión de la privacidad de la información.

2. Términos y definiciones: Se definen los términos clave utilizados en la norma para asegurar una comprensión común y precisa de los conceptos relacionados con la privacidad de la información.

3. Requisitos de gestión de la privacidad: Esta sección establece los requisitos para el establecimiento de un sistema de gestión de la privacidad de la información.

4. Implementación del sistema de gestión de la privacidad: Se proporcionan directrices para implementar el sistema de gestión de la privacidad de la información, incluyendo la planificación, la implementación de controles y la gestión de los recursos necesarios.

5. Proceso de evaluación y mejora: Esta sección aborda la evaluación y mejora continua del sistema de gestión de la privacidad de la información.

¿A quién aplica?

La norma ISO 27701 seaplica a cualquier organización que maneje informaciónpersonalybusqueestablecer unsistemadegestiónde la privacidad de la información. Es especialmente relevante para organizaciones que recopilan, procesan o almacenan grandes cantidades de información personal, como datos de clientes, empleados u otras partes interesadas.

Estructura

ISO 27701 sigue una estructura similar a otras normas de la serie ISO/IEC 27000, como ISO/IEC 27001. La estructura general de la norma incluye:

1. Alcance

2. Referencias normativas

3. Términos y definiciones

4. Requisitos de gestión de la privacidad

5. Implementación del sistema de gestión de la privacidad

6. Proceso de evaluación y mejora