Línea de Tiempo de la Familia ISO 27000
El artículo sucumbió a un borrado rápido. Ver el registro de borrado en Wikipedia
Los rangos de numeración reservados por ISO van de 27000 a 27019 y de 27030 a 27044 con 27799 finalizando la serie formalmente en estos momentos.
La serie de normas de referencia y su estado de aprobación de Ediciones (entre paréntesis) a lo largo del tiempo se indican a continuación:
Línea Tiempo Familia iso27000
ISO/IEC 27000:
Publicada el 1 de Mayo de 2009, revisada con una segunda edición de 01 de Diciembre de 2012 y una tercera edición de 14 de Enero de 2014. Esta norma proporciona una visión general de las normas que componen la serie 27000, indicando para cada una de ellas su alcance de actuación y el propósito de su publicación. Recoge todas las definiciones para la serie de normas 27000 y aporta las bases de por qué es importante la implantación de un SGSI, una introducción a los Sistemas de Gestión de Seguridad de la Información, una breve descripción de los pasos para el establecimiento, monitorización, mantenimiento y mejora de un SGSI (la última edición no aborda ya el ciclo Plan-Do-Check-Act para evitar convertirlo en el único marco de referencia para la mejora continua).
ISO/IEC 27001:
Publicada el 15 de Octubre de 2005, revisada el 25 de Septiembre de 2013. Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 (que ya quedó anulada) y es la norma con arreglo a la cual se certifican por auditores externos los SGSIs de las organizaciones.
ISO/IEC 27002:
Publicada desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005 como año de edición. Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios.
ISO/IEC 27003:
Publicada el 01 de Febrero de 2010. No certificable. Es una guía que se centra en los aspectos críticos necesarios para el diseño e implementación con éxito de un SGSI de acuerdo ISO/IEC 27001:2005. Describe el proceso de especificación y diseño desde la concepción hasta la puesta en marcha de planes de implementación, así como el proceso de obtención de aprobación por la dirección para implementar un SGSI.
ISO/IEC 27004:
Publicada el 15 de Diciembre de 2009. No certificable. Es una guía para el desarrollo y utilización de métricas y técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles o grupos de controles implementados según ISO/IEC 27001. En España, esta norma aún no está traducida, sin embargo sí lo está en Argentina (IRAM-ISO-IEC 27004) o Uruguay (UNIT-ISO/IEC 27004). El original en inglés puede adquirirse en iso.org. Actualmente en proceso de revisión para su actualización.
ISO/IEC 27005:
Publicada en segunda edición el 1 de Junio de 2011 (primera edición del 15 de Junio de 2008). No certificable. Proporciona directrices para la gestión del riesgo en la seguridad de la información. Apoya los conceptos generales especificados en la norma ISO/IEC 27001:2005 y está diseñada para ayudar a la aplicación satisfactoria de la seguridad de la información basada en un enfoque de gestión de riesgos.
ISO/IEC 27006:
Publicada en segunda edición el 1 de Diciembre de 2011 (primera edición del 1 de Marzo de 2007) y revisada el 30 de Septiembre de 2015. Especifica los requisitos para la acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información.
ISO/IEC 27007:
Publicada el 14 de Noviembre de 2011. No certificable. Es una guía de auditoría de un SGSI, como complemento a lo especificado en ISO 19011. En España, esta norma no está traducida. El original en inglés puede adquirirse en iso.org. Actualmente en proceso de revisión para su actualización.
ISO/IEC TR 27008:
Publicada el 15 de Octubre de 2011. No certificable. Es una guía de auditoría de los controles seleccionados en el marco de implantación de un SGSI. En España, esta norma no está traducida. El original en inglés puede adquirirse en iso.org. Actualmente en proceso de revisión para su actualización.
ISO/IEC 27009:
En estado de desarrollo. No certificable. Es una guía sobre el uso y aplicación de los principios de ISO/IEC 27001 para el sector servicios específicos en emisión de certificaciones acreditadas de tercera parte.
ISO/IEC 27010:
Publicada el 20 de Octubre de 2012 y revisada el 10 de Noviembre de 2015. Consiste en una guía para la gestión de la seguridad de la información cuando se comparte entre organizaciones o sectores. ISO/IEC 27010:2012 es aplicable a todas las formas de intercambio y difusión de información sensible, tanto públicas como privadas, a nivel nacional e internacional, dentro de la misma industria o sector de mercado o entre sectores. En particular, puede ser aplicable a los intercambios de información y participación en relación con el suministro, mantenimiento y protección de una organización o de la infraestructura crítica de los estados y naciones. Actualmente en proceso de revisión para su actualización.
ISO/IEC 27011:
Publicada el 15 de Diciembre de 2008. Es una guía de interpretación de la implementación y gestión de la seguridad de la información en organizaciones del sector de telecomunicaciones basada en ISO/IEC 27002:2005. Está publicada también como norma ITU-T X.1051. En España, no está traducida. El original en inglés puede adquirirse en iso.org. Actualmente en proceso de revisión para su actualización.
ISO/IEC 27013:
Publicada el 15 de Octubre de 2012 y actualizada el 24 de Noviembre de 2015. Es una guía de implementación integrada de ISO/IEC 27001:2005 (gestión de seguridad de la información) y de ISO/IEC 20000-1 (gestión de servicios TI). Actualmente finalizando el proceso de revisión para su actualización.
ISO/IEC 27014:
Publicada el 23 de Abril de 2013. Consistirá en una guía de gobierno corporativo de la seguridad de la información.
ISO/IEC TR 27015:
Publicada el 23 de Noviembre de 2012. Es una guía de SGSI orientada a organizaciones del sector financiero y de seguros y como complemento a ISO/IEC 27002:2005.
ISO/IEC TR 27016:
Publicada el 20 de Febrero de 2014. Es una guía de valoración de los aspectos financieros de la seguridad de la información.
ISO/IEC 27017:
Publicada el 15 de Diciembre de 2015. Es una guía de seguridad para Cloud Computing alineada con ISO/IEC 27002 y con controles adicionales específicos de estos entornos de nube.
ISO/IEC 27018:
Publicada el 29 de Julio de 2014. Es un código de buenas prácticas en controles de protección de datos para servicios de computación en cloud computing.
ISO/IEC TR 27019:
Publicada el 17 de Julio de 2013. Guía con referencia a ISO/IEC 27002:2005 para el proceso de sistemas de control específicos relacionados con el sector de la industria de la energía. Actualmente en proceso de revisión para su actualización.
ISO/IEC TR 27023:
Publicada el 02 de Julio de 2015. No certificable. Es una guía de correspondencias entre las versiones del 2013 de las normas ISO/IEC 27001 y ISO/IEC 27002 como apoyo a la transición de las versiones publicadas en 2005. En España, esta norma no está traducida. El original en inglés puede adquirirse en iso.org
ISO/IEC 27031:
Publicada el 01 de Marzo de 2011. No certificable. Es una guía de apoyo para la adecuación de las tecnologías de información y comunicación (TIC) de una organización para la continuidad del negocio. El documento toma como referencia el estándar BS 25777. En España, esta norma no está traducida. El original en inglés puede adquirirse en iso.org
ISO/IEC 27032:
Publicada el 16 de Julio de 2012. Proporciona orientación para la mejora del estado de seguridad cibernética, extrayendo los aspectos únicos de esa actividad y de sus dependencias en otros dominios de seguridad, concretamente: Información de seguridad, seguridad de las redes, seguridad en Internet e información de protección de infraestructuras críticas (CIIP).
ISO/IEC 27033:
Parcialmente desarrollada. Norma dedicada a la seguridad en redes, consistente en 7 partes: 27033-1, conceptos generales (Publicada el 15 de diciembre de 2009 y revisada el 10 de octubre de 2015); 27033-2, directrices de diseño e implementación de seguridad en redes (Publicada el 27 de Julio de 2012)
ISO/IEC 27034:
Parcialmente desarrollada. Norma dedicada la seguridad en aplicaciones informáticas, consistente en 6 partes: 27034-1, conceptos generales (Publicada el 21 de Noviembre de 2011); 27034-2, marco normativo de la organización (Publicada el 15 de Agosto de 2015); 27034-3, proceso de gestión de seguridad en aplicaciones (en desarrollo); 27034-4, validación de la seguridad en aplicaciones (en desarrollo); 27034-5, estructura de datos y protocolos y controles de seguridad de aplicaciones (en desarrollo); 27034-6, guía de seguridad para aplicaciones de uso específico (en desarrollo).
ISO/IEC 27035:
Publicada el 17 de agosto de 2011. Proporciona una guía sobre la gestión de incidentes de seguridad en la información. Consta de 3 partes adicionales actualmente en fase de desarrollo.
ISO/IEC 27036:
Guía en cuatro partes de seguridad en las relaciones con proveedores: 27036-1, visión general y conceptos (Publicada el 24 de Marzo de 2014); 27036-2, requisitos comunes (Publicada el 27 de Febrero de 2014); 27036-3, seguridad en la cadena de suministro TIC (Publicada el 08 de Noviembre de 2013); 27036-4, seguridad en entornos de servicios Cloud (en desarrollo).
ISO/IEC 27037:
Publicada el 15 de Octubre de 2012. Es una guía que propociona directrices para las actividades relacionadas con la identificación, recopilación, consolidación y preservación de evidencias digitales potenciales localizadas en teléfonos móviles, tarjetas de memoria, dispositivos electrónicos personales, sistemas de navegación móvil, cámaras digitales y de video, redes TCP/IP, entre otros dispositivos y para que puedan ser utilizadas con valor probatorio y en el intercambio entre las diferentes jurisdicciones.
ISO/IEC 27038:
Publicada el 13 de Marzo de 2014. Es una guía de especificación para seguridad en la redacción digital.
ISO/IEC 27039:
Publicada el 11 de Febrero de 2015. Es una guía para la selección, despliegue y operativa de sistemas de detección y prevención de intrusión (IDS/IPS).
ISO/IEC 27040:
Publicada el 05 de Enero de 2015. Es una guía para la seguridad en medios de almacenamiento.
ISO/IEC 27041:
Publicada el 19 de Junio de 2015. Es una guía para la garantizar la la idoneidad y adecuación de los métodos de investigación.
ISO/IEC 27042:
Publicada el 19 de Junio de 2015. Es una guía con directrices para el análisis e interpretación de las evidencias digitales.
ISO/IEC 27043:
Publicada el 04 de Marzo de 2015. Desarrolla principios y procesos de investigación para la recopilación de evidencias digitales.
ISO/IEC 27044:
En fase de desarrollo. Gestión de eventos y de la seguridad de la información - Security Information and Event Management (SIEM).
ISO 27799:
Publicada el 12 de Junio de 2008. Es una norma que proporciona directrices para apoyar la interpretación y aplicación en el sector sanitario de ISO/IEC 27002:2005, en cuanto a la seguridad de la información sobre los datos de salud de los pacientes. Esta norma, al contrario que las anteriores, no la desarrolla el subcomité JTC1/SC27, sino el comité técnico TC 215. Actualmente en proceso de actualización.