Cuando se habla de la ISO 20000 normalmente se est haciendo referencia a la norma ISO/IEC 20000-1, que es la norma utilizada para

certificar un Sistema de Gestin de Servicios de TI. Sin embargo, esa norma pertenece a una familia de normas que quizs le resulten interesantes. La familia de normas ISO 20000 est formada por las siguientes normas: ISO 20000-1, detalla los requisitos, debe cumplir un Sistema de Gestin de Servicios de TI (aunque en la revisin de 2011, se denomina, un Sistema de Gestin de Servicios). Esta es la norma ms conocida de la familia, se utiliza para garantizar, que la implantacin pueda superar una auditora y obtener la certificacin. ISO 20000-2, es un conjunto de recomendaciones y buenas prcticas para facilitar el cumplimiento de los requisitos establecidos en la norma ISO 20000-1. se recomienda, porque ayuda a comprender, la ISO 20000-1, en su aplicacin prctica. Es de resaltar, que algunas normas certificables, se acompaan con recomendaciones y buenas prcticas, usando otra norma. ejemplo, lo mismo ocurre, para calidad con la Norma ISO 9001 y la ISO 9002, done la primera define los requisitos del Sistema de Gestin de la Calidad y la segunda ofrece recomendaciones y buenas prcticas. ISO 20000-3, es una gua para la definicin del alcance y el mbito de aplicacin de la ISO 20000-1. Es importante porque determina, las actividades de auditora , para obtener la certificacin de Sistema de Gestin de Servicios de TI. es muy importante porque. En general es recomendable leer el alcance de las certificaciones para comprender lo qu ha certificado realmente la entidad certificadora. Ejemplo, Espiral MS ha actualizado la certificacin ISO 20000-1 a la versin de 2011 y, a la vez, ha modificado el alcance para adecuarlo ms a la realidad del negocio incluyendo el servicio de soporte tcnico de las dos lneas de negocio de la compaa: ProactivaNET y Prosafety. Este nuevo alcance est ms alineado con el alcance la certificacin ISO 9001 para el diseo y desarrollo de aplicaciones web, en la gestin de sistemas y la atencin a clientes.

ISO 20000-4, es una gua, para elaborar el modelo de evaluacin de procesos. Su uso permite realizar valoracin de la madurez de los procesos, con detalle superior al conforme / no conforme, como resultado de una auditora convencional. Interesante, para realizar aproximacin gradual a los requisitos de la norma ISO 20000-1. ISO 20000-5, es una gua con sugerencias para la implantacin del Sistema de Gestin de Servicios de TI, propuesta en la norma ISO 20000-1. Contiene, recomendaciones para implantacin eficaz de un proyecto informtico. Cuando se usa ISO 20000, realmente aplica ISO/IEC 20000-1:2011, ignorando el resto de las normas que la acompaan. Evidentemente, la ISO 20000-1, es relevante, porque, se debe considerar, para obtener certificacin del Sistema de Gestin de Servicios de TI, sin embargo, las otras son interesantes, como gua de implantacin fcil y eficaz, luego no se deben ignorar.

Familia Norma ISO 27000

El componente especializado descrito como Gestin Seguridad de la informacin suministra todos los conocimientos necesarios para conducir al especialista en seguridad de la informacin, a comprender de una forma estructurada como se hace la gestin de la seguridad de la informacin, aplicando estndares internacionales de Sistemas de Gestin de la Seguridad de la Informacin (SGSI), tales como los pertenecientes a la familia ISO 27001, dentro de los cuales se incluyen normas importantes tales como:

La serie 27000 A semejanza de otras normas ISO, la 27000 es realmente una serie de estndares. Los rangos de numeracin reservados por ISO van de 27000 a 27019 y de 27030 a 27044 con 27799 finalizando la serie formalmente en estos momentos. Toda la informacin disponible pblicamente sobre el desarrollo de las normas de la serie 27000 puede consultarse en las pginas web del subcomit JTC1/SC27: 1 y 2). La serie de normas de referencia y su estado de aprobacin de Ediciones (entre parntesis) a lo largo del tiempo se indican a continuacin:

Para aquellas normas an no publicadas o en fase de revisin puede consultarse el estado de aprobacin en ISO y consultar su estado de avance por el comit segn la tabla de referencia.

Contenido En esta seccin se hace un breve resumen del contenido de las principales normas de la serie 27000 ya publicadas. Partiendo del fundamento de que el estndar ISO/IEC 27001 indica qu requisitos deben conformar un SGSI pero no cmo cumplirlos, algunas de las normas que conforman la serie 27000 van orientadas precisamente a documentar mejores prcticas en aspectos o incluso clusulas concretas de la norma ISO/IEC 27001 de modo que se evite reinventar la rueda con el sustancial ahorro de tiempo en la implantacin. Puede hacer un click sobre la siguiente imagen para ampliar estas relaciones bsicas de referencia.

Si desea acceder a las normas completas, debe saber que stas no son de libre difusin sino que han de ser adquiridas. Para los originales en ingls, puede hacerlo online en la tienda virtual de la propia organizacin: iso.org Adicionalmente existe la opcin de una previsualizacin del ndice con los contenidos de los originales publicados online en la tienda virtual oficial: webstore.iec.ch Las normas en espaol pueden adquirirse en Espaa en AENOR, as como en otras entidades de normalizacin nacionales y responsables de la publicacin traducida de los estndares internacionales de mayor inters a nivel local. Esto explica la salida de publicaciones traducidas tan dispar en el tiempo y segn el pas. Las entidades de normalizacin responsables de la publicacin y venta de normas en cada pas hispanoamericano (es decir, las homlogas del AENOR espaol) las puede encontrar listadas en nuestra seccin de "Enlaces", bajo "Acreditacin y Normalizacin". ISO/IEC 27000: jesus barraza

Publicada el 1 de Mayo de 2009 y revisada con una segunda edicin de 01 de Diciembre de 2012. Esta norma proporciona una visin general de las normas que componen la serie 27000, una introduccin a los Sistemas de Gestin de Seguridad de la Informacin, una breve descripcin del ciclo Plan-Do-Check-Act y trminos y definiciones que se emplean en toda la serie 27000. En Espaa, esta norma no est traducida, pero s en Uruguay (UNIT-ISO/IEC 27000). El original en ingls y su traduccin al francs pueden descargarse gratuitamente de standards.iso.org/ittf/PubliclyAvailableStandards. ISO/IEC 27001: Eugenio pjaro A Publicada el 15 de Octubre de 2005 . Es la norma principal de la serie y contiene los requisitos del sistema de gestin de seguridad de la informacin. Tiene su origen en la BS 7799-2:2002 (que ya qued anulada) y es la norma con arreglo a la cual se certifican por auditores externos los SGSIs de las organizaciones. En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005, para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no ser obligatoria la implementacin de todos los controles enumerados en dicho anexo, la organizacin deber argumentar slidamente la no aplicabilidad de los controles no implementados. Desde el 28 de Noviembre de 2007, esta norma est publicada en Espaa como UNE-ISO/IEC 27001:2007 y puede adquirirse online en AENOR (tambin en lengua gallega). En 2009, se public un documento adicional de modificaciones (UNE-ISO/IEC 27001:2007/1M:2009). Otros pases donde tambin est publicada en espaol son, por ejemplo, Colombia (NTC-ISO-IEC 27001), Venezuela (Fondonorma ISO/IEC 27001), Argentina (IRAM-ISO IEC 27001), Chile (NCh-ISO27001), Mxico (NMX-I041/02-NYCE) o Uruguay (UNIT-ISO/IEC 27001). El original en ingls y la traduccin al francs pueden adquirirse en iso.org. Actualmente, este estndar se encuentra en periodo de revisin en el subcomit ISO SC27, con fecha prevista de publicacin para 2014. ISO/IEC 27002: Alberto carlos castro castro Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005 como ao de edicin. Es una gua de buenas prcticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la informacin. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su apartado correspondiente, la norma ISO 27001 contiene un anexo que resume los controles de ISO 27002:2005. Publicada en Espaa como UNE-ISO/IEC 27002:2009 desde el 9 de Diciembre de 2009 (a la venta en AENOR). Otros pases donde tambin est publicada en espaol son, por ejemplo, Colombia (NTC-ISO-IEC 27002), Venezuela (Fondonorma ISO/IEC 27002), Argentina (IRAM-ISO-IEC 27002), Chile (NChISO27002), Uruguay (UNIT-ISO/IEC 27002) o Per (como ISO 17799; descarga

gratuita). El original en ingls y su traduccin al francs pueden adquirirse en iso.org. Actualmente, este estndar se encuentra en periodo de revisin en el subcomit ISO SC27, con fecha prevista de publicacin de la segunda edicin en Mayo de 2014. Puede descargarse una lista de todos los controles que contiene esta norma aqu: http://www.iso27000.es/download/ControlesISO27002-2005.pdf ISO/IEC 27003: Mario Barrios P Publicada el 01 de Febrero de 2010. No certificable. Es una gua que se centra en los aspectos crticos necesarios para el diseo e implementacin con xito de un SGSI de acuerdo ISO/IEC 27001:2005. Describe el proceso de especificacin y diseo desde la concepcin hasta la puesta en marcha de planes de implementacin, as como el proceso de obtencin de aprobacin por la direccin para implementar un SGSI. Tiene su origen en el anexo B de la norma BS 7799-2 y en la serie de documentos publicados por BSI a lo largo de los aos con recomendaciones y guas de implantacin. En Espaa, esta norma an no est traducida, pero s en Uruguay (UNIT-ISO/IEC 27003). El original en ingls puede adquirirse en iso.org. ISO/IEC 27004: Jose serna Publicada el 15 de Diciembre de 2009. No certificable. Es una gua para el desarrollo y utilizacin de mtricas y tcnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles o grupos de controles implementados segn ISO/IEC 27001. En Espaa, esta norma an no est traducida, sin embargo s lo est en Argentina (IRAM-ISO-IEC 27004) o Uruguay (UNIT-ISO/IEC 27004). El original en ingls puede adquirirse en iso.org ISO/IEC 27005: Sergio girado Publicada en segunda edicin el 1 de Junio de 2011 (primera edicin del 15 de Junio de 2008). No certificable. Proporciona directrices para la gestin del riesgo en la seguridad de la informacin. Apoya los conceptos generales especificados en la norma ISO/IEC 27001 y est diseada para ayudar a la aplicacin satisfactoria de la seguridad de la informacin basada en un enfoque de gestin de riesgos. Su primera publicacin revis y retir las normas ISO/IEC TR 13335-3:1998 e ISO/IEC TR 13335-4:2000. El original en ingls puede adquirirse en iso.org. En Espaa, esta norma no est traducida, sin embargo, s lo est, para la versin de 2008, en pases como Mxico (NMX-I-041/05-NYCE), Chile (NCh-ISO27005), Uruguay (UNIT-ISO/IEC 27005) o Colombia (NTC-ISO-IEC 27005). ISO/IEC 27006:Luis Eduardo manuel mendoza angulo

Publicada en segunda edicin el 1 de Diciembre de 2011 (primera edicin del 1 de Marzo de 2007). Especifica los requisitos para la acreditacin de entidades de auditora y certificacin de sistemas de gestin de seguridad de la informacin. Es una versin revisada de EA-7/03 (Requisitos para la acreditacin de entidades que operan certificacin/registro de SGSIs) que aade a ISO/IEC 17021 (Requisitos para las entidades de auditora y certificacin de sistemas de gestin) los requisitos especficos relacionados con ISO 27001 y los SGSIs. Es decir, ayuda a interpretar los criterios de acreditacin de ISO/IEC 17021 cuando se aplican a entidades de certificacin de ISO 27001, pero no es una norma de acreditacin por s misma. El original en ingls puede adquirirse en iso.org. En Espaa, esta norma no est traducida, sin embargo, s lo est, para la versin de 2007, en Mxico (NMX-I041/06-NYCE) o Chile (NCh-ISO27001). Actualmente ha iniciado un nuevo periodo de revisin para una nueva versin 3. ISO/IEC 27007: Maria de avila Publicada el 14 de Noviembre de 2011. No certificable. Es una gua de auditora de un SGSI, como complemento a lo especificado en ISO 19011. En Espaa, esta norma no est traducida. El original en ingls puede adquirirse en iso.org ISO/IEC TR 27008: Adelaida Gari Publicada el 15 de Octubre de 2011. No certificable. Es una gua de auditora de los controles seleccionados en el marco de implantacin de un SGSI. En Espaa, esta norma no est traducida. El original en ingls puede adquirirse en iso.org ISO/IEC 27010: Virgilio Padilla Publicada el 20 de Octubre de 2012. Consiste en una gua para la gestin de la seguridad de la informacin cuando se comparte entre organizaciones o sectores. ISO/IEC 27010:2012 es aplicable a todas las formas de intercambio y difusin de informacin sensible, tanto pblicas como privadas, a nivel nacional e internacional, dentro de la misma industria o sector de mercado o entre sectores. En particular, puede ser aplicable a los intercambios de informacin y participacin en relacin con el suministro, mantenimiento y proteccin de una organizacin o de la infraestructura crtica de los estados y naciones. ISO/IEC 27011: Natali Maza Publicada el 15 de Diciembre de 2008. Es una gua de interpretacin de la implementacin y gestin de la seguridad de la informacin en organizaciones del sector de telecomunicaciones basada en ISO/IEC 27002. Est publicada tambin como norma ITU-T X.1051. En Espaa, no est traducida. El original en ingls puede adquirirse en iso.org.

 ISO/IEC 27013:Estefani Ramos Publicada el 15 de Octubre de 2012. Es una gua de implementacin integrada de ISO/IEC 27001 (gestin de seguridad de la informacin) y de ISO/IEC 20000-1 (gestin de servicios TI). ISO/IEC 27014: En fase de desarrollo, con publicacin prevista en 2013. Consistir en una gua de gobierno corporativo de la seguridad de la informacin. ISO/IEC TR 27015: melissa orozco Publicada el 23 de Noviembre de 2012. Es una gua de SGSI orientada a organizaciones del sector financiero y de seguros y como complemento a ISO/IEC 27002. ISO/IEC TR 27016: En fase de desarrollo, con publicacin prevista en 2013. Consistir en una gua de valoracin de los aspectos financieros de la seguridad de la informacin. ISO/IEC TS 27017: En fase de desarrollo, con publicacin prevista en 2013. Consistir en una gua de seguridad para Cloud Computing. ISO/IEC 27018: Gustavo Rodriguez En fase de desarrollo, con publicacin prevista en 2013. Consistir en un cdigo de buenas prcticas en controles de proteccin de datos para servicios de computacin en cloud computing. ISO/IEC TR 27019: En fase de desarrollo, con publicacin prevista en 2013. Consistir en una gua con referencia a ISO/IEC 27002 para el proceso de control de sistemas especficos al sector de la industria de la energa. ISO/IEC 27031: Jorge Luis carbal Publicada el 01 de Marzo de 2011. No certificable. Es una gua de apoyo para la adecuacin de las tecnologas de informacin y comunicacin (TIC) de una organizacin para la continuidad del negocio. El documento toma como referencia

el estndar BS 25777. En Espaa, esta norma no est traducida. El original en ingls puede adquirirse en iso.org ISO/IEC 27032: Jorge martinez Publicada el 16 de Julio de 2012. Proporciona orientacin para la mejora del estado de seguridad ciberntica, extrayendo los aspectos nicos de esa actividad y de sus dependencias en otros dominios de seguridad, concretamente: Informacin de seguridad, seguridad de las redes, seguridad en Internet e informacin de proteccin de infraestructuras crticas (CIIP). Cubre las prcticas de seguridad a nivel bsico para los interesados ??en el ciberespacio. Esta norma establece una descripcin general de Seguridad Ciberntica, una explicacin de la relacin entre la ciberseguridad y otros tipos de garantas, una definicin de las partes interesadas y una descripcin de su papel en la seguridad ciberntica, una orientacin para abordar problemas comunes de Seguridad Ciberntica y un marco que permite a las partes interesadas a que colaboren en la solucin de problemas en la ciberseguridad. ISO/IEC 27033: paula pacheco Parcialmente desarrollada. Norma dedicada a la seguridad en redes, consistente en 7 partes: 27033-1, conceptos generales (publicada el 15 de Diciembre de 2009 y disponible en iso.org); 27033-2, directrices de diseo e implementacin de seguridad en redes (publicada el 27 de Julio de 2012); 27033-3, escenarios de referencia de redes (publicada el 3 de Diciembre de 2010 y disponible en iso.org); 27033-4, aseguramiento de las comunicaciones entre redes mediante gateways de seguridad; 27033-5, aseguramiento de comunicaciones mediante VPNs (prevista para 2013); 27033-6, convergencia IP (prevista para 2013); 27033-7, redes inalmbricas (prevista para 2013). ISO/IEC 27034: Luis lenes Parcialmente desarrollada. Norma dedicada la seguridad en aplicaciones informticas, consistente en 5 partes: 27034-1, conceptos generales (publicada el 21 de Noviembre de 2011 y disponible en iso.org); 27034-2, marco normativo de la organizacin (sin previsin de publicacin); 27034-3, proceso de gestin de seguridad en aplicaciones (sin previsin de publicacin); 27034-4, validacin de la seguridad en aplicaciones (sin previsin de publicacin); 27034-5, estructura de datos de protocolos y controles de seguridad de aplicaciones (sin previsin de publicacin). ISO/IEC 27035:Carlos vasquez

Publicada el 17 de Agosto de 2011. Proporciona una gua sobre la gestin de incidentes de seguridad en la informacin. En Espaa, no est traducida. El original en ingls puede adquirirse en iso.org. ISO/IEC 27036: En fase de desarrollo, con publicacin prevista en 2013. Consistir en una gua en cuatro partes de seguridad en las relaciones con proveedores: 27036-1, visin general y conceptos; 27036-2, requisitos comunes; 27036-3, seguridad en la cadena de suministro TIC; 27036-4, seguridad en outsourcing (externalizacin de servicios). ISO/IEC 27037: Casas buenas Publicada el 15 de Octubre de 2012. Es una gua que propociona directrices para las actividades relacionadas con la identificacin, recopilacin, consolidacin y preservacin de evidencias digitales potenciales localizadas en telfonos mviles, tarjetas de memoria, dispositivos electrnicos personales, sistemas de navegacin mvil, cmaras digitales y de video, redes TCP/IP, entre otros dispositvos y para que puedan ser utilizadas con valor probatorio y en el intercambio entre las diferentes jurisdicciones. ISO/IEC 27038: En fase de desarrollo, con publicacin prevista en 2013. Consistir en una gua de especificacin para seguridad en la redaccin digital. ISO/IEC 27039: En fase de desarrollo, con publicacin prevista en 2013. Consistir en una gua para la seleccin, despliege y operativa de sistemas de deteccin y prevencin de intrusin (IDS/IPS). ISO/IEC 27040: En fase de desarrollo, con publicacin prevista no antes de 2014. Consistir en una gua para la seguridad en medios de almacenamiento. ISO/IEC 27041: En fase de desarrollo, con publicacin prevista no antes de 2014. Consistir en una gua para la garantizar la la idoneidad y adecuacin de los mtodos de investigacin.

 ISO/IEC 27042: En fase de desarrollo, con publicacin prevista no antes de 2014. Consistir en una gua con directrices para el anlisis e interpretacin de las evidencias digitales. ISO/IEC 27043: En fase de desarrollo, con publicacin prevista no antes de 2014. Desarrollar principios y procesos de investigacin. ISO/IEC 27044: En fase de desarrollo, con publicacin prevista no antes de 2014. Gestin de eventos y de la seguridad de la informacin - Security Information and Event Management (SIEM). ISO 27799: Wesley Publicada el 12 de Junio de 2008. Es una norma que proporciona directrices para apoyar la interpretacin y aplicacin en el sector sanitario de ISO/IEC 27002, en cuanto a la seguridad de la informacin sobre los datos de salud de los pacientes. Esta norma, al contrario que las anteriores, no la desarrolla el subcomit JTC1/SC27, sino el comit tcnico TC 215. El original en ingls o francs puede adquirirse en iso.org. Desde el 20 de Enero de 2010, esta norma est publicada en Espaa como UNE-ISO/IEC 27799:2010 y puede adquirirse online en AENOR