ISO 27000: es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.
ISO 27001: Contiene los requisitos del sistema de gestión de seguridad de la información. (Certificable)
La norma contiene los requisitos para:
- Establecer
- Implementar
- Operar
- Supervisar
- Revisar
- Mantener
- Y mejorar un Sistema de Gestión de la Seguridad de la Información
ISO 27002: Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información.
ISO 27003: guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases.
ISO 27004: Especifica las métricas y las técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados. Estas métricas se usan fundamentalmente para la medición de los componentes de la fase “Do” (Implementar y usar) del ciclo PDCA.
ISO 27005: Establece las directrices para la gestión del riesgo en la seguridad de la información. Apoya conceptos generales especificados en la norma ISO/IEC 270011.
ISO 27006: Requisitos para la acreditación de entidades de auditoría y certificación de SGSI.
ISO 27007: es una guía de gestión de seguridad de la información específica para telecomunicaciones, elaborada conjuntamente con la ITU (Unión Internacional de Telecomunicaciones).