Inicio Ethical Hacking Ciberseguridad ISO 27001 Blog

Familia de normas ISO 27000

iso27001

¿Para qué existe una “familia”?

La serie ISO 27000 agrupa normas que, juntas, te ayudan a establecer, implementar, mantener y mejorar un SGSI; a certificarlo; a auditarlo; y a aterrizarlo por sector o tecnología (cloud, telecom, energía, etc.).

En corto: 27001 no está sola; el resto de la familia te da vocabulario común, guías de implementación, medición, auditoría, y criterios para organismos certificadores.

Cómo está compuesta la familia ISO/IEC 27000

1) Vocabulario (punto de partida)

  • ISO/IEC 27000 – Términos y definiciones.
    Úsala para alinear lenguaje con tu equipo y con auditores.

2) Requisitos (lo que es certificable)

  • ISO/IEC 27001 – Requisitos del SGSI.

  • ISO/IEC 27006 – Requisitos para organismos que auditan y certifican SGSI.

  • ISO/IEC 27009 – Cómo adaptar 27001 a sectores específicos (crear perfiles sectoriales de requisitos).

3) Guías de implementación/operación (cómo hacerlo)

  • ISO/IEC 27002 – Guía de controles (base del Anexo A de 27001).

  • ISO/IEC 27003Implementación del SGSI (paso a paso).

  • ISO/IEC 27004Medición y métricas de seguridad.

  • ISO/IEC 27005Gestión de riesgos de seguridad de la información.

  • ISO/IEC 27007Auditoría de SGSI (cómo planificar y ejecutar).

  • ISO/IEC 27008 – Guía para evaluar controles (apoyo al auditor/evaluador).

  • ISO/IEC 27013 – Integración 27001 + 20000-1 (seguridad + gestión de servicios TI).

  • ISO/IEC 27014Gobierno de la seguridad de la información.

  • ISO/IEC 27021Competencia para profesionales que implementan/auditan SGSI.

  • (Otros TR/guías como TR 27016, economía de la seguridad, pueden apoyar decisiones).

4) Guías sectoriales/específicas

  • ISO/IEC 27010 – Comunicaciones intersector e interorganizacionales.

  • ISO/IEC 27011 – Telecomunicaciones (basada en 27002 para telcos).

  • ISO/IEC 27017Controles para servicios en la nube (cliente/proveedor).

  • ISO/IEC 27018Protección de datos personales en cloud pública.

  • ISO/IEC 27019 – Sector energía (control industrial/utility).
    (Hay más documentos sectoriales según industria/uso y pueden actualizarse con el tiempo).

Cómo usar este mapa en tu proyecto

  • Implementación: arranca con 27001 (qué pedir), toma 27002 para seleccionar controles y 27005 para riesgo. Apóyate en 27003 para la hoja de ruta y en 27004 para KPIs.

  • Auditoría interna: guía tu enfoque con 27007 y usa 27008 para evaluar la eficacia de controles.

  • Certificación externa: verifica competencia y criterios del organismo con 27006.

Preguntas tipo examen

1) ¿Cuál de estas normas define los requisitos certificables del SGSI?

A. ISO/IEC 27002
B. ISO/IEC 27000
C. ISO/IEC 27007
D. ISO/IEC 27001

Explicación: La norma ISO 27001 contiene los requisitos; 27002 es guía de controles.

Respueta: D

2) ¿Para qué sirve ISO/IEC 27005?

A. Medición de seguridad
B. Gestión de riesgos
C. Auditoría de SGSI
D. Competencia de profesionales

Explicación: 27005 guía cómo gestionar riesgos de seguridad.

Respueta: B

Cierre

La familia 27000 es tu caja de herramientas: ISO 27001 contiene los requisitos, ISO 27002 sugiere controles, ISO 27005 prioriza por riesgo, ISO 27007– ISO 27008 ayudan a auditar y las normas sectoriales ajustan al contexto real (cloud, telecom, energía).

 

¿Quieres certificarte en ISO 27001 Foundation?

Si ya revisaste estas entradas con atención, puedes dar el paso al examen oficial con nuestro:

Kit Oficial ISO 27001 Foundation
https://academy.seguridadcero.com.pe/kit-oficial-iso-27001-foundation

¿Prefieres una formación integral con seguimiento para llegar con total seguridad?

Tengo una formación completa con acceso a clases, talleres, plantillas, simulacros y más.

Curso Oficial ISO 27001 Foundation
https://academy.seguridadcero.com.pe/curso-oficial-iso-27001-foundation

Nos vemos.

Fernando Conislla

Instructor Oficial ISO 27001 | Todos los niveles 

Categories

All Categories cyber cybersecurity forense hacking infosec iso27001 lcspc malware osint owasp phishing