Publicada la nueva ISO/IEC 27005:2018 - Information security risk management

En fecha 10 de julio del 2018, se encuentra publicada la nueva versión de ISO/IEC 27005 Information technology -- Security techniques -- Information security risk management , en lo qeu ahora es su tercera edición.

Esta norma cobra particular importancia por ser una de las principales normas de apoyo a la norma de requisitos ISO/IEC 27001:2013 y que no había sido actualizada desde el 2011, motivo por el cual estaba muy alineada a la ISO/IEC 27001:2005 y esto complicaba para el lector el entendimiento de los requisitos sobre gestión del riesgo incluidos en la ISO/IEC 27001:2013.

Esta tercera edición de ISO/IEC 27005 no presenta cambios radicales o muy detallados, centrándose principalmente en eliminar las referencias que ya no son de utilidad y las modificaciones necesarias para que la redacción sea compatible con los requisitos y fines de la ISO/IC 27001:2013.

Es importante indicar que esta norma hace referencia a que para el cumplimiento de los requisitos de ISO/IEC 27001 se puede utilizar múltiples enfoques o metodologías de gestión del riesgo, con lo cual el contenido de esta ISO/IEC 27005 es aplicable pero no es el único, se pueden utilizar otras formas de cumplir los requisitos de gestión del riesgo dependiendo de las necesidades y recursos de cada organización.

Entre los principales cambios tenemos :

  • se eliminan todas las referencias a ISO/IEC 27001:2005;
  • la introducción de la norma incluye información sobre la aplicabilidad de esta norma en el cumplimiento de los requisitos de ISO/IEC 27001, pero que no es una guía específica, pueden utilizarse otras formas.
  • se elimina el anexo G y todas sus referencias
  • Se realizan los cambios editoriales pertinentes para mantener una coherencia en el texto del documento.

Con la publicación de esta norma se completa el conjunto de normas que son base para el apoyo en implementación de un SGSI basado en ISO/IEC 27001:2013 y que ademas de la ISO/IEC 27005 (gestión del riesgo) se complementan con la ISO/IEC 27002 (código de practica sobre controles), ISO/IEC 27003 (guía sobre los requisitos) y la ISO/IEC 27004 (monitoreo, medición, análisis y evaluación).

Esperamos que esta información sea de utilidad para los interesados.

Si tiene consultas sobre esta nueva edición de ISO/IEC 27005, puede contactarnos en info@gtdi.pe o seguirnos en redes sociales. 

Protección de datos personales Gobernanza TI  SGSI - 27001