Definición y propósito

El propósito de ISO/IEC 27005 es asistir a las organizaciones en establecer un enfoque sistemático para gestionar y tratar los riesgos de seguridad de la información. El estándar no prescribe un enfoque único para todos, sino que anima a las organizaciones a adaptar las directrices a sus necesidades específicas. Ayuda a las organizaciones a identificar, analizar, evaluar y tratar los riesgos asociados con la seguridad de su información.

Organismo rector

El estándar es desarrollado y publicado por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC).

Última actualización

ISO/IEC 27005 se publicó inicialmente en 2018. El estándar se revisa cada 5 años y se revisó en 2022. Lea más sobre las últimas actualizaciones y revisiones de ISO/IEC 27005 en nuestro blog.

Aplica a

ISO/IEC 27005 se aplica a todas las organizaciones, independientemente de su tamaño, tipo o naturaleza, que deseen gestionar riesgos de manera sistemática dentro del marco de un SGSI. Es relevante para las organizaciones que gestionan riesgos de seguridad de la información, ya sean entidades privadas, sin fines de lucro o gubernamentales.

Controles y requisitos

ISO/IEC 27005 no contiene una lista prescriptiva de controles; en su lugar, se centra en el proceso de gestión de riesgos y ofrece orientación sobre actividades, que incluyen:

• Establecimiento del contexto: Definición de los límites y el alcance de la gestión de riesgos, junto con los criterios de riesgo.
• Evaluación de riesgos: Identificación, análisis y evaluación de riesgos.
• Tratamiento de riesgos: Selección e implementación de las opciones de tratamiento de riesgos adecuadas.
• Aceptación de riesgos: Aceptación de los riesgos residuales después del tratamiento.
• Comunicación y consulta sobre riesgos: Garantizar que las partes interesadas estén informadas sobre los riesgos y las actividades de gestión de riesgos.
• Monitoreo y revisión de riesgos: Monitoreo y revisión continuos del entorno de riesgos, los planes de tratamiento y la eficacia de los controles.

Consulte la documentación oficial ISO/IEC 27005:2022 para obtener detalles sobre controles y requisitos.

Tipo, frecuencia y duración de la auditoría

El proceso de auditoría para ISO/IEC 27005 generalmente implica revisar las prácticas y procedimientos de gestión de riesgos dentro de una organización para asegurar que cumplen con el estándar. Las evaluaciones de riesgos se realizan a menudo anualmente o siempre que ocurran cambios significativos dentro de la organización o su entorno operativo que puedan afectar el panorama de riesgos.

La duración del proceso de auditoría de gestión de riesgos varía en función del tamaño y la complejidad de la organización, el alcance de las actividades de gestión de riesgos y la madurez del SGSI existente.