Norma británica reconocida internacionalmente donde se establece un conjunto de prácticas para la gestión de la seguridad de la información en las organizaciones.

Centrada más específicamente a los contorles de seguridad de la información que deben implementarse para proteger los activos de información críticos.
Divididos en 10 categorías:
☼ Políticas de seguridad
☼ Gestión de activos de información
☼ Seguridad en recursos humanos
☼ Control de acceso
☼ Seguridad física
☼ Gestión de operaciones y comunicaciones
☼ Adquisición
☼ Desarrollo y mantenimiento de sistemas
☼ Gestión de incidentes de seguridad de la información
☼ Cumplimiento legal

Además, se integran actualizaciones que cubren una amplia gama de áreas, desde la gestión de la seguridad de la información hasta la seguridad física y ambiental, y proporciona una lista de controles y buenas prácticas recomendadas para cada área.

Es una de las normas más importantes en el campo de la seguridad de la información. Proporciona un marco para la gestión sistemática de la seguridad de la información en una organización, lo que ayuda a garantizar la confidencialidad, integridad y disponibilidad de los activos de información críticos de la organización.

Mientras que la norma ISO/IEC 27001 se centra en la implementación de un sistema de gestión de seguridad de la información (SGSI) y especifica los requisitos para un SGSI eficaz, la norma ISO/IEC 27002 proporciona una guía detallada sobre los controles de seguridad de la información que se pueden implementar para cumplir con los requisitos de la norma ISO/IEC 27001.

La última versión de la norma ISO/IEC 27001:2019 incluye varias actualizaciones y mejoras en comparación con la versión anterior de 2013. Algunas de las nuevas cosas que integra la norma ISO/IEC 27001:2019 son:
☼ Mejora sobre el enfoque basado en riesgos.
☼ Ampliación del alcance de la norma
☼ Incorporación de los controles de seguridad de la información de ISO/IEC 27002

La norma ISO/IEC 27004 establece una metodología para la medición del desempeño del SGSI, que incluye la definición de objetivos y metas de seguridad de la información, la selección de indicadores de desempeño y la implementación de un proceso de seguimiento y medición del desempeño.

La norma ISO/IEC 27701 se centra en la protección de la privacidad de las personas, y tiene como objetivo ayudar a las organizaciones a cumplir con los requisitos de las leyes y regulaciones aplicables en materia de privacidad de la información, como el Reglamento General de Protección de Datos de la Unión Europea (RGPD).

Esta norma se enfoca en ayudar a las organizaciones a evaluar, tratar, monitorear y mejorar continuamente la gestión de riesgos de seguridad de la información, utilizando un enfoque sistemático y basado en riesgos. Se basa en el ciclo de vida de gestión de riesgos, que consta de los siguientes procesos:
☼ Contexto de la organización
☼ Evaluación de riesgos
☼ Tratamiento de riesgos
☼ Monitoreo y revisión

ISO 27000. (2014, 13 noviembre). Estandares ISO’s - Evolucion. https://estandarisosevolucion.wordpress.com/iso-27000/

1. Historia y evolución de la ISO serie 27000, ISO 17799. (2017). studylib.es. https://studylib.es/doc/845974/3.-historia-y-evoluci%C3%B3n-de-la-iso-serie-27000--iso-17799

Andres, E. F. N. (2020). ISO 27000, Linea del tiempo. www.academia.edu. https://www.academia.edu/44234802/ISO_27000_Linea_del_tiempo

Timetoast. (1901). Evolución de la Norma ISO/IEC 27000 timeline. Timetoast timelines. https://www.timetoast.com/timelines/evolucion-de-la-norma-iso-iec-27000 Labbo. (2020). ISO 27000, primeros pasos con la norma. OSTEC | Segurança digital de resultados. https://ostec.blog/es/generico/primeros-pasos-iso-27000/